Аудит (зкспертиза) информационной безопасности (ИБ) проводится для выявления текущего состояния информационной безопасности организации и дальнейшего повышения её уровня.
Основными задачами, решаемыми в рамках аудита ИБ, являются:
Работы по проведению аудита ИБ, как правило, состоят из следующих этапов:
1. Сбор информации о предприятии и проведение интервью с ключевыми специалистами.
2. Анализ существующей в организации нормативной базы по обеспечению информационной безопасности и практика её применения ‑ так называемый настольный аудит.
3. Проведение технической экспертизы информационных систем ‑ выявление уязвимостей.
4. Разработка проекта итогового отчета по итогам экспертизы и согласование его с заказчиком.
5. Презентация итогового отчета по результатам экспертизы и разъяснение всех его пунктов.
Работы по обследованию информационной инфраструктуры включают определение степени соответствия уровня развития ИБ в организации требованиям международно-признаваемых стандартов серии ISO 270xx (O'z DSt ISO/IEC 27001:2016, O'z DSt ISO/IEC 27002:2016).
Отчёт, выдаваемый заказчику по итогам проведения аудита, содержит:
В результате, заказчик не только сможет получить данные о степени защищенности своих систем, но и будет иметь, по сути, готовый план действий по развитию ИБ.
Для тех, кто проводит аудит впервые ‑ он поможет понять уровень проблем с ИБ и правильно двигаться к их решению. Для тех, кто проводил аудит или экспертизу ранее ‑ увидеть, как изменился уровень ИБ и вовремя скорректировать планы.
*Органам государственного и хозяйственного управления (госорганам) Узбекистана экспертизу рекомендуется проводить не реже, чем раз в 2 года. Проведение экспертизы, в том числе, влияет на итоговую оценку состояния внедрения ИКТ в госоргане. (п. 3.1.3 приложения №3 к протоколу № 7 заседания Республиканской комиссии по координации реализации Комплексной программы развития Национальной информационно-коммуникационной системы Республики Узбекистан на 2013-2020 годы от 23 февраля 2016 года).
Чем именно отличается аудит ИБ от экспертизы ИБ можно прочитать в нашем коммертарии.
Подробнее узнать об аудите ИБ и получить коммерческое предложение можно связавшись с нами. Для этого можно запросить опросник по электронной почте или заполнить онлайн-форму.
Отдельно, хотим отметить, что аудит/экспертиза проводится для выявления уровня ИБ на предприятии.
Эта услуга не является сертификацией (подтверждением соответствия объектов требованиям технических регламентов) и не является аттестацией объектов информатизации ‑ для проведения этого вида работ уполномоченным органом выдается отдельный документ ‑ разрешение.
В целях повышения уровня информационной безопасности в органах государственной власти и управления между ООО «IT-TEAM SERVICE» и Центром развития и внедрения компьютерных и информационных технологий UZINFOCOM был подписан меморандум о сотрудничестве.
Мы также готовы оказать услуги по разработке нормативных документов по информационной безопасности.