Аудит информационной безопасности

На сегодняшний день все сферы человеческой деятельности зависят от информационных ресурсов. Значение информации постоянно растёт, особенно это заметно в кредитной отрасли, торговле, образовании, науке, медицине. У государственных и частных организаций на первый план выходит вопрос защиты информационных потоков.

Информационная безопасность – защита данных и поддерживающих инфраструктур от преднамеренных или случайных воздействий, которые могут нанести ущерб. Увеличивающийся объём сведений, хранящийся с помощью ЭВМ, расширение круга пользователей, внедрение межмашинного обмена и другие факторы увеличивают опасность.

Государственные органы, медицинские и научные учреждения, банки, торговые сети по роду деятельности обладают конфиденциальными сведениями о сотрудниках, клиентах, пациентах, результатах исследований. Несанкционированный доступ к информации может привести к материальным потерям, юридическим последствиям. Своевременно проведённый аудит защитит бизнес от ущерба.

Что такое аудит ИБ

Самый наиболее надёжный способ получить объективную оценку состояния ИБ – независимый аудит. Под этим термином понимают комплекс мероприятий, направленных на исследование ИБ в организации. По результатам проверки можно сформировать стратегию усиления безопасности. Аудит – не разовое мероприятие, его необходимо проводить регулярно, только в этом случае можно добиться реального результата.

Этапы аудита информационной безопасности

Большинство организаций регулярно осуществляют внутренний аудит, порядок проведения изложен в приказе руководства. Его проводит штатный персонал. Для получения достоверной информации привлекают сторонних экспертов, предоставляют доступ к локальной сети организации. Способ проведения выбирает руководство.

Этапы аудита:

1. Определение границ проверки, глубины оценки. Руководство решает, необходим ли полный аудит или можно ограничиться отдельными подразделениями. Например, если информационные системы в филиалах аналогичные, скорее всего, имеются общие уязвимости.
2. Сбор данных о видах информации, используемой в процессе работы.
3. Инвентаризация оборудования и ПО, применяемых для хранения и передачи данных.
4. Изучение информационных процессов. Этот этап необходимо провести на рабочих местах, проанализировать работу персонала, знание техники безопасности, контроль доступа, антивирусную защиту, архивацию данных и т. д.
5. Оценка технического состояния оборудования – компьютеров, серверов, средств интернет-коммуникаций, периферии, охранных сигнализаций.
6. Изучение программного обеспечения – баз данных, антивирусов, операционных систем, пользовательских программ, приложений.
7. Выявление слабых мест, рисков.
8. Составление отчёта с указанием недостатков, подготовка плана мероприятий.

Результаты информационной безопасности можно оценить, опираясь на международный стандарт ISO 17799.

Аутсорсинговая компания CNS оказывает услуги по проведению аудита информационной безопасности. Опытные специалисты оценят состояние оборудования и программного обеспечения, выявят угрозы, оценят степень опасности, разработают мероприятия по защите. Установят современное антивирусное ПО, предложат методику администрирования средств шифрования. Получить бесплатную информацию можно на сайте компании.