Аудит информационной безопасности
Аудит информационной безопасности (ИБ) является основным инструментом контроля состояния защищённости информационных
активов компании/организации. Сервис может выполняться как в совокупности с общим ИТ-аудитом, так и в виде
самостоятельного проекта. Часто аудит является неотъемлемой частью комплексных проектов по обеспечению безопасности
информации и выполняется в качестве стартового этапа проекта.
Аудит ИБ включает в себя технический аудит и организационно-методический аудит. В свою очередь, технический
аудит обычно разделяется на общий аудит и инструментальный аудит. АО НПП «ЭПБ» выполняет аудит на
соответствие требованиям в одной или нескольких предметных областях:
- законодательство и требования по защите персональных данных (ФЗ-152, 21-й приказ ФСТЭК России и др.);
- требования по защите информации в государственных информационных системах (17-й приказ ФСТЭК России и др.);
- законодательство и требования в области защиты информации в национальной платежной системе (ФЗ-161 и др.);
- отраслевые требования, стандарты и рекомендации по защите информации в финансовых организациях,
фин.процессинге (СТО БР ИББС-1.0, 382-П и др.);
- аудит в области процессов (ISO 27001 и другие).
Результаты
Результатом аудита является заключение о степени соответствия компании/организации критериям аудита, а также
рекомендации по совершенствованию ИТ-инфраструктуры, защиты информации, процессов обеспечения и управления ИБ и
документационного обеспечения заказчика.
Инструментальный аудит включает в себя следующие направления:
- аудит защищённости ИТ-инфраструктуры и информационных систем
- тест на проникновение (pen-тест)
- аудит информационных потоков в компании/организации
- контроль исходного кода приложений на уязвимости/закладки
Логическим продолжением аудита является разработка корпоративных документов верхнего уровня по вопросам безопасности
информации в компании/организации, среди которых:
- корпоративная политика ИБ
- концепция обеспечения ИБ
- корпоративная модель угроз безопасности информации.
Разработанные верхнеуровневые документы обеспечивают базис для выстраивания всего комплекса работ по приведению
процессов и технологий обеспечения и управления ИБ в компании/организации в соответствие требованиям
законодательства, нормативным документам, лучшим практикам ИБ.
Формирование и выстраивание процессов обеспечения ИБ и управления ИБ является неотъемлемой составляющей процессной
модели функционирования компаний на средних и высоких уровнях зрелости ИТ.
Для публичных компаний аудит ИБ является элементом неотъемлемой составляющей независимой внешней оценки рыночной
стоимости компании, внося таким образом свой вклад в капитализацию компании.
Ключевые результаты
В результате выполнения проекта в зависимости от его масштаба и границ заказчик получит независимую оценку состояния
обеспечения ИБ в его компании/организации, степень его соответствия обязательным законодательным, нормативным и
отраслевым требованиям по вопросам защиты информации, степени уязвимости его ИТ- и ИБ-инфраструктуры и
информационных систем к современным угрозам, а также могут быть выявлены свидетельства противоправной деятельности в
его информационном пространстве различной природы.