Услуги

Комплексный аудит информационной безопасности

Основной смысл аудита информационной безопасности (ИБ) состоит в том, чтобы провести процедуру оценки текущего состояния информационной безопасности  систем информационных технологий (СИТ), эксплуатируемых в организации или самой организации в целом на соответствие установленным и заранее определённым критериям и показателям безопасности. Результаты аудита должны быть зафиксированы в виде документа (отчета) и содержать объективные качественные и количественные показатели.
Аудит позволяет комплексно оценить текущую безопасность функционирования,  как СИТ, так  и самой компании, определить и спрогнозировать угрозы возникновения нештатных ситуаций, управлять их влиянием на бизнес-процессы компании, адекватно обеспечить хранение её информационных и материальных активов.
Какие же проверки проводятся в рамках комплексного аудита ИБ?
1) Проверяется состав проектной, конструкторской, нормативной и распорядительной документации, действующей в организации.
2)  Проводится проверка на соответствие действующим стандартам в области ИБ и другим нормативным документам, определённым политикой безопасности организации.
3)  Проводится оценка потенциальных угроз  ИБ и выявление уязвимостей в системе защиты корпоративной сети и др. системах, эксплуатируемых в компании (например, сканирование и тестирование на проникновение).
Задачей аудита ИБ СИТ, эксплуатируемых в организации, является проверка состояния защищенности конфиденциальной информации от внутренних и внешних угроз, нарушения конфиденциальности, целостности и доступности, а также программного и аппаратного обеспечения, от которого зависит бесперебойное функционирование  СИТ. Такая проверка подразумевает, как документальный, так и инструментальный аудит состояния защищенности информации в процессе ее сбора, хранения и обработки.
Задачей аудита ИБ организации является проверка состояния безопасности бизнес-процессов организации в условиях внутренних и внешних угроз, а также предотвращение утечек конфиденциальной информации.
Аудит ИБ СИТ, эксплуатируемых в компании, может проводиться как самостоятельный вид аудита или являться частью комплексного аудита ИБ организации.
Комплексный аудит ИБ может быть внутренним или  внешним.
Внутренний аудит ИБ проводится самостоятельно сотрудниками компании или от ее имени специализированной компанией (аутсорсинг) для внутренних целей. По его результатам принимается решение о соответствии требованиям стандартов или нормативных документов по защите информации и обеспечению информационной безопасности. Периодичность внутреннего аудита устанавливается политикой безопасности организации или иными организационно– распорядительными документами, но не реже одного раза в год, а также внепланово при зафиксированном инциденте ИБ.
Внешний аудит ИБ проводится внешними независимыми организациями, имеющими лицензии на осуществление аудиторской деятельности в области ИБ.
Внешний аудит ИБ обязателен для всех государственных или негосударственных организаций, являющихся собственником или пользователем конфиденциальной информации, требующей защиты в соответствии с законодательством Российской Федерации, а также для всех организаций, эксплуатирующих объекты критической инфраструктуры РФ.
Внешний комплексный аудит ИБ может быть проведен по заказу проверяемой организации, а также по решению государственного или ведомственного регулятора или иного надзорного органа, в соответствии с Федеральными законами РФ, стандартами и др. нормативными актами по проведению аудита ИБ.
На какие же основные международные стандарты и лучшие практики проведения аудита  ИБ стоит обратить внимание?
1.    ISO/IEC 27000:2009, Information security management systems — Overview and vocabulary (Система менеджмента информационной безопасности. Общий обзор и терминология);
2.     ISO/IEC 27001:2005, Information security management systems — Requirements (Система менеджмента информационной безопасности. Требования.);
3.     ISO/IEC 27002:2005, Code of practice for information security management (Свод правил по управлению защитой информации);
4.     ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems (Требования для органов, обеспечивающих аудит и сертификацию систем менеджмента информационной безопасности);
5.     ISO/IEC 27007, Guidelines for information security management systems auditing (Руководство для аудитора СМИБ);
6.     ISO/IEC 17021:2006, Conformity assessment — Requirements for bodies providing audit and certification of management systems (Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента);
7.    ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing (Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента);
8.    IT Audit Framework 2nd Edition. ITAF — международный стандарт проведения ИТ-аудита от организации ISACA;
9.    Cobit 5 for Assurance — руководство по проведению аудита в соответствии с COBIT v.5;
10.    Руководство по аудиту информационных технологий «Global Technology Audit Guide» (GATG);
11.    ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
Специалисты компании «ITCS» владеют всеми методами комплексного аудита ИБ. Учитывая особенности эксплуатируемых СИТ, структуру вашей компании и бизнес-процессы в ней, документацию, требования регуляторов и т.д., наши эксперты выберут соответствующие методики и программно-технические средства, проведут необходимые работы и подготовят для вас аудиторские отчеты и  рекомендации.

Заполните форму, чтобы заказать один из наших продуктов,
и наши специалисты свяждутся с вами