Аудит информационной безопасности — это процесс сбора исходных данных о текущем состоянии системы ИБ, ее функционировании, способности решать поставленные перед ней задачи. Как правило, аудит ИБ является обязательным этапом, который предшествует разработке политики ИБ.
При проведении аудита ИБ можно выделить следующие этапы:
- Анализ и составление перечня конфиденциальной информации, подлежащей защите.
- Формирование перечня конфиденциальной информации, обрабатываемой в компании.
- Определение ее местонахождения в информационных системах компании.
- Анализ существующих информационных ресурсов компании:
-
-
- определение перечня существующих информационных ресурсов в составе автоматизированной системы компании, на которых может обрабатываться конфиденциальная информация, определение состава и структуры каждой информационной системы и технических особенностей их построения (состав и структура ПО, технические средства обработки, сетевая и серверная топология и прочее),
- классификация информационных систем по степени важности обрабатываемой информации,
- определение режима обработки конфиденциальных данных в каждой ИС и в целом в компании.
-
- Анализ имеющейся в компании организационно-распорядительной документации по вопросам защиты информации.
- Анализ имеющихся в распоряжении мер и средств защиты информации:
-
-
- от физического доступа,
- от утечки по техническим каналам,
- от несанкционированного доступа,
- от электромагнитных воздействий.
-
- Инструментальное сканирование узлов системы, анализа защищенности web-приложений Заказчика (корпоративного web-портала).
По итогам аудита ИБ осуществляется разработка рекомендаций по устранению выявленных угроз безопасности, а также подбор технических средств защиты информации. Специалисты компании «ИТЕРАНЕТ» обладают многолетним опытом проведения работ по аудиту ИБ, оценке рисков, связанных с утечкой информации, и построения комплексных систем ИБ.
