Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вы здесь: Главная / Услуги / Аудит и оценка рисков ИБ

Аудит и оценка рисков информационной безопасности

Аудит информационной безопасности является обязательным механизмом контроля для любой организации. Он должен проводиться не реже одного раза в год независимыми экспертами, имеющими соответствующую квалификацию и опыт. Аудит позволяет руководству организации, ее акционерами и третьим сторонам получить объективную информацию о состоянии ее информационной безопасности.

Аудит ИБ

Аудит информационной безопасности представляет собой комплекс работ, включающий исследование всех аспектов обеспечения информационной безопасности в организации, проводимое по согласованному с заказчиком плану, в соответствии с выбранной методикой и критериями.

При выполнении работ по техническому аудиту и анализу защищенности информационных систем специалисты GlobalTrust используют наиболее продвинутые методы, средства и источники информации, включая Open-Source Security Testing Methodology Manual (OSSTMM), SANS Top Twenty Vulnerabilities List, CVE, CERT Bulletines, SANS SCORE, CIS Security Benchmarks, Nessus и др.

Основным продуктом аудита является Аудиторский отчет, который содержит описание текущего состояния информационной безопасности в организации, описание обнаруженных уязвимостей и несоответствий выбранным критериям аудита, а также рекомендации по их устранению.

Цели аудита

Основными целями проведения работ по аудиту информационной безопасности организации являются:

  • Независимая оценка текущего состояния
  • Идентификация и ликвидация уязвимостей
  • Технико-экономическое обоснование механизмов безопасности
  • Обеспечение соответствия требованиям действующего законодательства
  • Минимизация ущерба от инцидентов безопасности

Ценность аудита

Ценность аудита информационной безопасности для потенциальных клиентов заключается в следующем:

  • Аудит представляет собой независимое исследование, что повышает объективность его результатов (никто не может достаточно эффективно контролировать и оценивать самого себя)
  • Эксперты по безопасности, проводящие аудит, имеют более высокую квалификацию и больший опыт подобной работы, нежели штатные сотрудники организации
  • Дешевле поручить выполнение этих работ сторонней, специализирующейся на аудите безопасности, организации, чем организовать эти работы у себя
  • Наличие официальных сертификатов, аттестатов и аудиторских заключений, выданных авторитетной и уполномоченной на это государством организацией повышает степень доверия к компании со стороны клиентов, партнеров и государственных органов, т.к. это в определенной степени гарантирует адекватную защищенности информационных ресурсов компании.
  • Аудит информационной безопасности предшествует работам по созданию системы защиты информации, либо ее модернизации.

Процедура аудита

  • Инициирование и планирование
  • Обследование, документирование и сбор информации
  • Анализ полученных данных и уязвимостей
  • Выработка рекомендаций
  • Подготовка отчетных документов и сдача работ

Критерии аудита

  • Международные, национальные и отраслевые стандарты
  • Законодательная и нормативная база
  • Внутренние организационно-распорядительные документы организации
  • Требования, сформулированные по результатам оценки рисков

Методика аудита

  • Методы анализа защищенности, включая тесты на проникновение (penetration testing), анализ конфигурации средств защиты информации, анализ сценариев осуществления атак и использование списков проверки (checklists)
  • Интервью с сотрудниками организации с использованием заранее подготовленных и стандартизованных опросных листов
  • Документирование системы и анализ рисков с использованием специализированного программного инструментария и шаблонов отчетов
  • Анализ организационно-распорядительной документации по обеспечению режима информационной безопасности
  • Оценка процессов обеспечения информационной безопасности в организации, квалификации сотрудников, знания ими своих должностных обязанностей и степени их осведомленности в вопросах информационной безопасности
  • Оценка достаточности физических механизмов безопасности

Для предварительного заказа услуг по аудиту информационной безопасности, уточнения задачи и получения дополнительных сведений Вы можете заполнить Заявку на аудит. Наш менеджер обязательно свяжется с Вами и предоставит подробную информацию об услуге.

Для получения более подробной информации обращайтесь к нам: