Аудит информационной безопасности

Аудит информационной безопасности

Аудит предполагает выполнение работ и услуг по оценке состояния процесса управления ИБ в соответствии с лучшими практиками COBIT, СТБ ISO/IEC 27001-2011, проведение инструментального контроля защищенности информационных вычислительных систем, выработка рекомендаций и выполнение мер по устранению выявленных недостатков.

Для систем кредитно-финансовых учреждений (банков), обрабатывающих данные платежных карт, аудит ИБ заключается в выявлении несоответствий требованиям политик и стандартов (например, PCI DSS), а также определение перечня мер по устранению выявленных несоответствий.

Проведение аудита ИБ корпоративной информационной системы — комплекс мероприятий, включающих в себя оценку качества предпринимаемых организационных мер по обеспечению ИБ, а также качества проведения технических мероприятий (инструментального контроля), направленных на подтверждение правил и порядка соблюдения требований по ИБ, поиск уязвимостей и выработку рекомендаций по их устранению.

Аудит ИБ проводится для любой системы ИБ на регулярной основе с целью определения соответствия защищенности информационной системы требованиям, на соответствие которым строилась система ИБ, а также с целью определения степени защиты информационной системы от актуальных угроз ИБ.
В обязательном порядке аудит ИБ должен быть проведен в рамках обследования информационной системы с целью постановки задач на создание системы ИБ, а также по окончании работ по созданию системы ИБ.

Проверки, связанные с оценкой качества организационных мер по обеспечению ИБ, проводимых Заказчиком, выполняются с учетом требований международных стандартов СТБ П ИСО/МЭК 17799-2000/2004 «Информационные технологии и безопасность. Правила управления информационной безопасностью», ISO/IEC 27001-2011 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

Суть выполнения технических мероприятий по проверке защищенности информационных активов состоит в том, что с помощью специальных программно-аппаратных комплексов (сканеров уязвимостей) и специальных методов осуществляется сбор информации о состоянии защищенности корпоративной информационной системы.

При осуществлении данного вида проверки система защиты подвергается определенному количеству сетевых атак, которые может выполнить потенциальный внешний злоумышленник. Атаки, как правило, только моделируются и не оказывают деструктивного воздействия на ИС. Работы по проверке защищенности проводятся по методикам, согласованным с владельцем информационной системы.

Результаты, полученные в ходе аудита ИБ, содействуют повышению уровня защищенности информационной системы. В ходе аудита ИБ определяются слабые места в системе ИБ Заказчика, что позволяет провести корректирующие действия, направленные на обеспечение соответствия системы ИБ актуальным угрозам ИБ.
Процессной моделью управления ИБ предполагается проведение периодического или постоянного (непрерывного) аудита ИБ.

Лицензии, аттестаты и сертификаты

  • Лицензия ОАЦ стр.1
  • Лицензия ОАЦ стр.2
  • Лицензия ОАЦ стр.3
Свяжитесь с нашими специалистами, чтобы узнать больше о решении
Все проекты

Реализованные проекты с этим решением

  • СП ЗАО «Милавица»
    СП ЗАО «Милавица»

    Система обеспечения информационной безопасности. Разработка документации по обеспечению информационной безопасности

С этим решением рекомендуем

  • Аттестация систем информационной безопасности
    Аттестация систем информационной безопасности

    Аттестация государственных информационных вычислительных систем предполагает проведение комплекса мероприятий, установленного Приказом ОАЦ при Президенте Республики Беларусь от 30 августа 2013г. № 62, направленного на проверку правильности построения...

  • Концепция и политика информационной безопасности
    Концепция и политика информационной безопасности

    Концепция информационной безопасности – документ, определяющий стратегию информационной безопасности предприятия на долгосрочный период. Концепция перечисляет задачи предприятия в области информационной безопасности, а также принципы, которым...