Аудит состояния информационной безопасности
Аудит состояния информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности.
«ПРАЙМ ГРУП» проводит аудит состояния информационной безопасности на соответствие:
- требованиям нормативных документов РФ по информационной безопасности (нормативным документам ФСТЭК, ФСБ, ГОСТ, федеральным законам);
- стандартам банковских систем (стандарту банка России СТО БР ИББС-1.0-2006 и т.п.);
- рекомендациям международных стандартов по информационной безопасности (ISO/IEC 27001, группы стандартов NIST SP 800 и т.п.);
- рекомендациям международных стандартов на информационные системы Cobit, ITIIL/ITSM.
Этапы аудиторских работ:
- постановка задачи аудита информационной системы;
- предварительное обследование системы и сбор данных о технологических процессах и информационных потоках, точках их пересечения, точках обработки и хранения информации;
- уточнение и согласование с заказчиком задачи аудита;
- анализ информационных ресурсов автоматизированных систем на отнесение обрабатываемых в них сведений, в соответствии с законодательством РФ, к категориям охраняемых или разрешенных к открытому распространению сведений;
- комплексный анализ технологии обработки данных и/или технологии защиты данных;
- анализ угроз и анализ рисков, определение недостатков и/или уязвимостей в информационной системе;
- подготовка отчетной документации результатов аудита информационной системы;
- сдача заказчику результатов аудита.
Преимущества для заказчика:
- получение компетентной помощи по разграничению информационных потоков по категориям, определяющим возможные ограничения на их открытое распространение в строгом соответствии с требованиями законодательства Российской Федерации;
- получение из независимого источника информации о слабых местах и участках в информационной системе, технологическом процессе обработки данных;
- оценка адекватности и эффективности используемых организационно-технических мер;
- получение реального понимания, на каком уровне зрелости находится управление информационной системой в организации.