Комплексный аудит информационной безопасности
Аудит представляет собой периодический, независимый и документированный процесс, целью которого является получение оценки текущего уровня защищённости информационных активов Компании от возможных внешних и внутренних угроз.
Задачами проведения комплексного аудита информационной безопасности могут быть оценка общего уровня информационной безопасности для:
- Реализации первичных системных мер по информационной безопасности в организации.
- Определения эффективности уже принятых мер по информационной безопасности.
- Периодического контроля уровня информационной безопасности.
- Оценки выполнения требований законодательства, нормативных документов, корпоративных стандартов, соглашений с контрагентами, общепризнанных рекомендаций и стандартов.
Основным фактором проведения успешного комплексного аудита информационной безопасности является выбор правильных критериев аудита. Мы предлагаем использовать комплексный подход, заключающийся в одновременной оценке не только соответствия процессов обеспечения информационной безопасности требованиям, определенным в критериях аудита, но и технической реализации данных процессов.
При проведении комплексного аудита информационной безопасности группой экспертов оцениваются следующие процессы обеспечения информационной безопасности, в том числе указываются потенциальные уязвимости, как процессов, так и технической реализации путем применения инструментальных средств аудита:
- процесс назначения и распределения ролей в области информационной безопасности;
- процесс антивирусной защиты;
- процесс использования ресурсов сети Интернет;
- процесс криптографической защиты информационных активов;
- процессы системы управления информационной безопасностью;
- процессы аудита и мониторинга информационной безопасности;
- процесс управления информационными активами;
- процесс управления рисками информационной безопасности;
- процесс обеспечения физической безопасности;
- процесс управления и контроля доступа;
- процесс обеспечения информационной безопасности на стадиях жизненного цикла информационных систем;
- процессы обеспечения непрерывности деятельности;
- процессы управления документацией и записями;
- процессы управления инцидентами информационной безопасности и др.
При проведении комплексного аудита информационной безопасности дополнительно могут быть проведены следующие работы:
- инструментальное сканирование;
- тест на проникновение;
- анализ рисков информационной безопасности.
Результаты комплексного аудита информационной безопасности оформляются в виде отчета, содержащего, как рекомендации для специалистов по информационной безопасности и информационным технологиям Компании, так и высокоуровневое описание возможных направлений развития системы обеспечения информационной безопасности, с учетом актуальных проблем, связанных с обеспечением информационной безопасности, и отраслевой специфики Компании для руководства.
В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».