Аудит инфраструктуры безопасности – это документированная независимая экспертиза информационной системы, основной целью которой является оценка уровня защищенности информационных активов предприятия.
Компания предоставляет своим Заказчикам услуги в области аудита инфраструктуры безопасности.
- Объективная оценка текущего уровня защищенности
- Оценка соответствия информационной системы Заказчика требованиям бизнеса и ведущих стандартов в области информационной безопасности (например, ISO/IEC 27001:20xx), в том числе, анализ эффективности действующей политики безопасности и существующих технических и организационных мероприятий по обеспечению ИБ
- Определение и оценка рисков и угроз информационной безопасности
- Выработка рекомендаций по повышению уровня информационной безопасности, включая предложения по внедрению технических решений, мер организационного характера, а также мер по подготовке к сертификации.
- Определение рамок аудита. Обследуемые ресурсы, виды информации, помещений и т.д. – определяются на основе указаний Заказчика.
- Комплексное обследование внешнего периметра и внутренней ИТ- инфраструктуры компании Заказчика в регламентированных рамках. Во время обследования производятся следующие работы:
- Сбор технической и организационно-распорядительной документации, описывающей информационную систему
- Интервью и анкетирование сотрудников Заказчика
- Исследование настроек и выборочное или массовое тестирование аппаратных и программных компонентов информационной системы
- Анализ полученных данных. В результате данного анализа:
- Выявляются актуальные информационные риски
- Оценивается соответствие системы информационной безопасности требованиям со стороны бизнеса и международных, национальных и отраслевых стандартов в области ИБ
- Выработка комплекса рекомендаций по устранению обнаруженных уязвимостей, повышению уровня информационной безопасности и соответствия ведущим стандартам в области ИБ. Рекомендации могут включать:
- Предложения по использованию технических и организационных мер обеспечения ИБ
- Оценку ожидаемого эффекта от принятия предложенных мер
- Ориентировочный бюджет реализации рекомендованных мероприятий
- Предложения по подготовке к сертификации на соответствие актуальным стандартам в области ИБ
- Формирование отчетности, которая содержит результаты аудита информационной безопасности.
- Получение детальных данных и повышение информированности о существующих рисках и уязвимостях системы информационной безопасности
- Выработка первоочередных, среднесрочных и долгосрочных мер по снижению актуальных информационных рисков
- Определение направлений развития системы информационной безопасности
- Формирование плана подготовки к получению необходимых сертификатов в области информационной безопасности
- Обоснование и повышение прозрачности затрат на информационную безопасность
- Ознакомление специалистов Заказчика с передовыми методиками качественной и количественной оценки уровня защищенности и информационных рисков
При необходимости специалисты компании разрабатывают рекомендации, адресованные разным уровням менеджмента Заказчика (его высшему, среднему и низшему звену).
Аудит инфраструктуры информационной безопасности следует проводить не реже, чем раз в год, и даже чаще – в случаях, когда информация о состоянии защищенности информационной системы теряет свою актуальность (например, при значительных изменениях структуры и бизнес-процессов организации, появлении новых требований регуляторов и т.д.).
Наличие всех необходимых компетенций и богатый опыт проведения аудита на соответствие требованиям ведущих стандартов ISO 2700x, PCI DSS, CobiT, СТО БР ИББС и др. позволяют экспертам компании выполнять подобные проекты быстро и с высоким качеством.
Все работы производятся специалистами, прошедшими обучение (сертификацию) по соответствующим стандартам информационной безопасности, а также имеющими богатый практический опыт.