Каким компаниям необходим аудит ИБ?
Аудит необходим всем компаниям, независимо от вида и сферы деятельности, в которых существует хоть какая-то IT-инфраструктура. А тем более крупным, публичным организациям, деятельность которых сильно зависит от непрерывности бизнеса. Также это юрлица, которым по закону положено проводить аудит в соответствии с нормативно-правовыми актами.
Какие виды аудита существуют?
Аудит можно классифицировать по различным признакам: по цели, по объекту аудита, по форме проведения, по степени воздействия на объект аудита и т.д. Рассмотрим виды аудита в зависимости от местонахождения аудитора по отношению к исследуемой системе — в таком случае выделяют внешний и внутренний аудит.
Внутренний аудит ИБ (или самооценка) проводится специалистами самой организации для определения уровня защищенности информации и соответствия этого уровня требуемому в данной организации.
Внешний аудит ИБ проводится независимыми организациями, имеющими соответствующие лицензии. Главной целью внешнего аудита является определение соответствия применяемых мер защиты информации требованиям по обеспечению информационной безопасности в данной конкретной организации.
Какой вид аудита выбрать — внешний или внутренний?
В большинстве случаев более предпочтительным является внешний аудит ИБ, поскольку внешние независимые организации не заинтересованы в сокрытии недостатков в области защиты информации. Кроме того, свежий взгляд всегда позволяет выявить те недостатки, которые в процессе повседневной деятельности сотрудникам организации просто не заметны.
Как часто необходимо проводить аудит?
Аудит ИБ — не разовая процедура, его необходимо проводить на регулярной основе (пример периодичности, требуемой с точки зрения нормативной базы, приведен ниже, в таблице). При этом договор на оказание аудиторских услуг может заключаться разово, но выгоднее, если договор заключен на длительный срок, поскольку повторные аудиты, проводимые одной и той же организацией, обойдутся дешевле и будут эффективнее с учетом уже проведенных аудитов.
В таблице примеры нормативных требований к проведению аудита в финансовой организации:
Как еще классифицируется аудит?
Аудит ИБ — основной инструмент контроля состояния защищенности информационных активов компаний/организаций — включает в себя технический аудит и организационно-методический аудит. В свою очередь, технический аудит обычно разделяется на общий аудит и инструментальный аудит.
Например, инструментальный аудит включает в себя следующие направления:
- аудит защищенности IТ-инфраструктуры и информационных систем;
- тест на проникновение (pentest);
- аудит информационных потоков в компании/организации;
- контроль исходного кода приложений на уязвимости/закладки.
Также существует аудит на соответствие требованиям в одной или нескольких предметных областях:
- законодательство и требования по защите персональных данных (ФЗ-152, 21-й приказ ФСТЭК и др.);
- требования по защите информации в государственных информационных системах (17-й приказ ФСТЭК и др.);
- законодательство и требования в области защиты информации в национальной платежной системе (ФЗ-161 и др.);
- отраслевые требования, стандарты и рекомендации по защите информации в финансовых организациях, фин.процессинге (СТО БР ИББС-1.0, 382-П и др.);
- аудит в области процессов (ISO 27001 и др.).
Какой результат компания получает по итогу?
Результатом является заключение о степени соответствия компании/организации критериям аудита ИБ, а также рекомендации по совершенствованию IT-инфраструктуры, защиты информации, процессов обеспечения и управления ИБ и документационного обеспечения заказчика.
Кроме того, логическим продолжением аудита является разработка корпоративных документов верхнего уровня по вопросам безопасности информации в компании/организации, среди которых:
- корпоративная политика ИБ;
- концепция обеспечения ИБ;
- корпоративная модель угроз безопасности информации.
Эти верхнеуровневые документы обеспечивают базис для выстраивания всего комплекса работ по приведению процессов и технологий обеспечения и управления ИБ в компании в соответствие требованиям законодательства, нормативным документам, лучшим практикам ИБ.
Иначе говоря, в результате выполнения аудита ИБ, в зависимости от его масштаба и границ, заказчик получит независимую оценку состояния обеспечения ИБ в своей организации, степень его соответствия обязательным законодательным, нормативным и отраслевым требованиям по вопросам защиты информации, степени уязвимости его ИТ- и ИБ-инфраструктуры и информационных систем к современным угрозам. Кроме того, могут быть выявлены свидетельства противоправной деятельности в его информационном пространстве различной природы.
К кому следует обращаться за аудитом ИБ?
Аудит следует доверять опытным специалистам и экспертам, способным индивидуально подходить к решению задач заказчика и проводить комплексные работы: от аудита инфраструктуры до испытаний систем защиты.
Аудит и оценка соответствия требованиям по защите информации являются одними из ключевых компетенций команды группы компаний Softmall. На основе результатов комплексного аудита сотрудники ГК СОФТМОЛЛ помогают выстраивать оптимальный план внедрения или совершенствования системы информационной безопасности, составлять дорожную карту. Результаты аналитической работы специалистов ГК СОФТМОЛЛ по сопоставлению требований нормативных и методических документов систематизированы и готовы к применению в комплексных проектах по защите информации с учетом индивидуальных особенностей каждой организации.
Специалисты ГК СОФТМОЛЛ готовы произвести оценку состояния информационной безопасности в вашей организации. Помните, что аудит необходимо проводить регулярно, а особенно в следующих случаях:
- Увеличение количества сервисов и участников сети;
- Инцидент утечки конфиденциальной информации;
- Отсутствуют специалисты, ответственные за информационную безопасность.
В процессе аудита будут проведены:
- Анализ защищенности информации;
- Проверка соответствия требованиям регуляторов;
- Поиска уязвимых сегментов системы защиты;
- Анализа состава ПО и подбором аналогов из реестра отечественного ПО.
Сайт: softmall.ru
E-mail: info@softmall.ru
Телефон: +7 (383) 304 99-73
Результатом аудита станет отчет, содержащий оценку соответствия текущего уровня информационной безопасности на предприятии нормативным документам. А также перечень рекомендаций по приведению информационной системы предприятия в соответствие требованиям и нормам в области информационной безопасности.
Партнеры компании — лидирующие российские и зарубежные разработчики и производители технологических решений.
Интернет-газета Newslab, фотографии pixabay.com
На правах рекламы