» » » Что такое и зачем нужен аудит информационной безопасности на предприятии?

Что такое и зачем нужен аудит информационной безопасности на предприятии?

Аудит ИБ, способный существенно повлиять на ИБ предприятия в положительную сторону, сейчас часто обговаривается в среде предпринимателей. Именно об этом понятии рассказано в этой статье. Качественный аудит информационной безопасности предприятия может предоставить компания «Судебный эксперт». Нынешний рынок переполнен инновационным аппаратным обеспечением и новейшими программами.

Что такое и зачем нужен аудит информационной безопасности на предприятии?

Зачастую на предприятиях, как оборудование, так и ПО морально устаревшее. Полная замена информационных систем подразумевает существенные денежные расходы. Другой вариант – это модернизация. Но при этом необходимо позаботиться о совместимости аппаратно-программного обеспечения. Аудит информационных систем может помочь в том, чтобы устаревшие и новые компоненты системы функционировали на полную мощность, реализуя весь свой потенциал. Но основная цель данной проверки является определение уровня защищенности конфиденциальной информации предприятия.

Содержание статьи:

  1. Понятие аудита информационной безопасности
  2. Когда необходим аудит информационной безопасности
  3. Какие работы включает в себя аудит безопасности?
  4. Что получает предприятие в результате аудита безопасности?

Понятие аудита информационной безопасности

Согласно исследованиям в этой сфере руководители различных предприятий имеют разные представления на этот счет. И хотя на данный момент не существует четкого определения, чем же является подобный аудит, все же в общих чертах его можно охарактеризовать, как процедуру, включающую в себя последовательный сбор из различных источников всей имеющейся информации, и затем проведение ее анализа. Данный процесс нужно проводить для того, чтобы выяснить, в какой степени предприятие защищено от предполагаемых угроз.

Подобный аудит можно разделить на два вида:

  • Осуществляемую собственными силами компании: отделом ИБ или же отделом ИТ проверку называют внутренней;
  • Если же для проведения аудита привлекаются сторонние, независимые организации, способные дать профессиональную консультацию в сфере ИБ, то его называют внешним.

Когда необходим аудит информационной безопасности

При современном развитии информационных технологий, они стали неотъемлемой частью функционирования любого более, менее крупного предприятия. Есть несколько вариантов необходимости проведения аудита информационной безопасности. Из них, можно выделить, следующие:

  1. Если предприятие нуждается в профессиональной оценке того, насколько действенны и надежны средства, используемые им для сохранности ценной информации, от которой зависит вся работа предприятия;
  2. Применяемые в компании средства защиты данных нуждаются в систематизации. Их нужно проинспектировать и упорядочить;
  3. Также подобный аудит может понадобиться, если на предприятии собираются разработать и установить инновационную систему защиты данных;
  4. Аудит информационной безопасности потребуется для модернизации системы ИБ и приведение к такому состоянию, которое требуется в соответствии с действующим законодательством (независимо отечественным или международным);
  5. В случае, если система дала сбой аудит понадобиться для выяснения всех обстоятельств и причин такого сбоя;
  6. Такая проверка может потребоваться, если руководство решило модернизировать существующую на предприятии систему информационной безопасности, и на это требуются инвестиции. Она понадобиться для того, чтобы обосновать перед потенциальными инвесторами необходимость вкладывать деньги.

Зачастую, аудит проводится по инициативе менеджмента компании. Также он может быть проведен по требованию отдела внутреннего контроля и профильных отделов (ИБ и автоматизации). Кроме того, такая проверка устраивается по распоряжению различных регулирующих государственных структур и страховых компаний.

Разновидности аудита информационной безопасности

Виды аудита ИБ
Виды аудита ИБ
  • Проверка информационной безопасности на попытку взлома (penetration testing), проводимая для того, чтобы оценить степень защиты предприятия от хакерских и прочих атак, которые могут быть предприняты из интернета;
  • Возможность оценить уровень ИБ на ее соответствие, необходимым требованиям ISO 27001, который является международным стандартом;
  • Проверка ИБ в условиях стандарта ИБ «Банка России»;
  • Подробная аналитика, действующих в информационной безопасности инструментов, проводимая с целью обнаружения слабых мест в ИС предприятий;
  • Аудит ИБ проводится с целью выяснения полностью ли соответствует информационная безопасность предприятия нормам Закона «О персональных данных», действующем на территории Российской Федерации;
  • Проверка наличия секретных сведений согласно технологиям конкурентной разведывательной деятельности;
  • Всесторонний аудит, основанный на комплексной оценке возможных рисков ИБ предприятия.

