Аудит и оценка рисков информационной безопасности
Аудит информационной безопасности представляет собой комплекс работ, включающий исследование всех аспектов обеспечения информационной безопасности в организации, проводимое по согласованному с заказчиком плану, в соответствии с выбранной методикой и критериями.
При выполнении работ по техническому аудиту и анализу защищенности информационных систем специалисты GlobalTrust используют наиболее продвинутые методы, средства и источники информации, включая Open-Source Security Testing Methodology Manual (OSSTMM), SANS Top Twenty Vulnerabilities List, CVE, CERT Bulletines, SANS SCORE, CIS Security Benchmarks, Nessus и др.
Основным продуктом аудита является Аудиторский отчет, который содержит описание текущего состояния информационной безопасности в организации, описание обнаруженных уязвимостей и несоответствий выбранным критериям аудита, а также рекомендации по их устранению.
Цели аудита
Основными целями проведения работ по аудиту информационной безопасности организации являются:
- Независимая оценка текущего состояния
- Идентификация и ликвидация уязвимостей
- Технико-экономическое обоснование механизмов безопасности
- Обеспечение соответствия требованиям действующего законодательства
- Минимизация ущерба от инцидентов безопасности
Ценность аудита
Процедура аудита
- Инициирование и планирование
- Обследование, документирование и сбор информации
- Анализ полученных данных и уязвимостей
- Выработка рекомендаций
- Подготовка отчетных документов и сдача работ
Критерии аудита
-
Международные, национальные и отраслевые стандарты
-
Законодательная и нормативная база
-
Внутренние организационно-распорядительные документы организации
-
Требования, сформулированные по результатам оценки рисков
Методика аудита
-
Методы анализа защищенности, включая тесты на проникновение (penetration testing), анализ конфигурации средств защиты информации, анализ сценариев осуществления атак и использование списков проверки (checklists)
-
Интервью с сотрудниками организации с использованием заранее подготовленных и стандартизованных опросных листов
-
Документирование системы и анализ рисков с использованием специализированного программного инструментария и шаблонов отчетов
-
Анализ организационно-распорядительной документации по обеспечению режима информационной безопасности
-
Оценка процессов обеспечения информационной безопасности в организации, квалификации сотрудников, знания ими своих должностных обязанностей и степени их осведомленности в вопросах информационной безопасности
-
Оценка достаточности физических механизмов безопасности
Для предварительного заказа услуг по аудиту информационной безопасности, уточнения задачи и получения дополнительных сведений Вы можете заполнить Заявку на аудит. Наш менеджер обязательно свяжется с Вами и предоставит подробную информацию об услуге.
Для получения более подробной информации обращайтесь к нам:
- по телефону: +7 (925) 203-95-11
- по e-mail: info@globaltrust.ru
- через web-форму