Аудит ИБ
Аудит ИБ – фундаментальная процедура для построения, эксплуатации и модернизации системы обеспечения ИБ.
В рамках аудита ИБ выполняются следующие работы:
- определение требований в области ИБ, предъявляемых к организации;
- обследование информационной инфраструктуры;
- инвентаризация информационных ресурсов организации;
- систематизация информационных потоков в информационной инфраструктуре;
- классификация информационных и автоматизированных систем;
- анализ организационно-распорядительной документации;
- интервьюирование представителей организации, ответственных как за эксплуатацию информационных и автоматизированных систем, так и за обеспечение ИБ;
- определение процессов обеспечения ИБ в Организации;
- оценка соответствия требованиям в области ИБ, предъявляемых к организации;
- формирование перечня мероприятий, включающих организационные и технические меры, необходимых для достижения целевого уровня обеспечения ИБ.
Полученные в процессе аудита ИБ сведения фиксируются в Отчете.
В результате оказания услуг в Отчет включается раздел, содержащий план мероприятий по совершенствованию системы ИБ Заказчика. Рекомендуемые мероприятия по совершенствованию ИБ разрабатываются с учетом ценности информационных ресурсов Заказчика, общей статистики инцидентов ИБ, уровнями значимости угроз. План мероприятий по совершенствованию системы ИБ Заказчика включает приоритезированный перечень конкретных практических рекомендаций по повышению уровня ИБ. Предварительный план мероприятий по совершенствованию системы ИБ согласуется с Заказчиком.
При возникновении потребности есть возможность согласовать с нашими экспертами иные варианты аудита ИБ.
В зависимости от специфики деятельности организации в область аудита ИБ могут быть включены следующие требования:
- Персональные данные: Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» и подзаконные акты;
- Критическая информационная инфраструктура: Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и подзаконные акты;
- Коммерческая тайна: Федеральный закон от 29.07.2004 №98 «О коммерческой тайне» и подзаконные акты;
- АСУТП: Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами…» и подзаконные акты;
- Серия международных стандартов:
- ISO 27000;
- NIST;
- CIS Controls;
- ISA/IEC;
- COBIT5;
- Отраслевые требования (топливно-энергетический комплекс, промышленность, операторы связи, нефтегазовая сфера и др.);
- И другие.