Работаем с 44 и 223 ФЗ Тех. поддержка: 9.00-21.00
+7 (812) 248-08-57
Офис: Пн-Пт 9.00-18.00
+7 (812) 248-08-58 Перезвоните мне

Аудит информационной безопасности: цели, направления и методики

Аудит информационной безопасности: цели, направления и методики

Аудит информационной безопасности – экспертиза независимыми экспертами или штатными сотрудниками текущего состояния ИТС для определения степени согласованности с нормами и требованиями предприятия. Такая процедура необходима для выявления уровня защиты от атак, сохранности данных и безопасности информации компании.

Определение

Под информационной безопасностью понимается сохранность данных и степень защищённости законных прав компании. Аудит – это системный процесс, в результате которого специалисты получают данные для объективной оценки состояния безопасности автоматизированных систем в соответствии с конкретными критериями.

Мероприятия аудита:

  • оценка текущей безопасности работы системы;
  • определение рисков;
  • прогнозирование влияния рисков на бизнес-процессы организации;
  • планирование мер для усиления обеспечения безопасности;
  • построение плана развития;
  • выявление степени защиты от возможных атак.

Простым языком, аудит информационной безопасности – выявление возможных рисков утечки информации. Например, бухгалтерской и налоговой отчетности, персональных данных клиентов.

Направления аудита

Аудит можно выполнять в организациях, работающих в разных сферах:

  • проверка объектов информатизации – коммуникации, компьютерные системы, системы наблюдения;
  • проверка информации с ограничением доступа – выявление каналов утечки в системе безопасности;
  • проверка локальных компьютеров и других электронных средств;
  • создание проекта, который включает в себя этапы по созданию всевозможных мер безопасности и внедрение их в организации.

Виды

Аудит информационной безопасности: цели, направления и методики

Аудит классифицируются следующим образом:

  1. Внешний. Проводится сторонними экспертами, получившими права на такие мероприятия. Обычно такая проверка разовая, может быть инициирована не только руководством организации, но и органами власти. Ее рекомендуют проводить регулярно с определенными промежутками времени. А для финансовых организаций, АО такие проверки проводят обязательно по нормам законодательства.
  2. Внутренний. Этот процесс непрерывный. Аттестационные мероприятия, которые проводятся в сроки, определенные руководством. Выполняют его штатные сотрудники.

Цели и задачи

Основные задачи аудита:

  • оценка состояния степени защиты информационной системы на предприятии;
  • анализ потенциальных рисков;
  • локализация слабых мест в ИС;
  • определение соответствия степени защищённости согласно действующим нормам;
  • разработка мероприятий, которые направлены на устранение проблем и усовершенствование действующих методов защиты.

Метод проведения

Этапы выполнения аудита:

  1. Подготовка. Создается совместная комиссия, формируются требования к процедуре.
  2. Обследование ИТС. Проверка касается вычислительной техники, информационной, физической среды, рабочих мест пользователей и тестирование системы на уязвимость.
  3. Анализ. Уязвимости идентифицируются, оценивается уровень защищенности, предлагаются меры по усилению степени защиты.

Результаты

По результатам проверки обычно выделяют несколько видов рисков:

  • остаточные;
  • допустимые;
  • вероятные.

При составлении отчета чаще используют два параметра – вероятность атаки и размер потенциального ущерба, который будет нанесен организации в результате неё. Это может быть снижение репутации, имиджа, раскрытие или кража конфиденциальной информации о клиентах или потеря активов.

После этого составляется план, в котором будут расписаны все этапы, способы и средства исследования. После согласования с руководством документ подписывает аудитор и организация. Для внутреннего аудита подписи стороннего специалиста не требуется.

Вы можете заказать аудит информационной безопасности вашей компании у нас. Чтобы узнать цену, оставьте заявку или свяжитесь со специалистами по телефону. Мы предлагаем полный спектр услуг – анализ «дыр» в IT-инфраструктуре, советы по повышению надежности и безопасности, рекомендации по проведению апгрейда и готовые решения, направленные на снижение затрат.

О нас в цифрах

2017
год основания компании
100+
клиентов на обслуживании
2000+
единиц техники в обслуживании
15
сертифицированных инженеров
30000+
метров проложенных сетей
1500+
выполненных проектов
23
созданных с нуля проектов
500+
довольных компаний

Нам доверяют

Остались вопросы?
Остались вопросы?
Оставьте заявку и наш специалист
перезвонит вам в течение дня.