Аудит информационной безопасности: цели, направления и методики
Аудит информационной безопасности – экспертиза независимыми экспертами или штатными сотрудниками текущего состояния ИТС для определения степени согласованности с нормами и требованиями предприятия. Такая процедура необходима для выявления уровня защиты от атак, сохранности данных и безопасности информации компании.
Определение
Под информационной безопасностью понимается сохранность данных и степень защищённости законных прав компании. Аудит – это системный процесс, в результате которого специалисты получают данные для объективной оценки состояния безопасности автоматизированных систем в соответствии с конкретными критериями.
Мероприятия аудита:
- оценка текущей безопасности работы системы;
- определение рисков;
- прогнозирование влияния рисков на бизнес-процессы организации;
- планирование мер для усиления обеспечения безопасности;
- построение плана развития;
- выявление степени защиты от возможных атак.
Простым языком, аудит информационной безопасности – выявление возможных рисков утечки информации. Например, бухгалтерской и налоговой отчетности, персональных данных клиентов.
Направления аудита
Аудит можно выполнять в организациях, работающих в разных сферах:
- проверка объектов информатизации – коммуникации, компьютерные системы, системы наблюдения;
- проверка информации с ограничением доступа – выявление каналов утечки в системе безопасности;
- проверка локальных компьютеров и других электронных средств;
- создание проекта, который включает в себя этапы по созданию всевозможных мер безопасности и внедрение их в организации.
Виды
Аудит классифицируются следующим образом:
- Внешний. Проводится сторонними экспертами, получившими права на такие мероприятия. Обычно такая проверка разовая, может быть инициирована не только руководством организации, но и органами власти. Ее рекомендуют проводить регулярно с определенными промежутками времени. А для финансовых организаций, АО такие проверки проводят обязательно по нормам законодательства.
- Внутренний. Этот процесс непрерывный. Аттестационные мероприятия, которые проводятся в сроки, определенные руководством. Выполняют его штатные сотрудники.
Цели и задачи
Основные задачи аудита:
- оценка состояния степени защиты информационной системы на предприятии;
- анализ потенциальных рисков;
- локализация слабых мест в ИС;
- определение соответствия степени защищённости согласно действующим нормам;
- разработка мероприятий, которые направлены на устранение проблем и усовершенствование действующих методов защиты.
Метод проведения
Этапы выполнения аудита:
- Подготовка. Создается совместная комиссия, формируются требования к процедуре.
- Обследование ИТС. Проверка касается вычислительной техники, информационной, физической среды, рабочих мест пользователей и тестирование системы на уязвимость.
- Анализ. Уязвимости идентифицируются, оценивается уровень защищенности, предлагаются меры по усилению степени защиты.
Результаты
По результатам проверки обычно выделяют несколько видов рисков:
- остаточные;
- допустимые;
- вероятные.
При составлении отчета чаще используют два параметра – вероятность атаки и размер потенциального ущерба, который будет нанесен организации в результате неё. Это может быть снижение репутации, имиджа, раскрытие или кража конфиденциальной информации о клиентах или потеря активов.
После этого составляется план, в котором будут расписаны все этапы, способы и средства исследования. После согласования с руководством документ подписывает аудитор и организация. Для внутреннего аудита подписи стороннего специалиста не требуется.
Вы можете заказать аудит информационной безопасности вашей компании у нас. Чтобы узнать цену, оставьте заявку или свяжитесь со специалистами по телефону. Мы предлагаем полный спектр услуг – анализ «дыр» в IT-инфраструктуре, советы по повышению надежности и безопасности, рекомендации по проведению апгрейда и готовые решения, направленные на снижение затрат.