Аудит (зкспертиза) информационной безопасности (ИБ) проводится для выявления текущего состояния информационной безопасности организации и дальнейшего повышения её уровня.
Основными задачами, решаемыми в рамках аудита ИБ, являются:
- проведение обследования существующей информационной системы заказчика, анализ ее структуры и выполняемых в ней функций;
- выявление имеющихся угроз и уязвимостей, выдача рекомендаций по их устранению;
- оценка соответствия информационной системы существующим стандартам в области ИБ и требованиям отраслевых руководящих документов по информационной безопасности (инструкций ЦБ РУз, PCI DSS);
- выдача рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения ИБ в организации.
Работы по проведению аудита ИБ, как правило, состоят из следующих этапов:
1. Сбор информации о предприятии и проведение интервью с ключевыми специалистами.
2. Анализ существующей в организации нормативной базы по обеспечению информационной безопасности и практика её применения ‑ так называемый настольный аудит.
3. Проведение технической экспертизы информационных систем ‑ выявление уязвимостей.
4. Разработка проекта итогового отчета по итогам экспертизы и согласование его с заказчиком.
5. Презентация итогового отчета по результатам экспертизы и разъяснение всех его пунктов.
Работы по обследованию информационной инфраструктуры включают определение степени соответствия уровня развития ИБ в организации требованиям международно-признаваемых стандартов серии ISO 270xx (O‘zMSt ISO/IEC 27001:2023, OʻzMSt ISO/IEC 27002:2024).
Отчёт, выдаваемый заказчику по итогам проведения аудита, содержит:
- описания всех выявленных уязвимостей информационной инфраструктуры организации и рекомендации по их устранению;
- рекомендации по повышению текущего уровня защищенности информационной инфраструктуры и по совершенствованию системы обеспечения ИБ, разработанные на основе полученных в ходе экспертизы результатов. Везде, где это возможно, рекомендации сопровождаются ссылками на конкретные пункты стандартов и нормативов.
В результате, заказчик не только сможет получить данные о степени защищенности своих систем, но и будет иметь, по сути, готовый план действий по развитию ИБ.
Для тех, кто проводит аудит впервые ‑ он поможет понять уровень проблем с ИБ и правильно двигаться к их решению. Для тех, кто проводил аудит или экспертизу ранее ‑ увидеть, как изменился уровень ИБ и вовремя скорректировать планы.
17 июля 2022 года вступил в силу закон Республики Узбекистан «О кибербезопасности».
Предлагаем консалтинговые услуги по организации работы предприятия в соответствии с его требованиями:
- Проведение тренинга (мастер-класса) для специалистов ИТ, ИБ, HR и юридической службы с постатейным разбором закона, тест-кейсами.
- Консультации по организации работы подразделения информационной безопасности в соответствии с требованиями закона
- Консультации по организации ведения резервного копирования данных.
- Содействие в подготовке запросов в уполномоченные органы с запросами разъяснений норм закона применительно к конкретному предприятию.
Все консультации производятся с учётом и гармонизацией с действующим государственным стандартом по информационной безопасности O‘zMSt ISO/IEC 27001:2023