Аудит защищенности ИТ инфраструктуры организации

Аудит ИБ (информационной безопасности)

 

Для получения оценок реальной защищённости ИТ-активов предприятия, организации, соотношение её с существующими правилами проводится аудит систем безопасности. Это реальный комплекс мероприятий, направленный на улучшение средств защиты. Проверка может быть как комплексной, так и частичной (например, подтверждение деятельности бизнеса конкретному стандарту). Конечной целью аудита может быть не только получение рекомендаций, но и внесение изменений для улучшения текущего состояния дел.

 

Внутренний аудит ‒ это непрерывная деятельность организации, проводимая на основании специально разработанного положения.

 

Внешний аудит ‒ это, как правило, разовое мероприятие, которое рекомендуют проводить регулярно. Его проведение доверяют независимым аудиторам-экспертам. Основанием для такой проверки может стать требование руководства, инвесторов или правоохранительных или прочих надзорных органов.

 

Цели проведения анализа

 

Проведение аудита иб необходимо для решения следующих задач:

 

• _01Объективный, независимый анализ существующего состояния системы в разрезе защищённости от внутренних и внешних угроз;
• _02Нахождение и удаление скрытых и явных уязвимостей ИТ-инфраструктуры, процессов, управление их влиянием на бизнес;
• _03Сведение к минимуму риска потери финансов, доверия клиентов компании;
• _04Внедрение технологий, обеспечивающих сохранность информации, предотвращающих несанкционированных вторжений в IT-структуру, угрожающих её работоспособности;
• _05Приведение в соответствие действующей системы защиты ИБ с нормативными документами разного уровня.

 

Этапы аудита информационной безопасности

 

• _01Инициация. Первым шагом после получения заявки аудиторским агентством становится подписание договора с заказчиком после экспресс-обследования. Этот этап оформляют в виде отдельного соглашения. При предоставлении аудиторам доступа к конфиденциальным данным составляется дополнительный документ о неразглашении и устанавливается контакт со службой безопасности. На основании полученной информации составляет план проверки, содержание и сроки выполнения которого зависят от набора критериев, объема предстоящих работ. План может входить в техническое задание. Также иногда составляют программу, которая включает планирование проведения серии аудитов. После корректировки задач составляется техническое задание, график выполнения работ.
• _02Сбор свидетельств. Получение данных о состоянии ИБ в компании в разрезе критериев предстоящей оценки. Это могут быть скриншоты, опрос сотрудников, проверка документооборота, организации архивирования. Изучается аппаратно-программное обеспечение в разрезе безопасной эксплуатации IT-инфраструктуры. Проверяются: сетевая защита, шифрование, резервное копирование, бесперебойность подачи питания, контроль передачи секретных данных, зщищённость от вирусных программ, работа удалённых точек доступа, а также прочие показатели, предусмотренные планом проверки.
• _03Обработка и анализ полученных сведений. На основании анализа данных аудитор даёт количественную (в баллах) или качественную (соответствует или нет результат выбранному критерию) оценку. При необходимости собираются дополнительные материалы.
• _04Разработка и предоставление заказчику отчёта по результатам проведённого мероприятия, анализа обнаруженных рисков. Форма и содержание могут быть составлены на основании требований Государственного стандарта. В любом случае документ включает сведения о заказчике, исполнителе, аудиторах, целях, сроках и ходе проведения аудита и, как итог, результаты. Итоговый документ в обязательном порядке содержит рекомендации по улучшению защиты системы ИБ.

 

Аудит безопасности информационных систем может проводиться в очном, заочном, смешанном формате.

 

Итог аудита информационной безопасности

Аудиторская отчётность содержит информацию о текущем состоянии проверяемой системы с опорой на выбранные критерии. Представленные рекомендации могут положительно повлиять на работу ИТ-инфраструктуры и всей компании в целом, добиться максимума отдачи от вложений в создание и обслуживание ИБ фирмы.

 

«CYBERFOX» оказывает полный комплекс аудиторских услуг по информационной безопасности.