Аудит інформаційної безпеки
Інформація, безумовно, є найважливішим активом будь-якої компанії. Від того на скільки добре забезпечена захист інформації , Часом залежить успіх всього бізнесу.
Аудит інформаційної безпеки - незалежна оцінка поточного стану системи управління інформаційною безпекою, що встановлює рівень її відповідності певним критеріям. Метою аудиту може бути як комплексний аудит системи захисту інформації Замовника, так і аудит інформаційної безпеки окремих систем (серверів, мереж передачі даних, систем зберігання даних і ін.).
Як проходить ІБ-аудит?
В процесі аудиту проводяться:
- Аналіз організаційно-розпорядчих документів організації;
- Інтерв'ю з співробітниками організації: адміністраторами та розробниками інформаційних систем, фахівцями з інформаційної безпеки;
- Оцінка знання співробітниками політик безпеки, прийнятих в організації;
- Огляд технологічних і офісних приміщень з точки зору забезпечення фізичної безпеки;
- Аналіз конфігураційних налаштувань обладнання і ПЗ;
- Аналіз застосовуваних захисних заходів;
- Оцінка ризиків інформаційної безпеки.
В результаті аудиту формуються звіт, який містить оцінки:
- стратегії забезпечення інформаційної безпеки;
- відповідності рівня безпеки актуальним вимогам;
- відповідності кращим практикам та стандартам в області ІБ;
рекомендації:
- щодо підвищення рівня інформаційної безпеки організації;
- по регламентації політики забезпечення інформаційної безпеки, як в найближчій, так і довгостроковій перспективі;
- щодо приведення організаційно-розпорядчих документів в області інформаційної безпеки у відповідність з вимогами;
- з проектування комплексної системи інформаційної безпеки (її елементів і підсистем);
- по оптимізації існуючої конфігурації ІТ-інфраструктури підприємства;
- по оптимізації конфігурацій і налаштувань існуючих засобів захисту інформації;
- по впровадженню додаткових засобів захисту інформації.
В результаті аудиту, також може бути розроблений план реалізації рекомендацій з бюджетної оцінкою і технічним завданням на впровадження рекомендованих заходів щодо забезпечення інформаційної безпеки.
Цінність для бізнесу
- Істотне підвищення стійкості підприємства по відношенню до погроз інформаційної безпеки.
- Реальна оцінка загроз інформаційній безпеці.
- Поліпшення якості організації та ефективності ІТ-інфраструктури підприємства щодо питань інформаційної безпеки.
- Підвищення корпоративної культури співробітників підприємства щодо питань інформаційної безпеки.
- Поліпшення іміджу компанії як надійного партнера в очах партнерів і клієнтів.
Як проходить ІБ-аудит?