Аудит інформаційної безпеки підприємства: поняття, стандарти, приклад

Віктор Кузьмін
1 minute

Як проводиться перевірка інформаційної безпеки на підприємстві?

Комплексний аудит інформаційної безпеки проходить у кілька етапів. Процес поділяється на організаційний та інструментарний. У рамках обох частин комплексу відбувається дослідження захищеності корпоративної інформаційної системи замовника, а потім – визначення відповідності встановленим нормам і вимогам. Проведення аудиту інформаційної безпеки поділяється на такі стадії:

  • Визначення вимог замовника і виконуваного обсягу робіт.
  • Вивчення необхідних матеріалів та винесення висновків.
  • Аналіз можливих ризиків.
  • Експертний висновок по виконаній роботі та винесення відповідного вердикту.

    • Що входить в перший етап аудиту інформаційної безпеки?

    Програма аудиту інформаційної безпеки починається саме з уточнення обсягу робіт, які потрібні замовнику. Клієнт висловлює свою думку і мета, переслідуючи яку він і звернувся для проведення експертної оцінки.

    На даній стадії вже починається перевірка загальних даних, які надає замовник. Йому описують методи, які будуть використані, і планується комплекс заходів.

    Головним завданням на даному етапі є постановка конкретної мети. Клієнт і організація, що проводить аудит, повинні розуміти один одного, зійтися на єдиній думці. Після формується комісія, до складу якої підбираються відповідні фахівці. З замовником окремо узгоджується також необхідне технічне завдання.

    Здавалося б, цей захід має лише в загальних рисах змалювати стан системи, що захищає від інформаційних атак. Але кінцеві результати перевірки можуть бути різними. Одних цікавить повна інформація про роботу захисних засобів фірми замовника, а інших – лише ефективність роботи окремих інформаційно-технологічних ліній. Саме від вимог і залежить вибір методів і засобів проведення оцінки. Постановка мети впливає і на подальший хід роботи експертної комісії.

    До речі, робоча група складається з фахівців двох організацій – фірми, яка виконує аудит і співробітників організації, яка перевіряється. Адже саме останні, як ніхто інший, знають тонкощі своєї установи і можуть надати всю необхідну для комплексної оцінки інформацію. Також вони проводять своєрідний контроль роботи співробітників фірми-виконавця. Їхня думка враховується і при винесенні результатів перевірки.

    Експерти фірми, що проводить аудит інформаційної безпеки підприємства, що займаються дослідженням предметних областей. Вони, маючи відповідний кваліфікаційний рівень, а також незалежне та неупереджене думку, здатні з більшою точністю оцінити стан роботи захисних засобів. Експерти ведуть свою діяльність згідно з наміченим планом робіт і поставлених завдань. Вони розробляють технічні процеси та узгодять між собою отримані результати.

    Технічне завдання чітко фіксує цілі роботи компанії-аудитора, визначає методи його здійснення. У ньому прописані також строки проведення перевірки, можливо навіть, що кожен етап буде мати свій період.

    На цій стадії відбувається налагодження контакту зі службою безпеки перевіряється установи. Фірма-аудитор дає зобов’язання про нерозголошення отриманих результатів перевірки.

    1 2 3 4 5 6 7 8