Аудит информационной безопасности

Аудит (зкспертиза) информационной безопасности (ИБ) проводится для выявления текущего состояния информационной безопасности организации и дальнейшего повышения её уровня.

Основными задачами, решаемыми в рамках аудита ИБ, являются:

• проведение обследования существующей информационной системы заказчика, анализ ее структуры и выполняемых в ней функций;
• выявление имеющихся угроз и уязвимостей, выдача рекомендаций по их устранению;
• оценка соответствия информационной системы существующим стандартам в области ИБ и требованиям отраслевых руководящих документов по информационной безопасности (инструкций ЦБ РУз, PCI DSS);
• выдача рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения ИБ в организации.

Работы по проведению аудита ИБ, как правило, состоят из следующих этапов:
1. Сбор информации о предприятии и проведение интервью с ключевыми специалистами.
2. Анализ существующей в организации нормативной базы по обеспечению информационной безопасности и практика её применения ‑ так называемый настольный аудит.
3. Проведение технической экспертизы информационных систем ‑ выявление уязвимостей.
4. Разработка проекта итогового отчета по итогам экспертизы и согласование его с заказчиком.
5. Презентация итогового отчета по результатам экспертизы и разъяснение всех его пунктов.

Работы по обследованию информационной инфраструктуры включают определение степени соответствия уровня развития ИБ в организации требованиям международно-признаваемых стандартов серии ISO 270xx (O'z DSt ISO/IEC 27001:2016, O'z DSt ISO/IEC 27002:2016).

Отчёт, выдаваемый заказчику по итогам проведения аудита, содержит:

• описания всех выявленных уязвимостей информационной инфраструктуры организации и рекомендации по их устранению;
• рекомендации по повышению текущего уровня защищенности информационной инфраструктуры и по совершенствованию системы обеспечения ИБ, разработанные на основе полученных в ходе экспертизы результатов. Везде, где это возможно, рекомендации сопровождаются ссылками на конкретные пункты стандартов и нормативов.

В результате, заказчик не только сможет получить данные о степени защищенности своих систем, но и будет иметь, по сути, готовый план действий по развитию ИБ.

Для тех, кто проводит аудит впервые ‑ он поможет понять уровень проблем с ИБ и правильно двигаться к их решению. Для тех, кто проводил аудит или экспертизу ранее ‑ увидеть, как изменился уровень ИБ и вовремя скорректировать планы.

*Органам государственного и хозяйственного управления (госорганам) Узбекистана экспертизу  рекомендуется проводить не реже, чем раз в 2 года. Проведение экспертизы, в том числе, влияет на итоговую оценку состояния внедрения ИКТ в госоргане. (п. 3.1.3 приложения №3 к протоколу № 7 заседания Республиканской комиссии по координации реализации Комплексной программы развития Национальной информационно-коммуникационной системы Республики Узбекистан на 2013-2020 годы от 23 февраля 2016 года).

Чем именно отличается аудит ИБ от экспертизы ИБ можно прочитать в нашем коммертарии.

Подробнее узнать об аудите ИБ и получить коммерческое предложение можно связавшись с нами. Для этого можно запросить опросник по электронной почте или заполнить онлайн-форму.

Отдельно, хотим отметить, что аудит/экспертиза проводится для выявления уровня ИБ на предприятии.

Эта услуга не является сертификацией (подтверждением соответствия объектов требованиям технических регламентов) и не является аттестацией объектов информатизации ‑ для проведения этого вида работ уполномоченным органом выдается отдельный документ ‑ разрешение.

В целях повышения уровня информационной безопасности в органах государственной власти и управления между ООО «IT-TEAM SERVICE» и Центром развития и внедрения компьютерных и информационных технологий UZINFOCOM был подписан меморандум о сотрудничестве.

Мы также готовы оказать услуги по разработке нормативных документов по информационной безопасности.