Аудит информационной безопасности

Одним из способов понять объективное состояние информационной безопасности в компании является проведение аудита ИБ для оценки защищенности автоматизированных систем и рисков информационной безопасности. Внешний аудит дает возможность объективно оценить положение дел с информационной безопасностью в компании с учетом лучших мировых практик и провести необходимые корректировки.

Аудит ИБ проводится в несколько этапов. Мы определяем границы и задачи аудита, а затем собираем данные — этот этап на практике самый долгий. Во это время происходит общение консультантов нашей компании с представителями различных бизнес- и ИТ/ИБ-подразделений заказчика для определения организационной структуры предприятия, владельцев информации, основных видов приложений, количества и типов пользователей систем. Собираются данные о компонентах автоматизированных систем и их размещении, взаимодействии с другими системами, использовании тех или иных каналов связи, бизнес-процессах и схеме информационных потоков.

После сбора информации производится анализ данных аудита и выдача рекомендаций. Анализ включает в себя определение ценности информационных активов для компании, определение вероятности и величины риска для них с учетом имеющихся уязвимостей. В итоге мы составляем отчет о рисках ИБ для информационных активов компании.

Основным документом по результатам проведения аудита ИБ является отчет, в котором отражены:

  • цели и задачи аудита;
  • описание автоматизированных систем: назначение, функции, задачи, структуры информационных потоков, классификацию пользователей;
  • границы аудита, в том числе перечень автоматизированных систем, подпадающих под аудит;
  • методика проведения аудита и описание этапов работ;
  • методика оценки ущерба;
  • классификация информационных активов;
  • модель нарушителя и модель угроз;
  • оценка угроз, уязвимостей и рисков;
  • рекомендации по применению мер организационно-технического характера.

Также обращаем внимание, что в штате компании работают сертифицированные аудиторы ISO-27001 и мы можем подготовить Вашу компанию к сертификации по ISO-27001.

© Все права защищены