Aудит информационной безопасности

Комплексный аудит информационной безопасности (ИБ) позволяет оценить защищенность нематериальных ресурсов организации, выявить уязвимые места и разработать алгоритм действий по устранению обнаруженных проблем. Актуальность независимой экспертной оценки недооценивать нельзя, поскольку среди всех экономических преступлений в России киберпреступления занимают более 30%. Приведенные данные официальной статистики актуальны на 2016 год, так что сегодня можно говорить об усугублении ситуации.

Заказать аудит безопасности информационных систем (ИС) можно в компании ABILITY. В ходе проверки выявляется уровень соответствия ИБ принятым стандартам, а также проводятся тесты, которые позволяют определить надежность защитных механизмов и локализовать имеющиеся недоработки.

Цели и задачи проведения аудита ИБ

Основные цели проверки:

  1. Независимая оценка текущего состояния системы информационной безопасности.
  2. Выявление уязвимостей и определение степени их опасности.
  3. Экономическое обоснование обновления системы ИБ.
  4. Приведение имеющихся ресурсов в соответствие с действующим законодательством.
  5. Разработка рекомендаций по внедрению новых или модернизации существующих систем ИБ.

Задачи аудита ИБ:

  • разработка политики безопасности организации;
  • постановка задач для ИТ-специалистов по повышению защищенности информационных систем;
  • обоснование затрат на новые программные и технические продукты;
  • расчет затрат на приобретение систем информационной безопасности;
  • подтверждение или опровержение того, что применяемые средства эффективно выполняют свои функции.

Этапы проведения аудита информационной безопасности

  1. Обращение в компанию ABILITY и заключение договора на выполнение анализа ИС.
  2. Начало работ, сбор информации для аудита.
  3. Анализ предоставленных документов и тестирование защитных систем.
  4. Составление рекомендаций по улучшению работы и устранению уязвимостей ИС.
  5. Предоставление аудиторского отчета.

Рассмотрим перечисленные этапы подробнее.

Первый этап

При заключении договора специалисты компании ABILITY подготавливают и согласовывают с заказчиком цели и задачи проведения работ. Предполагается, что при выполнении положений данного документа аудиторам потребуется помощь сотрудников предприятия. Это может быть подготовка документов, лицензий и сертификатов на установленное оборудование, предоставление пропусков на территорию, обеспечение доступа к серверам и другим техническим средствам. Границы и степень глубины исследования определяет заказчик.

Второй этап

Сбор информации для аудита информационной безопасности, как правило, занимает много времени. Практика показывает, что необходимые документы могут быть утеряны или испорчены, доступ к оборудованию для проведения тестирования может быть ограничен, сотрудники компании, отвечающие за ИБ, могут находиться в отпуске и т. д.

Для проведения аудита специалистам требуется обширный перечень данных, на основании которых проводится анализ рисков и уязвимостей ИС. Перечислим основные сведения, которые необходимо предоставить:

  • организационная структура пользователей, имеющих доступ к информационной системе;
  • нормативные акты, определяющие полномочия сотрудников, которые имеют доступ к серверным помещениям;
  • особенности взаимодействия разных элементов инженерной инфраструктуры;
  • меры по ограничению доступа в серверные и другие технические помещения;
  • основные виды приложений, функционирующих в ИС;
  • наличие систем криптографической защиты информации;
  • данные об установленных антивирусных программах;
  • наличие точек удаленного доступа к программным продуктам;
  • защита сетевого оборудования, серверов, систем резервного копирования данных.

На основании полученных сведений аудитор составляет структурную схему ИС компании, описание ее компонентов, перечень продуктов ПО и другие документы.

Третий этап

Существует три подхода к анализу данных, полученных в ходе аудита информационной безопасности:

  1. Анализ рисков. Это наиболее сложный подход, так как аудитор определяет индивидуальный перечень требований к безопасности ИС. Для этого специалист всесторонне изучает имеющиеся программы и оборудование, проводит точечные тесты уязвимостей, разрабатывает детальные рекомендации по предотвращению угроз.
  2. Соотнесение полученных данных со стандартами ИБ. Это самый практичный подход, при котором аудитор опирается на общемировую практику в области обеспечения безопасности ИС. Сопоставляя полученные данные с принятыми стандартами в соответствии с выбранной методикой, специалист видит нарушения и возможные угрозы.
  3. Сочетание первых двух пунктов. Базовый набор требований к ИС определяется стандартом, а дополнительные тесты уязвимостей учитывают индивидуальные особенности информационной системы организации. Этот подход менее трудозатратный по сравнению с первым и более эффективный по сравнению со вторым.

Четвертый этап

После проведения анализа аудитор составляет рекомендации по устранению выявленных проблем и совершенствованию системы безопасности. Структура документа может отличаться от стандартной в зависимости от целей, задач и методов исследования ИС.

Приведем примерный перечень пунктов, которые будут в документе.

Общие сведения о текущем уровне защищенности ИС:

  • описание и оценка состояния функционирующей информационной системы;
  • список найденных уязвимостей;
  • анализ возможных внутренних и внешних угроз для действующей ИС.

Технический анализ информационной системы:

  • переработка конфигурации сетевых устройств и серверов;
  • доработка действующих средств защиты;
  • применение дополнительных механизмов обеспечения безопасности.

Предложения по организации структуры ИБ:

  • разработка политики информационной безопасности;
  • создание отдельной службы ИБ;
  • оформление нормативно-технической документации;
  • пересмотр полномочий персонала;
  • обоснование необходимости повышения квалификации сотрудников.

Пятый этап

Аудит информационной безопасности завершен, заказчик получает отчет о проделанной работе. Информация, предоставленная клиенту специалистом компании ABILITY, соответствует следующим требованиям:

  1. Экономическая обоснованность. Это означает, что после проверки клиент сможет устранить обнаруженные угрозы с наименьшими затратами.
  2. Конкретность. В отчете будут указаны в порядке значимости все выявленные уязвимости, поэтому документ можно считать прямым руководством к действию.
  3. Аргументированность. Все прогнозы и заключения специалиста будут подкреплены результатами анализа.

Что вы получите после аудита информационной безопасности?

Ключевые результаты работы независимого специалиста ― объективная оценка состояния ИС, определение степени ее соответствия существующим стандартам и законодательным требованиям, выявление фактов противоправной деятельности и прогнозирование возможных внешних и внутренних угроз.

Аудит позволяет получить экспертизу отдельных программных или аппаратных продуктов или оценку функционирования информационной системы в целом. Кроме того, на основании полученного отчета организация имеет право оформить сертификат, подтверждающий соответствие ИС требованиям международных стандартов.

Аудит информационной безопасности ― это процесс получения объективных качественных и количественных данных о состоянии ИС организации. Сегодня этот инструмент считается одним из наиболее эффективных для повышения защищенности нематериальных активов компании. Наличие сертификата, подтверждающего соответствие информационных систем требованиям международных стандартов безопасности, является существенным конкурентным преимуществом для многих организаций.

Для того чтобы получить предварительную консультацию по поводу проведения IT-аудита, позвоните по телефону, указанному на экране, заполните форму заявки или отправьте письмо на наш электронный адрес.

Отправить заявку

В будние дни, 10:00–19:00