Аудит информационной безопасности

Что такое аудит информационной безопасности?

Аудит информационной безопасности заключается в организации периодического, независимого и документированного процесса получения свидетельств аудита и объективной их оценки с целью установления степени выполнения установленных требований по обеспечению информационной безопасности.

Для чего нужен аудит информационной безопасности?

Во-первых, для декларации организации о соответствии требованиям по ИБ, для анализа деятельности менеджмента или других внутренних целей.

Во-вторых,  - получения возможности экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса.

Цели аудита информационной безопасности

• анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов и объектов ИТ инфраструктуры организации;
• оценка текущего уровня защищенности;
• локализация узких мест в системе защиты;
• оценка соответствия ИТ инфраструктуры организации существующим стандартам в области информационной безопасности;
• выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности.

Наша компания предлагает организациям всех форм собственности проведение аудита состояния защищенности информационных систем как на соответствие требованиям регуляторов и стандартов, так на наличие угроз и рисков информационной безопасности.

При осуществлении аудита мы используем комплексный подход, заключающийся в оценке и анализе базового набора требований стандартов и регуляторов безопасности и в максимальном учете особенностей функционирования информационных систем заказчика на основе анализа рисков.

Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им качественную, либо количественную оценку).

Процесс анализа рисков делится на несколько этапов:

1. Идентификация ключевых ресурсов (информационные, программные, технические, людские);
2. Определение важности тех или иных ресурсов для организации;
3. Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;
4. Вычисление рисков, связанных с осуществлением угроз безопасности.