Аудит защиты КТ
В рамках аудита защиты КТ производится оценка соответствия введенного режима КТ на предприятии и оценка эффективности реализованных мероприятий по защите КТ установленным требованиям нормативно-правовых актов.
В качестве правовых и нормативных источников для организации аудита КТ могут использоваться:
- Федеральный закон от 29.07.2004 №98-ФЗ «О КТ»;
- ГОСТ Р ИСО/МЭК 27001-2006 (частные требования ГОСТ Р ИСО/МЭК 27001-2012; ГОСТ Р ИСО/МЭК 27002-2012; ГОСТ Р ИСО/МЭК 27005-2010);
- Стандарты организаций NIST и ISACA (COBIT);
- Указ Президента Российской Федерации от 06.03.1997 №188 «Об утверждении Перечня сведений конфиденциального характера»;
- «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержденные приказом Председателя Гостехкомиссии России от 30.08.2002 №282 (имеет пометку «ДСП», т.е. ограниченного распространения);
- Документ ФСТЭК России от 25.12.2006 «Методические рекомендации по технической защите информации, составляющей КТ»;
- Документ ФСТЭК России от 25.12.2006 «Пособие по организации технической защиты информации, составляющей КТ».
В рамках аудита КТ выполняются следующие этапы:
- Инвентаризация и оценка ценности информационных ресурсов, содержащих КТ предприятия;
- Анализ организационно-распорядительной документации, процессов обработки КТ и информационной инфраструктуры предприятия;
- Оценка соответствия введенного режима КТ на предприятии положениям 98-ФЗ;
- Оценка соответствия организационно-технических мероприятий по защите КТ установленным на предприятии требованиям и (или) стандартам, инструкциям, лучшим мировым практикам в соответствии с предметом аудита и техническим заданием.
Результатом оказания услуги является отчет по аудиту защиты КТ, содержащий:
- детальное описание внутреннего контекста предприятия: информационных активов; структуры управления; процессов обработки КТ; информационных потоков; формализованных и неформализованных организационных и технических мер, направленных на защиту КТ; информационной инфраструктуры;
- заключение об оценке соответствия реализованных мер установленным на предприятии или принятым за основу для оценки требованиям;
- рекомендации и конкретные решения по совершенствованию процессов управления, организационных и технических мер по защите КТ, в том числе, с целью выполнения установленных на предприятии или принятых за основу для оценки требований.
Процедуры аудита определяются в соответствии с требованиями и пожеланиями Заказчика, международными стандартами (ГОСТ Р ИСО/МЭК 27007-2014, ГОСТ Р ИСО/МЭК 19011-2021, ГОСТ Р 56045-2014), также методика аудита защиты КТ может быть разработана нашими экспертами индивидуально для Вашей компании.