Аудит информационной безопасности
Аудит ИБ (информационной безопасности) подразумевает проведение анализа и экспертной оценки текущего состояния системы обеспечения защищенности и конфиденциальности данных. Он может проводиться как комплексно (с изучением всей инфраструктуры), так и выборочно — в последнем случае анализируются только определённые объекты, участки, аппаратно-программные компоненты (сети передачи либо хранения данных, серверы и др.).
Частичный аудит информационной безопасности позволяет за короткое время оценить уровень защищённости информационной безопасности и выявить потенциально уязвимые, наиболее критичные для ведения бизнеса места.
Цели проведения анализа
- оценка текущего состояния;
- обнаружение явных, потенциальных, скрытых опасностей и их устранение;
- обоснование внедряемых технологий по обеспечению сохранности и конфиденциальности данных, а также работоспособности IT-инфраструктуры;
- соблюдение действующих в ИТ-сфере отечественных и международных регламентов, нормативов, стандартов;
- минимизация возможного ущерба.
Аудит информационной безопасности позволяет:
- по итогам анализа получить адекватную оценку текущего состояния информационной безопасности;
- обнаружить и рассмотреть возможные угрозы;
- сформулировать требования к IT-системе в соответствии с заданными критериями;
- оценить расходы и спланировать действия по обеспечению сохранности информации.
Этапы аудита информационной безопасности
Проверяется защищённость от вредоносных программ (вирусы, шпионское ПО и др.). Анализируются меры по защите аппаратного обеспечения: серверов, сетевого оборудования, систем хранения, рабочих станций.
Собираются данные о связях объектов аудита информационной безопасности с другими компонентами ИТ-инфраструктуры. Осуществляется документирование логической организации корпоративных сетей, систем защиты периметра, контроля и разграничения доступа. Проводится углубленный анализ объектов, возможные проблемы с которыми могут стать критичными для бизнеса, а также работы точек удаленного доступа.
Документируются этапы бизнес-процессов, систем хранения данных, документооборота, осуществляется оценка достаточности используемых на различных этапах программных средств.
Комплекс мер, предлагаемых по итогам аудита информационной безопасности, оформляется документально.
При сборе данных для анализа может проводиться интервьюирование сотрудников, исследование документации, осмотр и инвентаризация ИТ-инфраструктуры, возможно применение ряда иных методов.
- Экспресс-обследование. Оцениваются сроки анализа и стоимость аудита информационной безопасности, уточняются поставленные перед специалистами по ИБ задачи. Данный этап оформляется отдельным соглашением с заказчиком, поскольку от его итогов может зависеть порядок прохождения дальнейших стадий. Если подразумевается доступ к конфиденциальным сведениям, составляется соответствующий двусторонний документ и налаживается сотрудничество со службой безопасности клиента.
- Формулировка задач, корректировка перечня работ. Конкретизируются цели аудита информационной безопасности, проводятся организационные мероприятия, формируется рабочая группа, которая будет заниматься анализом. Готовится техническое задание, составляется график, а также состав и содержание работ.
- Сбор данных в соответствии с техзаданием. Проводится анализ аппаратно-программного обеспечения, гарантирующего безопасное функционирование ИТ-инфраструктуры. При этом исследуются средства сетевой защиты, шифрования и резервного копирования, бесперебойного питания, контроля распространения и использования конфиденциальных сведений.
- Изучение данных, полученных по итогам аудита информационной безопасности. Анализируется информация, сопоставляются риски, формируются выводы и рекомендации. Составляется и оформляется отчет о проведенном аудите информационной безопасности. При определенных обстоятельствах может приниматься решение о сборе дополнительных сведений.
Итог аудита информационной безопасности
Итогом является документация с данными о текущем состоянии системы защиты информации и рекомендациями по улучшению ее работы. Специалисты ИТ-компании «Азон» всегда готовы провести аудит информационной безопасности в вашей организации, своевременно устранить уязвимости и предотвратить их дальнейшее появление.