Аудит ИБ – один из основных инструментов для оценки реальной защищенности активов, в том числе ИТ. Благодаря проверке проще понять, на что стоит обратить внимание, чтобы повысить уровень безопасности компании.
Аудит не устраняет угрозы безопасности, а фиксирует их наличие.
Цели и направления аудита ИБ
Цели аудита можно разделить на 3 вида: превентивные, детектирующие и корректирующие. Все они взаимосвязаны и направлены на оценку состояния ИБ, получение рекомендаций для улучшения и оценку соответствия стандартам.
Часто встречающиеся направления аудита – проверка выполнения требований законодательства и технический аудит.
Под проверкой требований законодательства подразумевается оценка защищенности систем в соответствии с федеральными законами, Положениями ЦБ РФ (382-П, 683-П, 719-П) и другими нормативно-правовыми актами и стандартами.
К техническому аудиту ИБ относятся пентест (тест на проникновение), аудит программного кода и т.д.
Чаще процедура аудита является смешанной, когда оценка ИБ происходит и с нормативной, и с технической стороны.
Мы работаем по всем из вышеперечисленных направлений аудита информационной безопасности:
Проверяем:
— исполнение мер защиты объектов КИИ (187-ФЗ);
— исполнения мер защиты ГИС (17 приказ ФСТЭК);
— соответствие требованиям по защите персональных данных (152-ФЗ, GDPR);
Проводим:
— анализ уязвимостей информационных систем;
— тестирование на проникновение ИТ-инфраструктуры, приложений и сайтов;
— оценку рисков информационной безопасности;
— анализ и расследование произошедших инцидентов информационной безопасности.
В целом, аудит — комплекс проверок различного характера для определения уязвимостей в информационной системе, которые могут быть использованы злоумышленниками.
Этапы аудита ИБ
Аудит безопасности, вне зависимости от формы его проведения, состоит из следующих этапов:
Подготовительный
— согласование полномочий аудитора и плана проверки;
— выбор аудитора;
— выбор средств и способов проверки.
Основной
— сбор информации;
— анализ данных;
— анализ состояния объекта аудита.
Заключительный
— формирование рекомендаций, документов;
— подготовка отчета.
В результате проверки вы получаете рекомендации по устранению выявленных уязвимостей в информационной системе.
Аудит ИБ должен выполняться регулярно. Например, для информационных систем персональных данных контроль защищенности в соответствии с законодательством необходимо выполнять раз в 2 года.
Мы готовы помочь с оценкой уровня защищенности ИТ-систем на вашем предприятии. Набор проверок подбирается индивидуально исходя из ваших потребностей и возможностей.
Источник https://rcngroup.ru/blog/audit-ib/
