Аудит информационной безопасности

Информация, безусловно, является важнейшим активом любой компании. От того на сколько хорошо обеспечена защита информации, порой зависит успех всего бизнеса.

Аудит информационной безопасности – независимая оценка текущего состояния системы управления информационной безопасностью, устанавливающая уровень ее соответствия определенным критериям. Целью аудита может быть как комплексный аудит системы защиты информации Заказчика, так и аудит информационной безопасности отдельных систем (серверов, сетей передачи данных, систем хранения данных и др.).

Как проходит ИБ-аудит?

В процессе аудита проводятся:

• Анализ организационно-распорядительных документов организации;
• Интервью с сотрудниками организации: администраторами и разработчиками информационных систем, специалистами по информационной безопасности;
• Оценка знания сотрудниками политик безопасности, принятых в организации;
• Осмотр технологических и офисных помещений с точки зрения обеспечения физической безопасности;
• Анализ конфигурационных настроек оборудования и ПО;
• Анализ применяемых защитных мер;
• Оценка рисков информационной безопасности.

В результате аудита формируются отчет, который содержит оценки:

• стратегии обеспечения информационной безопасности;
• соответствия уровня безопасности актуальным требованиям;
• соответствия лучшим практикам и стандартам в области ИБ;

рекомендации:

• по повышению уровня информационной безопасности организации;
• по регламентации политики обеспечения информационной безопасности, как в ближайшей, так и долгосрочной перспективе;
• по приведению организационно-распорядительных документов в области информационной безопасности в соответствие с предъявляемыми требованиями;
• по проектированию комплексной системы информационной безопасности (ее элементов и подсистем);
• по оптимизации существующей конфигурации ИТ-инфраструктуры предприятия;
• по оптимизации конфигураций и настроек существующих средств защиты информации;
• по внедрению дополнительных средств защиты информации.

В результате аудита, также может быть разработан план реализации рекомендаций с бюджетной оценкой и техническим заданием на внедрение рекомендуемых мер по обеспечению информационной безопасности.

Ценность для бизнеса

• Существенное повышение устойчивости предприятия по отношению к угрозам информационной безопасности.
• Реальная оценка угроз информационной безопасности.
• Улучшение качества организации и эффективности ИТ-инфраструктуры предприятия в отношении вопросов информационной безопасности.
• Повышение корпоративной культуры сотрудников предприятия в отношении вопросов информационной безопасности.
• Улучшение имиджа компании в качестве надежного партнера в глазах партнеров и клиентов.