Аудит информационной безопасности
Аудит информационной безопасности проводится для получения независимых и объективных данных о текущей защищенности информационной инфраструктуры и выявления существующих уязвимостей.
Основные задачи аудита информационной безопасности:
- Выявление значимых угроз информационной безопасности и путей их реализации; выявление и ранжирование по степени опасности существующих уязвимостей технологического и организационного характера в информационной системе
- Анализ и оценка рисков, связанных с угрозами информационной безопасности
- Оценка эффективности принятых мер информационной безопасности
- Разработка предложений и рекомендаций по укреплению защищенности информационной инфраструктуры
- Укрепления защищенности информационной инфраструктуры путем устранения выявленных уязвимостей и выполнения рекомендаций аудита
- Ясного и обоснованного планирования стратегии развития информационной безопасности
- Обоснования необходимости выделения ресурсов и проведения технических и организационных мероприятий для укрепления безопасности
- Снижения бизнес-рисков, связанных с информационной безопасностью
Методика проведения аудита информационной безопасности
По способу проведения аудит информационной безопасности можно разбить на две части:
- Процедурный аудит, в рамках которого происходит сбор и анализ нормативной документации, анализ организационных мероприятий, правил и процедур обеспечения информационной безопасности. Основные методы сбора информации – интервьюирование сотрудников и анализ документов Заказчика.
По результатам аудита делается заключение о соответствии системы информационной безопасности Заказчика требованиям стандарта ISO 27001. - Инструментальный аудит, в рамках которого проводятся тесты на проникновение и выявляются существующие уязвимости информационной инфраструктуры. Инструментальный аудит моделирует действия злоумышленника из сети Интернет и инсайдера, подключенного к внутренней сети Заказчика. В ходе инструментального аудита применяются различные технологии и программы, в том числе и те, которые используются реальными злоумышленниками для получения доступа к данным и контроля над информационными системами.
Оригинальная методика проведения инструментального аудита разработана на основе рекомендаций Американского Национального Института Стандартизации "NIST SP 800-42 - Guideline on Network Security Testing" и открытых методик "OSSTMM – The Open Source Security Methodology Manual" и "Information Systems Security Assessment Framework - ISSAF".
Другие услуги