Какие работы включает в себя аудит безопасности?

Какой бы вид аудита не проводился, он должен включать в себя четыре главных фазы. Причем все они реализуют конкретные задачи.

  • Сразу с предприятием, которое заказывает проведение аудита ИБ, подписывается договор о том, что все, что станет известно исполнителю заказа останется между ним и предприятием заказчиком. Все секретные сведения не подлежат разглашению. Это аксиома;
  • Затем предприятие, заказавшее подобный аудит принимает участие в составлении техзадания, согласно которому будут осуществляться определенные действия, требуемые для проведения всестороннего аудита. Это своего рода регламент. Его основной целью является определение некоторых условий. Исполнитель не имеет права нарушать определенные границы дозволенного при проведении аудита. Благодаря подобному техническому заданию, с четко установленными границами, как заказчик, так и исполнитель будут ограничены от возможных претензий. Ведь, регламент все четко определяет для обеих сторон. То есть, их права и обязанности;
  • После заключения соглашения исполнитель приступает к выполнению взятых на себя обязательств. В первую очередь, как уже было сказано, он собирает все необходимые данные. Это проводится путем опроса работников предприятия, заполнения ими различных анкет. Исполнитель анализирует, имеющуюся на предприятии техническую и организационную документацию. Также аудит осуществляется с помощью специальных инструментов, имеющихся в распоряжении исполнителя;
  • После того, как все необходимые сведения будут собраны, необходимо их скрупулезно проанализировать. Это позволит оценить, насколько эффективной на данный момент является информационная безопасность предприятия. Если будут выявлены изъяны, исполнитель даст свои рекомендации по улучшению состояния защищенности ИБ предприятия.

Что получает предприятие (заказчик) в результате аудита безопасности?

Итог подобной проверки излагается заказчику в виде отчета. Это, по сути, полноценный документ, за подлинность которого отвечает исполнитель. Данный отчет разделен на несколько составляющих:

  • Вверху изложены границы, которые были оговорены между заказчиком и исполнителем перед проведением аудита. Далее идет описание конструкции АС предприятия. При этом средства и методика, применяемые при проведении аудита зачастую также подробно описаны;
  • Потом указываются, имеющиеся бреши и недостатки в ИБ предприятия, которые были выявлены исполнителем в ходе аудита;
  • Также подчеркивается степень их опасности для предприятия;
  • Исполнитель рекомендует, как можно модернизировать систему ИБ;
  • В конце аудитор излагает свои рекомендации в отношении того, какие меры должны быть предприняты в первую очередь.

Следует сказать, что аудит информационной безопасности это лишь начальный этап в создании полноценной, усовершенствованной системы ИБ предприятия. На его основе должен быть создан план, согласно которому будет проведена модернизация системы и устранение всех, имеющихся изъянов.

Для улучшения степени ИБ необходимо провести следующее:

  • Приобретение нового более совершенного оборудования;
  • Привлечение на работу профессионалов в данном направлении;
  • Создание документации, способной улучшить ИБ (инструкции, правила, регламенты и т.д.).

Видео по теме основы информационной безопасности:

Насколько часто необходимо проводить аудит зависит от изменений в структуре предприятия (открытие новых филиалов компании, внедрение новейших ИС, усовершенствование программного обеспечения и т.д.). На практике подобную внешнюю проверку желательно проводить ежегодно. Внутреннему же аудиту стоит подвергать ИБ раз в три месяца.

Автор: Евгений

Копирайтер портала «РукаЗакона.ру». Пишу статьи, ищу интересную информацию и предлагаю способы ее практического применения гражданами РФ в тех или иных правовых вопросах.

Другие публикации этого автора
© «Rukazakona.ru», при полном или частичном копировании материала ссылка на первоисточник обязательна.
Нашли ошибку в тексте? Выделите нужный фрагмент и нажмите ctrl + enter.
Оцените материал:
Читайте также

Комментариев (0)

Добавить комментарий
Прокомментировать

Нажимая на кнопку "отправить" вы соглашаетесь с пользовательским соглашением и политикой конфиденциальности данного сайта.