Аудит информационной безопасности
Описание услуги
Аудит информационной безопасности – независимая оценка текущего состояния системы управления информационной безопасности (СУИБ) и разработка рекомендаций и инициатив по повышению уровня информационной безопасности (ИБ) компании.
Аудит ИБ позволяет руководству компании, ее акционерам и третьим сторонам оценить текущее состояние СУИБ, а также выработать необходимые меры, направленные на совершенствование СУИБ, технологических бизнес-процессов и используемых IT-технологий.
Детали
Ценность аудита
Ценность аудита ИБ заключается в следующем:
- Аудит представляет собой независимое исследование, что повышает объективность его результатов;
- Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт работы в сфере ИБ, в отличие от штатных сотрудников компании;
- Аудит ИБ дает понимание основных угроз информационной инфраструктуры, что позволяет управлять бизнес рисками;
- Аудит ИБ дает возможность снизить финансовые затраты за счет правильно расставленных приоритетов при внедрении мер по обеспечению информационной безопасности;
- Аудит ИБ предшествует работам по созданию системы защиты информации, либо ее модернизации.
Цели аудита
Основными целями проведения работ по аудиту ИБ являются:
- Независимая оценка текущего уровня защищенности информационной инфраструктуры для принятия решения о ее модернизации;
- Идентификация и оценка уязвимостей;
- Определение соответствия СУИБ задачам и бизнес-целям компании;
- Оценка эффективности инвестиций и планирование затрат на обеспечение защиты информации;
- Соответствие требованиям действующего законодательства РФ и международных стандартов;
- Минимизация рисков ИБ.
Решаемые задачи
Проведение аудита ИБ позволит компании решить следующие задачи:
- Получить независимую оценку состояния информационной безопасности в компании;
- Выявить уязвимости, угрозы в ИТ-инфраструктуре и технологических бизнес-процессах, а также определить связанные с ними риски;
- Сформировать потребности в необходимых мерах и средствах защиты;
- Сформировать перечень дальнейших шагов по устранению выявленных угроз информационной безопасности;
- Оценить соответствие используемых средств защиты информации, задачам и целям компании;
- Cпланировать мероприятия по информационной безопасности.
Мы делаем
Компания Astrum предлагает следующие этапы проведения работ по аудиту информационной безопасности:
Этап I. Планирование работ:
- определение границ проведения аудита;
- определение рабочей группы проекта;
- разработка календарного Плана проведения аудита и пр.
Этап II. Обследование и сбор информации:
- запрос необходимой информации;
- проведение анкетирования;
- проведение интервьюирования;
- анализ бизнес-процессов и целей компании;
- выделение основных информационных активов;
- идентификация основных информационных потоков;
- обследование ИТ-инфраструктуры и имеющихся механизмов защиты информации;
- инструментальное сканирование;
- осмотр помещений и пр.
Этап III. Анализ и оценка полученных данных:
- анализ полноты и содержания существующей организационно-распорядительной документации, требованиям по защите информации;
- определение уровня защищенности ИТ-инфраструктуры;
- анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов и пр.
Этап IV. Разработка рекомендаций и Отчета аудита:
- разработка рекомендаций по минимизации рисков выявленных угроз ИБ;
- разработка рекомендаций по совершенствованию системы информационной безопасности;
- разработка рекомендаций по настройке и конфигурированию применяемых ИТ-решений и средств защиты;
- разработка рекомендаций и отчета аудита.
Подход к работе
В рамках проведения аудита ИБ, компания Astrum использует следующие практики:
1. Международные, национальные и отраслевые стандарты:
- ISO 27001. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования.
- ISO 27002. Информационные технологии. Свод правил по управлению защитой информации.
- ISO 27005. Информационная технология - Методы и средства обеспечения безопасности – Менеджмент риска информационной безопасности.
- Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» Общие положения. (СТО БР ИББС).
- Стандарт безопасности инфраструктуры платежных карт – PCI DSS.
2. Законодательная и нормативная база:
- Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных».
- Федеральный закон от 27.06.2011 г. №161-ФЗ «О национальной платежной системе».
- Федеральный закон от 29.07.2004 г. №98-ФЗ «О коммерческой тайне».
- Федеральный закон от 06.04.2011 г. №63-ФЗ «Об электронной подписи».
- Федеральный закон от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации».
3. Внутренние организационно-распорядительные документы компании.
Для заказа услуги напишите нам на адрес
info@astrum-it.ru
или позвоните по телефону
+7 (495) 98-89-105