Аудит - это главный инструмент развития и совершенствования системы , который позволяет своевременно выявлять недостатки и слабые места в ИТ-инфраструктуре, проводить необходимые превентивные и корректирующие мероприятия по их устранению.
В общем случае аудит информационной безопасности включает в себя:
проведение анализа защищенности информационных ресурсов;
проведение анализа информационных рисков;
оценку соответствия информационной системы различным стандартам в области безопасности, таким как ISO 27001, ISO 25999, PSI DSS, СТО ИББС и другим;
оценку соответствия требованиям руководящих документов ФСТЭК России по защите информации и аттестации объектов информатизации.
Целью всех указанных мероприятий является получение объективных оценок о текущем состоянии , наличия или отсутствия ошибок и уязвимостей в защите. (скрыть)
Заключается в инструментальном исследовании информационной системы с применением набора специализированных сканеров безопасности, а также методов аналитического анализа защищенности информационных ресурсов, таких как сервера, рабочие станции и прикладные системы. Критериями оценки в данном виде аудита являются уязвимости различной степени критичности информационных ресурсов и бреши в защите.
Анализ защищенности проводится как изнутри информационной системы и позволяет провести моделирование действий внутреннего нарушителя, так и снаружи - так называемый тест на проникновение в информационную систему через общедоступные ресурсы
Результаты аудита позволяют получить данные о степени защищенности информационных систем, усовершенствовать их защиту и предотвратить компрометацию информационных ресурсов внутренними и внешними нарушителями. (скрыть)
Выполняется с целью оценки критичности информационных ресурсов и определению адекватности предпринимаемых мер по отношению к их значимости.
Анализ заключается в проведении оценки значимости ресурсов, возможности реализации различных угроз (реализуемых нарушителями или связанными непосредственно с техническими системами и природными явлениями) в отношении критичных ресурсов, степени их уязвимости и оценке достаточности мер безопасности. Критерием оценки в данном случае является число информационных ресурсов, для которых уровень остаточных рисков превышает допустимый. Анализ рисков выполняется специалистами компании по собственной методике, основанной на методах определенных в BS7799-3, ISO 27005, методиках OCTAVE и CRAMM.
Результаты такого аудита помогут определить ресурсы, уровень защиты которых не достаточен или не адекватен их значимости, и дадут возможность сосредоточить усилия по защите в нужных местах, тем самым позволяя избежать распыления сил и средств и общем случае снизить затраты на. (скрыть)
Заключается в оценке соответствия выполнения требований стандартов и руководящих документов по защите информации. Критериями аудита здесь являются требования указанных стандартов или документов ФСТЭК по защите информации.
Успешное прохождение аудита позволяет получить сертификат или аттестат соответствия, как подтверждения того, что система соответствует лучшим мировым практикам или нормативным требованиям по защите информации.
В любом случае, аудит позволяет провести оценку текущего соответствия выполнения требованиям безопасности, определить, насколько полно и эффективно реализованы меры защиты, предпринять необходимые меры по достижению желаемого уровня . (скрыть)
В предпринимательской деятельности информация является основополагающим фактором стабильной и успешной деятельности компании. Действуя в интересах своего бизнеса, руководители не жалеют средств и ресурсов на обеспечение информационной безопасности, то есть сохранности и конфиденциальности информационных ресурсов. Такие затраты экономически определяются как вложение средств в сокращение уровня риска потери или порчи информации. Актуальность таких решений исходит из анализа ситуации, сложившейся в бизнес пространстве, где в настоящее время распространенным явлением стали преступления против , то есть хищение, порча, разглашение конфиденциальных данных, использование полученной информации в целях конкурентов, а также злонамеренное вредительство и т.д. Последствиями таких преступлений могут стать нарушение нормального течения бизнес процессов, подрыв деловой репутации, снижение эффективной работоспособности сотрудников компании, дополнительные финансовые затраты на ликвидацию последствий проникновения и нарушения работы информационной системы и т.д.
Услуги по информационной безопасности обеспечивают своевременное предотвращение возможности наступления чрезвычайной ситуации, помогают сократить риски проникновения в информационную структуру со стороны, поддерживают на высоком уровне системы защиты информационных ресурсов, позволяют повышать производительность рабочих процессов, уровень управляемости предприятия и многое другое.
