Аудит информационной безопасности позволяет получить объективную и независимую оценку о текущем уровне защищенности информационных систем и ресурсов Компании.
Различают несколько видов аудита информационной
безопасности:
Цели проведения аудита информационной безопасности
Получение объективных данных о текущем уровне защищенности корпоративной информационной системы Компании.
Оценка соответствия информационных систем требованиям российских и зарубежных стандартов в области информационной безопасности, а также внутренним нормативным документам Компании.
Формирование рекомендаций по устранению выявленных недостатков в информационных системах Компании.
Этапы проведения аудита информационной безопасности
В рамках проведения аудита информационной безопасности Компания ЗИКС выполняет полный комплекс работ
1. Планирование и подготовка к проведению работ
Разработка регламента взаимодействия Заказчика и Исполнителя.
Формирование рабочей группы проекта.
Разработка программы и методики проведения аудита информационной безопасности.
Определение границ аудита информационной безопасности.
Разработка опросных листов.
2. Обследование корпоративной информационной системы
Выполнение работ по обследованию сетевой инфраструктуры и подсистем информационной безопасности Компании, в том числе с помощью инструментального анализа программно-технических средств и систем.
Заполнение опросных листов сотрудниками Компании с целью получения исходных данных о корпоративной информационной системе,
используемом оборудовании, существующих нормативных документах и регламентов для последующей систематизации и анализа.
3. Систематизация и анализ собранных в ходе обследования исходных данных
Экспертиза применяемых в Компании программно-технических средств.
Экспертиза организационно-распорядительных документов по информационной безопасности на соответствие требованиям российских и
зарубежных стандартов в области информационной безопасности.
Анализ рисков информационной безопасности.
Моделирование действий внутреннего и внешнего злоумышленника (при необходимости).
4. Разработка Аналитического отчета по результатам проведения аудита информационной безопасности
Описание выявленных уязвимостей и недостатков в информационных системах Компании, а также в организационно-распорядительных
документах по информационной безопасности.
Выработка рекомендаций по минимизации рисков возможного нарушения конфиденциальности, целостности и доступности информации.
Выработка рекомендаций по совершенствованию корпоративной информационной системы, а также подсистем информационной
безопасности.
Выработка рекомендаций по корректировке организационно-распорядительных документов по информационной безопасности на соответствие требованиям российских и зарубежных стандартов в области информационной безопасности, таких как:
Внутренние нормативные документы и регламенты Компании;
Российские и международные стандарты ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 15408, PCI DSS;
Требования действующего Российского законодательства в области информационной безопасности;
Рекомендации компаний-производителей оборудования и программного обеспечения.
Положительные эффекты от проведения работ по аудиту информационной безопасности
Получение наиболее полной, целостной и объективной картины о текущем уровне защищенности информационных систем Компании, а также о достаточности принятых мер по обеспечению информационной безопасности.
Оценка необходимого бюджета на устранение выявленных недостатков в информационных системах Компании.
Компания ЗИКС гарантирует неразглашение собранных в ходе аудита информационной безопасности конфиденциальных данных. Перед началом проведения работ подписывается соглашение о конфиденциальности.
