Язык:
Контакты Скачать
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии и сертификаты
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • ПО ElvisSIM.OS
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
    •

    Комплексный аудит информационной безопасности

    Аудит информационной безопасности (ИБ) — процесс получения объективных оценок соответствия текущего состояния ИБ корпоративной информационной системы (КИС) определённым критериям.

    Критериями могут быть:
    • Требования законов и нормативных актов (ФЗ-152, Положения Банка России 382-П, приказов ФСТЭК России № 17, 21 и 31 и др.).
    • Положения стандартов (международных – например, ISO 27001, ISO 22301; российских государственных, отраслевых – например, СТО БР).
    • Требования внутренних организационно-распорядительных документов (Политик ИБ, регламентов, процедур и инструкций).
    • Рекомендации производителей оборудования и ПО (Whitepapers, Advisory и др.).
    • Экспертный опыт аудиторов ЭЛВИС-ПЛЮС.

    В зависимости от выбранных критериев оценки процесс аудита будет иметь свою специфику, однако состав работ в любом случае содержит общие моменты.

    По результатам проведения аудита заказчик получает Отчёт, в котором содержатся описание результатов обследования, выводы и рекомендации. Рекомендации могут быть расширены и конкретизированы за счёт разработки проектов Плана первоочередных мероприятий и Программы основных мероприятий по построению/развитию СОБИ (по желанию заказчика с указанием бюджетных оценок стоимости работ).

    Комплексный аудит ИБ дополняется оценкой рисков ИБ. Она проводится с различной степенью детализации в зависимости от критичности активов, опасности выявленных угроз и уязвимостей, истории инцидентов ИБ. Перечень актуальных для КИС угроз, Методика и Отчёт по результатам оценки рисков оформляются в виде отдельных документов.

    Комплексный аудит ИБ рекомендуется проводить с определённой периодичностью, в случае серьёзных изменений как во внешней среде (законодательство, развитие технологий, появление новых угроз ИБ), так и внутри организации (изменение организационной структуры, технологических процессов, структуры и/или технологической платформы КИС).

    Рекомендуемый состав работ по проведению комплексного аудита ИБ:
    • Планирование работ, уточнение целей и задач, критериев аудита и области обследования (т.е. рассматриваемых процессов, перечня информационных систем, состава подразделений, территориальных объектов, которые затрагиваются обследованием).
    • Формирование опросных листов (сбор исходных данных проводится в виде интервьюирования, анкетирования и визуального осмотра (наблюдения)).
    • Сбор и анализ исходных данных о процессах, входящих в область аудита, обрабатываемой информации и информационных системах, автоматизирующих эти процессы.
    • Анализ имеющихся нормативных и организационно-распорядительных документов о защите информации и порядке функционирования КИС.
    • Анализ имеющейся проектной и эксплуатационной документации в части обследуемых ИС и подсистем ИБ.
    • Анализ структуры, состава, принципов функционирования КИС и существующей системы защиты информации.
    • Оценка реализации организационных и технических мер защиты информации (в том числе оценка защищённости технических средств и программного обеспечения, сетевой инфраструктуры КИС, существующих подсистем ИБ).
    • Проведение инструментальных проверок состояния ИБ КИС, в том числе с моделированием действий потенциального злоумышленника — тестом на проникновение.
    • Разработка рекомендаций по устранению выявленных несоответствий и повышению общего уровня защищённости.
    • Подготовка независимого экспертного заключения о состоянии ИБ КИС.
    • Формирование Отчёта по результатам аудита ИБ.
    Проведение комплексного аудита ИБ позволит:
    • Получить объективную оценку степени выполнения или невыполнения обязательных требований или рекомендаций (в соответствии с выбранными критериями аудита).
    • Оптимизировать процессы управления ИБ и состав ОРД.
    • Выработать требования к техническим средствам и методам защиты информации, необходимым для обеспечения ИБ КИС.
    • Обоснованно спланировать и реализовать меры, направленные на повышение защищённости КИС и обрабатываемой в ней информации.

    При выполнении работ специалисты руководствуются авторской, специально разработанной в компании и отлично себя зарекомендовавшей методикой проведения аудита ИБ, что гарантирует полноту полученных сведений, оценок и соблюдение сроков.

    Отчёт по результатам комплексного аудита ИБ включает:
    • Сведения об объектах аудита.
    • Описание информационных систем, входящих в область аудита.
    • Описание состава и классификацию информации, обрабатываемой в организации (в рамках области аудита).
    • Результаты анализа организационно-распорядительной документации в области защиты информации.
    • Результаты оценки реализации организационных и технических мер защиты.
    • Выводы и рекомендации по повышению уровня защищённости.
    Выгоды от проведения работ:
    • Получение объективных свидетельств соответствия процессов обработки и обеспечения безопасности информации выбранным критериям аудита.
    • Формирование обоснованного плана по приведению процессов обработки и защиты информации в организации в соответствие с обязательными требованиями и рекомендациями (выбранными в качестве критериев аудита).
    • Снижение рисков предъявления претензий со стороны надзорных органов и административной ответственности за невыполнение требований законодательства.
    • Проведение независимой оценки, позволяющей контролировать эффективность и определять направления совершенствования процессов, связанных с обеспечением информационной безопасности.

    Начиная пользоваться Сайтом, Вы считаетесь принявшими условия Пользовательского Соглашения и соглашаетесь на обработку данных о Вас АО «ЭЛВИС-ПЛЮС», сервисами Яндекс.Метрика и Google Analytics в порядке и целях, указанных в этом Соглашении, и в соответствии с Политикой обработки персональных данных. Если Вы не согласны с этими условиями, покиньте Сайт. Подробнее

    Этот сайт использует сервисы веб-аналитики Яндекс.Метрика и Google Analytics. Эти сервисы используют технологию cookie — небольшие текстовые файлы, размещаемые на компьютере пользователей с целью анализа их пользовательской активности.

    Собранная сервисами при помощи cookie информация не может идентифицировать Вас, однако может помочь нам улучшить работу нашего сайта. Информация об использовании Вами данного сайта, собранная при помощи cookie, будет передаваться компаниям Яндекс и Google. Собранные данные будут обрабатываться для оценки использования Вами сайта, составления для нас отчетов о деятельности нашего сайта, и предоставления других услуг. Яндекс и Google обрабатывают эту информацию в порядке, установленном в условиях использования этих сервисов (см. Пользовательское Соглашение).

    Вы можете отказаться от использования файлов cookie, выбрав соответствующие настройки в браузере. Однако это может повлиять на работу некоторых функций сайта.