Контакты
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Комплексный аудит информационной безопасности

    Аудит информационной безопасности (ИБ) — процесс получения объективных оценок соответствия текущего состояния ИБ корпоративной информационной системы (КИС) определённым критериям.

    Критериями могут быть:
    • Требования законов и нормативных актов (ФЗ-152, Положения Банка России 382-П, приказов ФСТЭК России № 17, 21 и 31 и др.).
    • Положения стандартов (международных – например, ISO 27001, ISO 22301; российских государственных, отраслевых – например, СТО БР).
    • Требования внутренних организационно-распорядительных документов (Политик ИБ, регламентов, процедур и инструкций).
    • Рекомендации производителей оборудования и ПО (Whitepapers, Advisory и др.).
    • Экспертный опыт аудиторов ЭЛВИС-ПЛЮС.

    В зависимости от выбранных критериев оценки процесс аудита будет иметь свою специфику, однако состав работ в любом случае содержит общие моменты.

    По результатам проведения аудита заказчик получает Отчёт, в котором содержатся описание результатов обследования, выводы и рекомендации. Рекомендации могут быть расширены и конкретизированы за счёт разработки проектов Плана первоочередных мероприятий и Программы основных мероприятий по построению/развитию СОБИ (по желанию заказчика с указанием бюджетных оценок стоимости работ).

    Комплексный аудит ИБ дополняется оценкой рисков ИБ. Она проводится с различной степенью детализации в зависимости от критичности активов, опасности выявленных угроз и уязвимостей, истории инцидентов ИБ. Перечень актуальных для КИС угроз, Методика и Отчёт по результатам оценки рисков оформляются в виде отдельных документов.

    Комплексный аудит ИБ рекомендуется проводить с определённой периодичностью, в случае серьёзных изменений как во внешней среде (законодательство, развитие технологий, появление новых угроз ИБ), так и внутри организации (изменение организационной структуры, технологических процессов, структуры и/или технологической платформы КИС).

    Рекомендуемый состав работ по проведению комплексного аудита ИБ:
    • Планирование работ, уточнение целей и задач, критериев аудита и области обследования (т.е. рассматриваемых процессов, перечня информационных систем, состава подразделений, территориальных объектов, которые затрагиваются обследованием).
    • Формирование опросных листов (сбор исходных данных проводится в виде интервьюирования, анкетирования и визуального осмотра (наблюдения)).
    • Сбор и анализ исходных данных о процессах, входящих в область аудита, обрабатываемой информации и информационных системах, автоматизирующих эти процессы.
    • Анализ имеющихся нормативных и организационно-распорядительных документов о защите информации и порядке функционирования КИС.
    • Анализ имеющейся проектной и эксплуатационной документации в части обследуемых ИС и подсистем ИБ.
    • Анализ структуры, состава, принципов функционирования КИС и существующей системы защиты информации.
    • Оценка реализации организационных и технических мер защиты информации (в том числе оценка защищённости технических средств и программного обеспечения, сетевой инфраструктуры КИС, существующих подсистем ИБ).
    • Проведение инструментальных проверок состояния ИБ КИС, в том числе с моделированием действий потенциального злоумышленника — тестом на проникновение.
    • Разработка рекомендаций по устранению выявленных несоответствий и повышению общего уровня защищённости.
    • Подготовка независимого экспертного заключения о состоянии ИБ КИС.
    • Формирование Отчёта по результатам аудита ИБ.
    Проведение комплексного аудита ИБ позволит:
    • Получить объективную оценку степени выполнения или невыполнения обязательных требований или рекомендаций (в соответствии с выбранными критериями аудита).
    • Оптимизировать процессы управления ИБ и состав ОРД.
    • Выработать требования к техническим средствам и методам защиты информации, необходимым для обеспечения ИБ КИС.
    • Обоснованно спланировать и реализовать меры, направленные на повышение защищённости КИС и обрабатываемой в ней информации.

    При выполнении работ специалисты руководствуются авторской, специально разработанной в компании и отлично себя зарекомендовавшей методикой проведения аудита ИБ, что гарантирует полноту полученных сведений, оценок и соблюдение сроков.

    Отчёт по результатам комплексного аудита ИБ включает:
    • Сведения об объектах аудита.
    • Описание информационных систем, входящих в область аудита.
    • Описание состава и классификацию информации, обрабатываемой в организации (в рамках области аудита).
    • Результаты анализа организационно-распорядительной документации в области защиты информации.
    • Результаты оценки реализации организационных и технических мер защиты.
    • Выводы и рекомендации по повышению уровня защищённости.
    Выгоды от проведения работ:
    • Получение объективных свидетельств соответствия процессов обработки и обеспечения безопасности информации выбранным критериям аудита.
    • Формирование обоснованного плана по приведению процессов обработки и защиты информации в организации в соответствие с обязательными требованиями и рекомендациями (выбранными в качестве критериев аудита).
    • Снижение рисков предъявления претензий со стороны надзорных органов и административной ответственности за невыполнение требований законодательства.
    • Проведение независимой оценки, позволяющей контролировать эффективность и определять направления совершенствования процессов, связанных с обеспечением информационной безопасности.