Аудит информационной безопасности

Защита данных — важнейшая задача бизнеса. Чтобы объективно оценить степень уязвимости существующих информационных систем к атакам злоумышленников, требуется профессиональный анализ ситуации. В ходе такой процедуры собираются и изучаются сведения, свидетельствующие о надежности при передаче или хранении данных либо о наличии проблем с конфиденциальностью. Для этой миссии, как правило, привлекаются независимые консалтинговые компании.

Защита информации, аудит

Агентство METOD располагает необходимыми ресурсами для точного и объективного аудита информационной безопасности на предприятиях любого размера и отрасли.

Подобная оценка помогает в решении многих задач:

в первую очередь она полезна при проектировании и разработке соответствующей системы защиты, а после внедрения — для проверки эффективности;
в некоторых случаях это требуется для быстрой и грамотной корректировки с целью приведения в соответствие с законодательством: российским или международным;
проверка может понадобиться после инцидента, чтобы найти «слабые места», выработать действенные меры и устранить недостатки.

Аудит вправе инициировать служба информационной безопасности, автоматизации, руководство или учредители фирмы. Оценка может стать обязательным требованием регулирующих органов, банков или страховых компаний.

Порядок проведения

Аудит включает 4 этапа:

Обсуждение условий и принятие плана работ. В том числе утверждается:
- состав экспертной группы (определяется с учетом сложности схемы информационной безопасности, целей и задач, поставленных клиентом);
- объем предоставляемых сведений;
- местоположение и перечень объектов для исследования.
Сбор данных из различных источников.
Изучение полученных сведений и формулирование выводов о степени защищенности информационных систем.
Выработка рекомендаций по снижению рисков потери, несанкционированной передачи или разглашения данных с учетом стоимости каждой меры.

Получить нужные сведения удается несколькими способами. В частности, в ходе аудита специалисты работают с сотрудниками предприятия, которые связаны с обеспечением информационной безопасности или способны стать потенциальными нарушителями. С ними проводятся интервью (вопросы согласуются заранее), а также предлагается заполнить опросный лист. Если не удается получить исчерпывающие ответы, интересующие моменты выясняются при дополнительной беседе. Чтобы составить еще более ясную картину, проверке подвергается организационно-техническая документация, характеристики и настройки программного обеспечения.

Результат проведенного аудита выражается в количестве рисков для информационной безопасности предприятия клиента. Способность противостоять угрозам оценивается либо по соответствию требованиям законодательства, внутренним
нормативным документам, рекомендациям разработчиков ПО и аппаратных средств, либо по вероятности определенных атак и величине возможного ущерба.
Описание процедуры и сделанные выводы отражаются в отчете.

Аудит информационной безопасности

от 180 000 руб

Пресс-центр

Все статьи

Интервью с финансовым директором Группы компаний «Агрокомплекс Ногинский» Светланой Яцевич

Проект Метод в республике Саха (Якутия)

Как проверить бизнес перед покупкой?

Бизнес-этикет в Арабских Эмиратах

Кейс Метод по диагностике и разработке юридической структуры

Аудит информационной безопасности

Аудит включает 4 этапа:

Аудит информационной безопасности

Заказ услуги

Пресс-центр