8 (495) 955-90-96 Консультация
8 (495) 955-90-96

Аудит информационной безопасности

Главная / Статьи / Аудит информационной безопасности

Содержание

На сегодняшний день все сферы человеческой деятельности зависят от информационных ресурсов. Значение информации постоянно растёт, особенно это заметно в кредитной отрасли, торговле, образовании, науке, медицине. У государственных и частных организаций на первый план выходит вопрос защиты информационных потоков.

Защита корпоративной сети
Защита корпоративной сети

Информационная безопасность

Под этим понятием понимают аспекты, связанные с достижением целостности, конфиденциальности, доступности, достоверности информации. Основная цель – защита корпоративной сети от внешних и внутренних угроз. Информационная безопасность (ИБ) распространяется на следующие объекты – сведения, носители (физические лица, документы, флеш-носители), процессы (сбор, накопление, хранение, использование).

Информационная безопасность – защита данных и поддерживающих инфраструктур от преднамеренных или случайных воздействий, которые могут нанести ущерб. Увеличивающийся объём сведений, хранящийся с помощью ЭВМ, расширение круга пользователей, внедрение межмашинного обмена и другие факторы увеличивают опасность.

Государственные органы, медицинские и научные учреждения, банки, торговые сети по роду деятельности обладают конфиденциальными сведениями о сотрудниках, клиентах, пациентах, результатах исследований. Несанкционированный доступ к информации может привести к материальным потерям, юридическим последствиям. Своевременно проведённый аудит защитит бизнес от ущерба.

Что такое аудит ИБ

Самый наиболее надёжный способ получить объективную оценку состояния ИБ – независимый аудит. Под этим термином понимают комплекс мероприятий, направленных на исследование ИБ в организации. По результатам проверки можно сформировать стратегию усиления безопасности. Аудит – не разовое мероприятие, его необходимо проводить регулярно, только в этом случае можно добиться реального результата.

Аудит необходим в следующих ситуациях:

  • смена стратегии организации;
  • слияние, поглощение;
  • изменения в организационной структуре;
  • смена руководства;
  • по требованию акционеров;
  • изменения бизнес-процессов или ИТ-инфраструктуры.

Проверке может быть подвергнута компания в целом или отдельные сегменты, находящиеся в критическом состоянии. Для проведения работы привлекают экспертов, имеющих квалификацию и опыт аудита в различных сферах экономики.

Аудит информационной безопасности
Аудит информационной безопасности

Этапы аудита информационной безопасности

Большинство организаций регулярно осуществляют внутренний аудит, порядок проведения изложен в приказе руководства. Его проводит штатный персонал. Для получения достоверной информации привлекают сторонних экспертов, предоставляют доступ к локальной сети организации. Способ проведения выбирает руководство.

Этапы аудита:

  1. Определение границ проверки, глубины оценки. Руководство решает, необходим ли полный аудит или можно ограничиться отдельными подразделениями. Например, если информационные системы в филиалах аналогичные, скорее всего, имеются общие уязвимости.
  2. Сбор данных о видах информации, используемой в процессе работы.
  3. Инвентаризация оборудования и ПО, применяемых для хранения и передачи данных.
  4. Изучение информационных процессов. Этот этап необходимо провести на рабочих местах, проанализировать работу персонала, знание техники безопасности, контроль доступа, антивирусную защиту, архивацию данных и т. д.
  5. Оценка технического состояния оборудования – компьютеров, серверов, средств интернет-коммуникаций, периферии, охранных сигнализаций.
  6. Изучение программного обеспечения – баз данных, антивирусов, операционных систем, пользовательских программ, приложений.
  7. Выявление слабых мест, рисков.
  8. Составление отчёта с указанием недостатков, подготовка плана мероприятий.

Результаты информационной безопасности можно оценить, опираясь на международный стандарт ISO 17799.

Аутсорсинговая компания CNS оказывает услуги по проведению аудита информационной безопасности. Опытные специалисты оценят состояние оборудования и программного обеспечения, выявят угрозы, оценят степень опасности, разработают мероприятия по защите. Установят современное антивирусное ПО, предложат методику администрирования средств шифрования. Получить бесплатную информацию можно на сайте компании.