Аудит информационной безопасности

Оценка состояния информационной безопасности в организации на соответствие международным или российским нормативным документам
Компания Элефус предоставляет услуги по аудиту информационной безопасности, в рамках которого организация получает объективную оценку защищенности информационных систем организации, определить имеющиеся проблемы с информационной безопасностью в компании, разработать эффективный план построения системы обеспечения информационной безопасности.

Аудит информационной безопасности включает в себя анализ механизмов безопасности организационного уровня, политики безопасности организации, программно-технических средств защиты информации, организационно-распорядительной документации, процессов управления безопасностью и оценку их соответствия требованиям нормативных документов и адекватности существующим рискам.

    Проблематика
    Потребность в аудите информационной безопасности возникает в организациях для выполнения следующих задач:
    — Необходимость в получении объективной оценки степени выполнения или невыполнения обязательных требований или рекомендаций
    — Выработать требования к техническим средствам и методам защиты информации, необходимым для обеспечения информационной безопасности
      Решение
      Состав работ по проведению комплексного аудита информационной безопасности:
      Планирование работ, уточнение целей и задач, критериев аудита и области обследования
      Сбор и анализ исходных данных о процессах, входящих в область аудита, обрабатываемой информации и информационных системах
      Анализ имеющихся нормативных и организационно-распорядительных документов о защите информации и порядке функционирования информационных систем
      Анализ имеющейся проектной и эксплуатационной документации в части обследуемых ИС и подсистем ИБ
      Анализ структуры, состава, принципов функционирования КИС и существующей системы защиты информации
      Оценка реализации организационных и технических мер защиты информации (в том числе оценка защищённости технических средств и программного обеспечения, сетевой инфраструктуры, существующих подсистем информационной безопасности)
      Проведение инструментальных проверок состояния информационной безопасности
      Разработка рекомендаций по устранению выявленных несоответствий и повышению общего уровня защищённости
      Подготовка независимого экспертного заключения о состоянии информационной безопасности
      Формирование отчёта по результатам аудита информационной безопасности

      Отчёт по результатам комплексного аудита информационной безопасности включает:
      Сведения об объектах аудита
      Описание информационных систем, входящих в область аудита
      Описание состава и классификацию информации, обрабатываемой в организации (в рамках области аудита)
      Результаты анализа организационно-распорядительной документации в области защиты информации
      Результаты оценки реализации организационных и технических мер защиты
      Выводы и рекомендации по повышению уровня защищённости

        Выгоды
        Проведение комплексного аудита информационной безопасности позволяет:
        Получить объективную оценку степени выполнения или невыполнения обязательных требований или рекомендаций (в соответствии с выбранными критериями аудита)
        Оптимизировать процессы управления информационной безопасности и состав организационно-распорядительных документов
        Выработать требования к техническим средствам и методам защиты информации, необходимым для обеспечения информационной безопасности
        Обоснованно спланировать и реализовать меры, направленные на повышение защищённости информационных систем и обрабатываемой в них информации