Услуги
Аудит информационной безопасности

Описание услуги

Аудит информационной безопасности – независимая оценка текущего состояния системы управления информационной безопасности (СУИБ) и разработка рекомендаций и инициатив по повышению уровня информационной безопасности (ИБ) компании.

 

Аудит ИБ позволяет руководству компании, ее акционерам и третьим сторонам оценить текущее состояние СУИБ, а также выработать необходимые меры, направленные на совершенствование СУИБ, технологических бизнес-процессов и используемых IT-технологий.

Детали

 Ценность аудита

 Ценность аудита ИБ заключается в следующем:    

  • Аудит представляет собой независимое исследование, что повышает объективность его результатов;
  • Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт работы в сфере ИБ, в отличие от штатных сотрудников компании;
  • Аудит ИБ дает понимание основных угроз информационной инфраструктуры, что позволяет управлять бизнес рисками;
  • Аудит ИБ дает возможность снизить финансовые затраты за счет правильно расставленных приоритетов при внедрении мер по обеспечению информационной безопасности;
  • Аудит ИБ предшествует работам по созданию системы защиты информации, либо ее модернизации.

 

Цели аудита

Основными целями проведения работ по аудиту ИБ являются:

  • Независимая оценка текущего уровня защищенности информационной инфраструктуры для принятия решения о ее модернизации;
  • Идентификация и оценка уязвимостей;
  • Определение соответствия СУИБ задачам и бизнес-целям компании;
  • Оценка эффективности инвестиций и планирование затрат на обеспечение защиты информации;
  • Соответствие требованиям действующего законодательства РФ и международных стандартов;
  • Минимизация рисков ИБ.

 

Решаемые задачи

Проведение аудита ИБ позволит компании решить следующие задачи:

  • Получить независимую оценку состояния информационной безопасности в компании;
  • Выявить уязвимости, угрозы в ИТ-инфраструктуре и технологических бизнес-процессах, а также определить связанные с ними риски;
  • Сформировать потребности в необходимых мерах и средствах защиты;
  • Сформировать перечень дальнейших шагов по устранению выявленных угроз информационной безопасности;
  • Оценить соответствие используемых средств защиты информации, задачам и целям компании;
  • Cпланировать мероприятия по информационной безопасности.

 

Мы делаем

Компания Astrum предлагает следующие этапы проведения работ по аудиту информационной безопасности:

Этап I. Планирование работ:

  • определение границ проведения аудита;
  • определение рабочей группы проекта;
  • разработка календарного Плана проведения аудита и пр.

 

Этап II. Обследование и сбор информации:

  • запрос необходимой информации;
  • проведение анкетирования;
  • проведение интервьюирования;
  • анализ бизнес-процессов и целей компании;
  • выделение основных информационных активов;
  • идентификация основных информационных потоков;
  • обследование ИТ-инфраструктуры и имеющихся механизмов защиты информации;
  • инструментальное сканирование;
  • осмотр помещений и пр.

 

Этап III. Анализ и оценка полученных данных:

  • анализ полноты и содержания существующей организационно-распорядительной документации, требованиям по защите информации;
  • определение уровня защищенности ИТ-инфраструктуры;
  • анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов и пр.

 

Этап IV. Разработка рекомендаций и Отчета аудита:

  • разработка рекомендаций по минимизации рисков выявленных угроз ИБ;
  • разработка рекомендаций по совершенствованию системы информационной безопасности;
  • разработка рекомендаций по настройке и конфигурированию применяемых ИТ-решений и средств защиты;
  • разработка рекомендаций и отчета аудита.

Подход к работе

В рамках проведения аудита ИБ, компания Astrum использует следующие практики:

 

1. Международные, национальные и отраслевые стандарты:

 

  • ISO 27001. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования.
  • ISO 27002. Информационные технологии. Свод правил по управлению защитой информации.
  • ISO 27005. Информационная технология - Методы и средства обеспечения безопасности – Менеджмент риска информационной безопасности.
  • Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» Общие положения. (СТО БР ИББС).
  • Стандарт безопасности инфраструктуры платежных карт – PCI DSS.

 

2. Законодательная и нормативная база:

 

  • Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных».
  • Федеральный закон от 27.06.2011 г. №161-ФЗ «О национальной платежной системе».
  • Федеральный закон от 29.07.2004 г. №98-ФЗ «О коммерческой тайне».
  • Федеральный закон от 06.04.2011 г. №63-ФЗ «Об электронной подписи».
  • Федеральный закон от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации».

 

3. Внутренние организационно-распорядительные документы компании.

Для заказа услуги напишите нам на адрес
info@astrum-it.ru
или позвоните по телефону
+7 (495) 98-89-105