Аудит информационной безопасности

Для бизнеса, промышленности, государственных структур безопасность и защищенность данных играют важнейшую роль. 

Правила работы с данными во многих отраслях регламентируются законодательными актами. Примерами служат банки, финансовый сектор, а также многочисленные организации, работающие с персональными данными граждан. Повышенное внимание уделяется цифровым документам, содержащим гостайну.

Информация хранится и обрабатывается в различных узлах ИТ-инфраструктуры, передается по каналам связи. В интересах производственной деятельности инфраструктура должна отвечать строгим техническим требованиям. Для проверки соответствия проводится IT-аудит, частью которого является аудит информационной безопасности (information security). 

Безопасность информационных ресурсов

С обработкой информации связаны не только технические системы. Многочисленные сотрудники также обрабатывают данные, имеют доступ к оборудованию, переносят файлы между устройствами на флешках или других съемных носителях, хранят деловую информацию в приложениях на смартфонах и планшетах. Такие обстоятельства делают проведение оценки ИБ организации в целом сложной задачей. По этой причине организация может проводить проверку не всей инфраструктуры, а отдельных её частей (например, центров обработки данных).

Различаются два вида аудита:

Оценка безопасности должна проводиться опытным персоналом, имеющим базовое техническое образование или специальные сертификаты в области ИБ. Для внешней экспертизы также привлекаются сотрудники профильных организаций.

Проведение аудита начинается с подготовки регламента. Для этого необходимо: 

• установить перечень документов, определяющих порядок работы с обрабатываемыми данными,
• дать описание той части инфраструктуры (ТС и ПО), которая подлежит проверке,
• сформулировать и описать события, угрожающие данным (а также отдельным узлам инфраструктуры),
• построить модель угроз,
• определить относящиеся к проверяемой инфраструктуре помещения и специальные ТС, выявить перечень лиц с доступом к оборудованию,
• описать перечень проверок, которые должны быть выполнены для оценки защиты информации на объекте.

Регламент утверждается руководителем предприятия. После подготовки регламента проводится сбор данных о состоянии инфраструктуры:

• технических и программных средствах,
• настройках системного ПО,
• политиках доступа и др.

При подготовке данных аудиторы опрашивают персонал, изучают техническую документацию и регламентирующие документы.

Собранная документация проверяется на соответствие действующим нормам. Технические средства и ПО анализируются на уязвимость угрозам.

По результатам анализа готовится отчет, содержащий:

Компания ВИСТЛАН имеет опыт работ по аудиту безопасности в организациях и на производственных предприятиях. Наши инженеры обладают требуемой квалификацией для проведения эффективных комплексных работ по оценке состояния инфраструктур с учетом возможных рисков. ВИСТЛАН выполняет проверку на экспертном уровне, аудиторы компании работают по Москве и регионам России.