А.Б. Блохин
Заместитель генерального директора по корпоративной защите - начальник СКЗ
Комплексный аудит информационной безопасности (аудит ИБ), включая анализ защищенности веб приложений — это процесс получения объективных качественных и количественных оценок о текущем состоянии защищенности информационных ресурсов компании (а также возможных уязвимостей) в соответствии с российскими и международными нормативами.
Вам крайне необходим Аудит информационной безопасности (или анализ защищенности инфраструктуры), если:
-
возникла критическая ситуация, связанная с нарушением информационной безопасности;
-
-
имело место расширение, слияние, поглощение, присоединение, смена курса/концепции бизнеса или руководства;
-
-
произошли изменения в законодательстве по информационной безопасности;
-
-
изменилась информационная инфраструктура предприятия;
-
появились необходимость провести анализ защищенности программного обеспечения.
Какие задачи решает комплексный Аудит информационной безопасности
-
оценка текущего состояния безопасности информационной системы;
-
-
оценка и прогноз рисков, управление их влиянием на бизнес-процессы компании;
-
-
обоснование требуемых изменений в системе информационной безопасности и финансовых затрат при ее модернизации;
-
-
повышение прибыли предприятия за счет снижения рисков информационной безопасности (в т.ч. с учетом инвестиций в систему информационной безопасности).
Зачем проводить Аудит ИБ
-
анализ рисков для информационных ресурсов предприятия;
-
-
оценка уровня защищенности информационных ресурсов предприятия;
-
-
оценка режима информационной безопасности по существующим стандартам;
-
-
рекомендации по повышению эффективности;
-
-
разработка и внедрение организационно-распорядительных документов;
-
-
постановка задач ИТ-персоналу по обеспечению информационной безопасности;
-
-
обучение сотрудников вопросам обеспечения информационной безопасности;
-
-
разбор инцидентов, связанных с нарушением информационной безопасности.
Этапы Аудита информационной безопасности
-
инициирование (согласование полномочий аудитора и план проверки);
-
-
сбор информации;
-
-
анализ данных;
-
-
выработка рекомендаций, документов;
-
-
подготовка отчета;
-
-
презентация (по желанию заказчика).
Результат аудита ИБ
Основной результат аудита – отчет. Он содержит описание целей и этапов проведения аудита, характеристику обследуемой информационной системы предприятия, указание границ проведения аудита, используемых средств и методов, результаты анализа данных аудита, выводы, обобщающие эти результаты и содержащие оценку уровня защищенности АС или соответствие её требованиям стандартов, а так же рекомендации аудитора по устранению существующих недостатков и совершенствованию системы информационной безопасности.
По желанию Заказчика, предоставляется презентация отчета.
Так же, по согласованию с Заказчиком, возможна подготовка проекта модернизации системы информационной безопасности в соответствии с представленными в Отчете рекомендациями, ее внедрение и сопровождение.
