Среди всех видов независимой оценки текущего состояния дел в компании, приоритетным для руководителя становится аудит информационной безопасности. Коммерческая информация является важным конкурентным преимуществом, а аудит информационной безопасности – надежным инструментом защиты бизнеса.
Ценность коммерческой информации сегодня очевидна, это ключевой ресурс, от которого зависит экономическая стабильность любого бизнеса. Причем, особенность информации, как ресурса, состоит в том, что её невозможно запереть в сейф. Она должна активно использоваться сотрудниками в процессе осуществления их должностных обязанностей. Насколько хорошо организована защита информации в вашей фирме? Как выявить главные уязвимости и возможные каналы утечки информации? В какой степени подвержена фирма внешним и внутренним угрозам? Аудит информационной безопасности призван не только ответить на эти вопросы, но и стать аналитической базой для разработки грамотной политики безопасности в фирме и составления рекомендаций по укреплению «слабых звеньев».
Необходимость в экспертной оценке состояния информационной безопасности может возникнуть в разных случаях:
Аудит информационной безопасности обязателен, когда происходит реорганизация компании (слияние, поглощение, расширение).
Когда меняется руководство компании или её организационная структура.
Если происходят существенные изменения в ИТ-инфраструктуре или бизнес-процессах.
Аудит информационной безопасности производится, если появляются новые внешние и внутренние требования в сфере ИБ.
Аудит информационной безопасности также является обязательным условием при выходе компании на международный рынок или осуществлении совместных проектов с иностранными партнерами.
Это актуальная процедура для любой фирмы, в штате которой отсутствует компетентный специалист по информационной безопасности.
Аудит информационной безопасности включает в себя несколько этапов:
Прежде чем произвести аудит информационной безопасности, мы анализируем задачи, которые ставит перед своей информационной системой руководитель. Нам необходимо понять, каковы критерии оценки состояния, каковы ожидания и перспективы развития информационной системы.
Далее осуществляется сбор исходных данных об информационной системе организации, её функциональных подсистемах, особенностях и функциях.
Собирается информация о технологиях автоматизированной обработки и передачи данных, которые используются в организации, свойствах циркулирующей информации и критичных информационных потоках с точки зрения обеспечения её целостности, доступности и конфиденциальности.
Анализируются действующие организационно–распорядительные документы, регламентирующие защиту информации.
Осматриваются офисные и технологические помещения на предмет обеспечения физической безопасности информационной инфраструктуры.
Производится аудит и анализ конфигурационных настроек ПО и оборудования.
Осуществляются различные виды тестирования системы на устойчивость к проникновениям, в том числе через Интернет.
Интервьюируются технические специалисты организации, сотрудники, отвечающие за ИБ и руководители подразделений с целью определения требований, предъявляемых к информационной системе.
Полученные данные анализируются, формируется отчет по результатам, подготавливаются предложения по совершенствованию системы ИБ организации.
Завершив аудит информационной безопасности, мы представляем заказчику детальный отчет, в который включаются:
Перечень и описание технологических уязвимостей в информационной инфраструктуре фирмы.
Оценка критичности выявленных уязвимостей и прогноз вероятных последствия в случае реализации угроз.
Оценка соответствия действующей системы информационной безопасности фирмы актуальным требованиям и стандартам в области ИБ.
Конкретные рекомендации, которые позволят повысить текущий уровень защиты информации.
План реализации данных рекомендаций с примерной бюджетной оценкой.
Подробное техническое задание на внедрение мер, рекомендуемых для повышения информационной безопасности.
Аудит информационной безопасности предоставляет руководству компании реальную картину состояние информационных активов и позволяет объективно оценить степень их защищенности. Проведение аудита ИБ способствует минимизации рисков и повышению авторитета фирмы в глазах партнеров и клиентов.
