Аудит інформаційної безпеки підприємства: поняття, стандарти, приклад

У чому полягає експертний аудит?

Щоб визначити відповідність фірми встановленим вимогам, також проводиться аудит інформаційної безпеки. Приклад такої задачі можна побачити в експертному методі. Він полягає у порівняльній оцінці з вихідними даними.

Та сама ідеальна робота засобів захисту може ґрунтуватися на різних джерелах. Пред’являти вимоги і ставити завдання може і сам клієнт. Керівник фірми, можливо, бажає знати, наскільки далеко знаходиться рівень безпеки його організації від бажаного.

Прототипом, щодо якого буде проведена порівняльна оцінка, можуть бути і загальновизнані світові стандарти.

Відповідно до ФЗ «Про аудиторську діяльність», у фірми-виконавця достатньо повноважень для того, щоб провести збір відповідної інформації та зробити висновок щодо достатності існуючих заходів щодо забезпечення інформаційної безпеки. Оцінюється також несуперечність нормативних документів і дій працівників щодо роботи засобів захисту.

У чому полягає перевірка на відповідність стандартам?

Даний вид дуже схожий з попереднім, так як його суттю також є порівняльна оцінка. Але тільки в цьому випадку ідеальним прототипом є не абстрактне поняття, а чіткі вимоги, закріплені у нормативно-технічної документації і стандартах. Однак тут також визначається ступінь відповідності рівня, заданого політикою конфіденційності. Без відповідності цього моменту не можна говорити про подальшу роботу.

Найчастіше подібний вид аудиту необхідний для сертифікації діючої на підприємстві системи по забезпеченню безпеки. Для цього необхідно думка незалежного експерта. Тут важливий не тільки рівень захисту, але і його задоволеність визнаними стандартами якості.

Таким чином, можна зробити висновок, що для проведення такого роду процедури потрібно визначитися з виконавцем, а також виділити коло цілей і завдань, виходячи з власних потреб і можливостей.