Аудит інформаційної безпеки підприємства: поняття, стандарти, приклад
Як проводиться перевірка інформаційної безпеки на підприємстві?
Комплексний аудит інформаційної безпеки проходить у кілька етапів. Процес поділяється на організаційний та інструментарний. У рамках обох частин комплексу відбувається дослідження захищеності корпоративної інформаційної системи замовника, а потім – визначення відповідності встановленим нормам і вимогам. Проведення аудиту інформаційної безпеки поділяється на такі стадії:
Що входить в перший етап аудиту інформаційної безпеки?
Програма аудиту інформаційної безпеки починається саме з уточнення обсягу робіт, які потрібні замовнику. Клієнт висловлює свою думку і мета, переслідуючи яку він і звернувся для проведення експертної оцінки.
На даній стадії вже починається перевірка загальних даних, які надає замовник. Йому описують методи, які будуть використані, і планується комплекс заходів.
Головним завданням на даному етапі є постановка конкретної мети. Клієнт і організація, що проводить аудит, повинні розуміти один одного, зійтися на єдиній думці. Після формується комісія, до складу якої підбираються відповідні фахівці. З замовником окремо узгоджується також необхідне технічне завдання.
Здавалося б, цей захід має лише в загальних рисах змалювати стан системи, що захищає від інформаційних атак. Але кінцеві результати перевірки можуть бути різними. Одних цікавить повна інформація про роботу захисних засобів фірми замовника, а інших – лише ефективність роботи окремих інформаційно-технологічних ліній. Саме від вимог і залежить вибір методів і засобів проведення оцінки. Постановка мети впливає і на подальший хід роботи експертної комісії.
До речі, робоча група складається з фахівців двох організацій – фірми, яка виконує аудит і співробітників організації, яка перевіряється. Адже саме останні, як ніхто інший, знають тонкощі своєї установи і можуть надати всю необхідну для комплексної оцінки інформацію. Також вони проводять своєрідний контроль роботи співробітників фірми-виконавця. Їхня думка враховується і при винесенні результатів перевірки.
Експерти фірми, що проводить аудит інформаційної безпеки підприємства, що займаються дослідженням предметних областей. Вони, маючи відповідний кваліфікаційний рівень, а також незалежне та неупереджене думку, здатні з більшою точністю оцінити стан роботи захисних засобів. Експерти ведуть свою діяльність згідно з наміченим планом робіт і поставлених завдань. Вони розробляють технічні процеси та узгодять між собою отримані результати.
Технічне завдання чітко фіксує цілі роботи компанії-аудитора, визначає методи його здійснення. У ньому прописані також строки проведення перевірки, можливо навіть, що кожен етап буде мати свій період.
На цій стадії відбувається налагодження контакту зі службою безпеки перевіряється установи. Фірма-аудитор дає зобов’язання про нерозголошення отриманих результатів перевірки.