Аудит інформаційної безпеки підприємства: поняття, стандарти, приклад
У чому полягає останній етап аудиту?
Завершальна стадія характеризується письмовим оформленням результатів роботи. Документ, який виходить на виході, називається аудиторським звітом. Він закріплює висновок про загальний рівень захищеності фірми, що перевіряється. Окремо йде опис ефективності роботи інформаційно-технологічної системи безпеки. Звіт дає вказівки і про потенційні загрози, описує модель можливого зловмисника. Також в ньому прописуються можливості несанкціонованого вторгнення за рахунок внутрішніх і зовнішніх чинників.
Стандарти аудиту інформаційної безпеки передбачають не тільки оцінку стану, але і дачу рекомендацій експертної комісії на проведення необхідних заходів. Саме фахівці, які провели комплексну роботу, проаналізували інформаційну інфраструктуру, можуть сказати, що необхідно робити для того, щоб захиститися від крадіжки інформації. Вони вкажуть на ті місця, які треба підсилити. Експерти дають вказівки і щодо технологічного забезпечення, тобто обладнання, серверів і міжмережевих екранів.
Рекомендації являють собою ті зміни, які необхідно провести в конфігурації мережевих пристроїв і серверів. Можливо, вказівки будуть стосуватися безпосередньо обраних методів забезпечення безпеки. Якщо це буде потрібно, то експерти пропишуть комплекс заходів, спрямованих на додаткове посилення механізмів, що забезпечують захист.
У компанії також має бути проведена спеціальна роз’яснювальна робота, вироблена політика, спрямована на конфіденційність. Можливо, повинні бути проведені реформи щодо служби безпеки. Важливим моментом є і нормативно-технічна база, яка зобов’язана закріплювати положення про безпеки фірми. Колектив необхідно проінструктувати належним чином. Між усіма працівниками діляться сфери впливу і покладена відповідальність. Якщо це доцільно, то краще провести курс для підвищення освіченості колективу щодо інформаційної безпеки.
