Аудит информационной безопасности

Аудит информационной безопасности

Вопрос
Задать вопрос

Описание и назначение

Аудит информационной безопасности – независимая или проводимая штатной группой аудиторов услуга по оценке текущего состояния системы информационной безопасности на основании определенных критериев безопасности, с последующей выработкой рекомендаций.

Своевременно проведенный аудит ИБ дает возможность:

  • получить объективную оценку защищенности информационной системы (ИС);
  • анализировать и прогнозировать информационные риски;
  • оценивать степень соответствия защищенности ИС стандартам в сфере ИБ;
  • разработать рекомендации по введению новых и доработке текущих средств и методов защиты ИС;
  • расчёта затрат на систему ИБ.

Направленность аудита информационной безопасности зависит от многих факторов. Можно выделить основные:

Аттестация и разработка объектов информатизации в защищенном исполнении:

  • автоматизированных систем (АС), средств обработки информации;
  • выделенных помещений и технических средств (ТС), расположенных и установленных в них.

Анализ защищенности каналов, по которым циркулируют документы, содержащие информацию ограниченного распространения: поиск ТКУИ (Технические каналы утечки информации) и методов нелегального доступа к данным документам.

Специальные исследования ТС (ПЭВМ, средства связи и обработки информации) с целью проверки наличия ПЭМИН (Побочные электромагнитные излучения и наводки).

Тестирование на проникновение. Целью тестирования является проверка способности ИС компании противостоять попыткам проникновения в сеть и несанкционированного воздействия на информацию.

Аудит ИБ делится на внешний и внутренний с тем различием, что при внешнем аудите вся работа проводится нанятой аудиторской компанией, как правило, единоразово, но с определенной периодичностью, и инициируется руководством. Внутренний подразумевает непрерывную деятельность, выполняемую специальной группой, состоящей из сотрудников компании, на основе утвержденного руководством плана.

Аудит информационной безопасности, как правило, состоит из пяти этапов:

Инициирование. Данный этап предназначен для решения организационных вопросов. В результате необходимо подготовить:

  • в случае работы внешней компанией – договор на оказание услуги, иначе – в должностном регламенте ответственного за данное направление должны быть закреплены обязанности в части, касающейся проведения аудита;
  • программа выполнения аудита;
  • положение об аудите, которое определяет порядок содействия аудитору и предоставления информации со стороны сотрудников по требованию.

Сбор информации. На данном этапе осуществляется сбор организационных и технических данных со всех объектов инфраструктуры, подвергнутых аудиту.

Анализ выявленных данных. В основном определяется подходом к организации аудита.

Разработка рекомендаций. Рекомендации являются конкретными, обоснованными с экономической точки зрения и расположенными по степени критичности.

Подготовка отчетной документации. Отчет, как правило, включает:

  • цель и методы проведения аудита;
  • список объектов ИС, подвергнутых аудиту;
  • описание текущих рисков, угроз и выявленных уязвимостей;
  • результаты анализа, содержащие резюме для руководства компании;
  • предлагаемые защитные меры и рекомендации по модернизации системы ИБ.

Список средств защиты

Газинформсервис
0
0 отзывов

Efros DefOps - многофункциональный комплекс по защите ИТ-инфраструктуры (сетевых и оконечных устройств, компонентов сред виртуализации), а также прикладного ПО: SCADA, RPA, СУБД. Комплекс имеет модульную структуру и включает в себя следующее ПО.

Efros DefOps Network Access Control (NAC)...