Аудит информационной безопасности
Для бизнеса, промышленности, государственных структур безопасность и защищенность данных играют важнейшую роль.
Правила работы с данными во многих отраслях регламентируются законодательными актами. Примерами служат банки, финансовый сектор, а также многочисленные организации, работающие с персональными данными граждан. Повышенное внимание уделяется цифровым документам, содержащим гостайну.
Информация хранится и обрабатывается в различных узлах ИТ-инфраструктуры, передается по каналам связи. В интересах производственной деятельности инфраструктура должна отвечать строгим техническим требованиям. Для проверки соответствия проводится IT-аудит, частью которого является аудит информационной безопасности (information security).
Безопасность информационных ресурсов
С обработкой информации связаны не только технические системы. Многочисленные сотрудники также обрабатывают данные, имеют доступ к оборудованию, переносят файлы между устройствами на флешках или других съемных носителях, хранят деловую информацию в приложениях на смартфонах и планшетах. Такие обстоятельства делают проведение оценки ИБ организации в целом сложной задачей. По этой причине организация может проводить проверку не всей инфраструктуры, а отдельных её частей (например, центров обработки данных).
Различаются два вида аудита:
- Внутренний аудит IT-безопасности, который проводится силами сотрудников организации. Цель этого мероприятия — выяснение текущего состояния компонентов системы безопасности. Осуществляется периодически по планам предприятия. Рекомендуется проводить внутренний аудит не реже 3-4 раз в год.
- Внешний IT-аудит, осуществляемый сторонними проверяющими. Цель этой проверки состоит в получении объективной оценки информационной безопасности объекта. Такие проверки проводятся разово.
Оценка безопасности должна проводиться опытным персоналом, имеющим базовое техническое образование или специальные сертификаты в области ИБ. Для внешней экспертизы также привлекаются сотрудники профильных организаций.
Проведение аудита начинается с подготовки регламента. Для этого необходимо:
- установить перечень документов, определяющих порядок работы с обрабатываемыми данными,
- дать описание той части инфраструктуры (ТС и ПО), которая подлежит проверке,
- сформулировать и описать события, угрожающие данным (а также отдельным узлам инфраструктуры),
- построить модель угроз,
- определить относящиеся к проверяемой инфраструктуре помещения и специальные ТС, выявить перечень лиц с доступом к оборудованию,
- описать перечень проверок, которые должны быть выполнены для оценки защиты информации на объекте.
Регламент утверждается руководителем предприятия. После подготовки регламента проводится сбор данных о состоянии инфраструктуры:
- технических и программных средствах,
- настройках системного ПО,
- политиках доступа и др.
При подготовке данных аудиторы опрашивают персонал, изучают техническую документацию и регламентирующие документы.
Собранная документация проверяется на соответствие действующим нормам. Технические средства и ПО анализируются на уязвимость угрозам.
По результатам анализа готовится отчет, содержащий:
- описание результатов проверки,
- результаты анализа,
- перечень рекомендаций по исправлению замечаний,
- требования по администрированию инфраструктуры,
- рекомендуемые политики безопасности.
В результате приводится вывод о соответствии проверяемого объекта требованиям безопасности, сформулированным в законодательстве и других нормативных актах, регулирующих работу организации.
Оценка ИБ показывает уязвимости и дает руководству организации точные рекомендации по созданию и поддержанию на требуемом уровне системы защиты информации, обеспечивающей надежное ведение производственных процессов.
Компания ВИСТЛАН имеет опыт работ по аудиту безопасности в организациях и на производственных предприятиях. Наши инженеры обладают требуемой квалификацией для проведения эффективных комплексных работ по оценке состояния инфраструктур с учетом возможных рисков. ВИСТЛАН выполняет проверку на экспертном уровне, аудиторы компании работают по Москве и регионам России.
Отправить запрос
|
Отправить запрос
|