Аудит – это основной инструмент оценки эффективности корпоративной системы безопасности и ее соответствия потребностям бизнеса, а также оптимизации и планирования затрат на обеспечение информационной безопасности организации

Целью проведения комплексного аудита является получение наиболее полной и объективной оценки состояния защищенности информационной системы, локализация имеющихся проблем, слабых мест системы защиты и разработка эффективной программы построения системы информационной безопасности предприятия.

Основные цели проведения комплексного аудита ИБ:

  • Оценка текущего уровня защищенности ИС, для принятия решения о её модернизации
  • Оценка эффективности инвестиций в систему защиты
  • Локализация узких мест в системе защиты ИС
  • Определение соответствия системы управления информационной безопасности задачам и целям организации для обеспечения эффективности и непрерывности бизнеса
  • Оптимизация и планирование затрат на обеспечение защиты информации
  • Обеспечение максимального возврата инвестиций, вкладываемых в систему информационной безопасности
  • Оценка соответствия ИС существующим стандартам в области ИБ
  • Оценка полноты и качества выполнения требований, предъявляемых к организации или ИС со стороны законодательства, стандартов ИБ, нормативных документов, политики безопасности компании, или требований, предусмотренным контрактом

Компания АйТи предлагает следующие виды аудитов информационной безопасности:

  • Комплексный аудит информационной безопасности
  • Проведение тестов на проникновение и анализ защищенности сети
  • Аудит системы управления информационной безопасностью на соответствие требованиям международного стандарта ISO/IEC 27001:2005 и разработка рекомендаций по совершенствованию системы управления ИБ
  • Анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов заказчика
  • Аудит соответствия российским и международным стандартам:
    • аудит соответствия стандарту PCI DSS
    • аудит соответствия стандарту СТО БР ИББС-1.0
    • аудит соответствия Специальным требованиям и рекомендациям по защите конфиденциальной информации (СТР-К)
    • аудит безопасности на соответствие требованиям ГОСТ Р ИСО/МЭК 15408
  • Аудит защищенности приложений (баз данных, специального программного обеспечения, web-приложений)
  • Аудит защищенности персональных данных

Компания АйТи предлагает следующие этапы проведения работ по комплексному аудиту информационной безопасности предприятия:

Этап I. Планирование работ. Формирование регламента проведения аудита:

  • определение границ проведения аудита
  • определение рабочей группы проекта
  • подготовка методики проведения аудита
  • разработка календарного плана проведения аудита

Этап II. Обследование информационной системы:

  • запрос необходимой информации
  • проведение анкетирования
  • проведение интервью
  • наблюдение
  • инструментальное сканирование
  • осмотр помещений

Этап III. Анализ и оценка уровня защищенности ИС:

  • анализ полноты и содержания существующей организационно-распорядительной документации по защите информации
  • выделение основных информационных активов
  • определение уровня защищенности информационной системы
  • разработка модели угроз и нарушителя информационной безопасности
  • моделирование действий внешнего и внутреннего нарушителя
  • анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов заказчика

Этап IV. Модернизация и оптимизация системы информационной безопасности:

  • формирование рекомендаций по модернизации системы информационной безопасности
  • формирование рекомендаций по оптимизации использования применяемых решений
  • формирование рекомендаций по модернизации организационно-распорядительной документации по защите информации