Что такое и зачем нужен аудит информационной безопасности на предприятии?

Аудит ИБ, способный существенно повлиять на ИБ предприятия в положительную сторону, сейчас часто обговаривается в среде предпринимателей. Именно об этом понятии рассказано в этой статье. Качественный аудит информационной безопасности предприятия может предоставить компания «Судебный эксперт». Нынешний рынок переполнен инновационным аппаратным обеспечением и новейшими программами.

Понятие аудита информационной безопасности

Согласно исследованиям в этой сфере руководители различных предприятий имеют разные представления на этот счет. И хотя на данный момент не существует четкого определения, чем же является подобный аудит, все же в общих чертах его можно охарактеризовать, как процедуру, включающую в себя последовательный сбор из различных источников всей имеющейся информации, и затем проведение ее анализа. Данный процесс нужно проводить для того, чтобы выяснить, в какой степени предприятие защищено от предполагаемых угроз.

Подобный аудит можно разделить на два вида:

  • Осуществляемую собственными силами компании: отделом ИБ или же отделом ИТ проверку называют внутренней;
  • Если же для проведения аудита привлекаются сторонние, независимые организации, способные дать профессиональную консультацию в сфере ИБ, то его называют внешним.

Когда необходим аудит информационной безопасности

При современном развитии информационных технологий, они стали неотъемлемой частью функционирования любого более, менее крупного предприятия. Есть несколько вариантов необходимости проведения аудита информационной безопасности. Из них, можно выделить, следующие:

  1. Если предприятие нуждается в профессиональной оценке того, насколько действенны и надежны средства, используемые им для сохранности ценной информации, от которой зависит вся работа предприятия;
  2. Применяемые в компании средства защиты данных нуждаются в систематизации. Их нужно проинспектировать и упорядочить;
  3. Также подобный аудит может понадобиться, если на предприятии собираются разработать и установить инновационную систему защиты данных;
  4. Аудит информационной безопасности потребуется для модернизации системы ИБ и приведение к такому состоянию, которое требуется в соответствии с действующим законодательством (независимо отечественным или международным);
  5. В случае, если система дала сбой аудит понадобиться для выяснения всех обстоятельств и причин такого сбоя;
  6. Такая проверка может потребоваться, если руководство решило модернизировать существующую на предприятии систему информационной безопасности, и на это требуются инвестиции. Она понадобиться для того, чтобы обосновать перед потенциальными инвесторами необходимость вкладывать деньги.

Зачастую, аудит проводится по инициативе менеджмента компании. Также он может быть проведен по требованию отдела внутреннего контроля и профильных отделов (ИБ и автоматизации). Кроме того, такая проверка устраивается по распоряжению различных регулирующих государственных структур и страховых компаний.

Разновидности аудита информационной безопасности

Виды аудита ИБ
Виды аудита ИБ
  • Проверка информационной безопасности на попытку взлома (penetration testing), проводимая для того, чтобы оценить степень защиты предприятия от хакерских и прочих атак, которые могут быть предприняты из интернета;
  • Возможность оценить уровень ИБ на ее соответствие, необходимым требованиям ISO 27001, который является международным стандартом;
  • Проверка ИБ в условиях стандарта ИБ «Банка России»;
  • Подробная аналитика, действующих в информационной безопасности инструментов, проводимая с целью обнаружения слабых мест в ИС предприятий;
  • Аудит ИБ проводится с целью выяснения полностью ли соответствует информационная безопасность предприятия нормам Закона «О персональных данных», действующем на территории Российской Федерации;
  • Проверка наличия секретных сведений согласно технологиям конкурентной разведывательной деятельности;
  • Всесторонний аудит, основанный на комплексной оценке возможных рисков ИБ предприятия.

Какие работы включает в себя аудит безопасности?

Какой бы вид аудита не проводился, он должен включать в себя четыре главных фазы. Причем все они реализуют конкретные задачи.

  • Сразу с предприятием, которое заказывает проведение аудита ИБ, подписывается договор о том, что все, что станет известно исполнителю заказа останется между ним и предприятием заказчиком. Все секретные сведения не подлежат разглашению. Это аксиома;
  • Затем предприятие, заказавшее подобный аудит принимает участие в составлении техзадания, согласно которому будут осуществляться определенные действия, требуемые для проведения всестороннего аудита. Это своего рода регламент. Его основной целью является определение некоторых условий. Исполнитель не имеет права нарушать определенные границы дозволенного при проведении аудита. Благодаря подобному техническому заданию, с четко установленными границами, как заказчик, так и исполнитель будут ограничены от возможных претензий. Ведь, регламент все четко определяет для обеих сторон. То есть, их права и обязанности;
  • После заключения соглашения исполнитель приступает к выполнению взятых на себя обязательств. В первую очередь, как уже было сказано, он собирает все необходимые данные. Это проводится путем опроса работников предприятия, заполнения ими различных анкет. Исполнитель анализирует, имеющуюся на предприятии техническую и организационную документацию. Также аудит осуществляется с помощью специальных инструментов, имеющихся в распоряжении исполнителя;
  • После того, как все необходимые сведения будут собраны, необходимо их скрупулезно проанализировать. Это позволит оценить, насколько эффективной на данный момент является информационная безопасность предприятия. Если будут выявлены изъяны, исполнитель даст свои рекомендации по улучшению состояния защищенности ИБ предприятия.

Что получает предприятие (заказчик) в результате аудита безопасности?

Итог подобной проверки излагается заказчику в виде отчета. Это, по сути, полноценный документ, за подлинность которого отвечает исполнитель. Данный отчет разделен на несколько составляющих:

  • Вверху изложены границы, которые были оговорены между заказчиком и исполнителем перед проведением аудита. Далее идет описание конструкции АС предприятия. При этом средства и методика, применяемые при проведении аудита зачастую также подробно описаны;
  • Потом указываются, имеющиеся бреши и недостатки в ИБ предприятия, которые были выявлены исполнителем в ходе аудита;
  • Также подчеркивается степень их опасности для предприятия;
  • Исполнитель рекомендует, как можно модернизировать систему ИБ;
  • В конце аудитор излагает свои рекомендации в отношении того, какие меры должны быть предприняты в первую очередь.

Следует сказать, что аудит информационной безопасности это лишь начальный этап в создании полноценной, усовершенствованной системы ИБ предприятия. На его основе должен быть создан план, согласно которому будет проведена модернизация системы и устранение всех, имеющихся изъянов.

Для улучшения степени ИБ необходимо провести следующее:

  • Приобретение нового более совершенного оборудования;
  • Привлечение на работу профессионалов в данном направлении;
  • Создание документации, способной улучшить ИБ (инструкции, правила, регламенты и т.д.).

Видео по теме основы информационной безопасности:

Насколько часто необходимо проводить аудит зависит от изменений в структуре предприятия (открытие новых филиалов компании, внедрение новейших ИС, усовершенствование программного обеспечения и т.д.). На практике подобную внешнюю проверку желательно проводить ежегодно. Внутреннему же аудиту стоит подвергать ИБ раз в три месяца.

Аватар автора: Doc
Автор: Doc
Копирайтер портала Руказакона. Приглашаем к сотрудничеству профильные организации для написания полезных материалов для наших читателей в обмен на рекламу в этом блоке. Подробности в разделе сотрудничество.

Документы по теме


Остались вопросы по теме?

Спросите у юриста

конфиденциально

оперативно

бесплатно

Ваше имя
Город
Телефон

конфиденциально

оперативно

бесплатно

Похожие записи


Комментариев: 0

Добавить комментарий