Аудит информационной безопасности — это оценка уровня защищенности информационных процессов и информации организации, оценка выполнения требований законодательства РФ в части касающейся защиты информации.
ООО «ИЦСБ» может провести аудит в рамках обработки защищаемой информации в информационных системах, порядка обработки информации в организации в целом и отдельных проблемных областях. Опыт в данной области позволяет проводить аудит эффективно и в ограниченный период времени, с учетом организационной специфики заказчика.
Примерный ход проведения аудита:
- определение объема обрабатываемой информации, структуры организации;
- анализ организационно-распорядительных документов, локальных нормативных актов организации;
- анализ заполненных опросных листов организации в части обработки информации;
- для детального углубления в бизнес-процессы проведение очных или телефонных интервью с работниками организации;
- осмотр технологических и офисных помещений, подконтрольной территории на предмет организации безопасности защищаемой инфраструктуры;
- анализ существующих технических и программных средств защиты и используемого программного обеспечения и их настроек;
- анализ внедренной в организации системы защиты с помощью специальных технических средств (PEN-тестирования, средств контроля защищенности и др.);
- оценка уровня подготовки кадров организации в области безопасности информации.
Результат проведенного аудита информационной безопасности позволяет:
— дать оценку принятых мер по защите информации;
— исключить, в случае принятия мер, или минимизировать финансовый, репутационный, социальный ущерб от реализации угроз безопасности;
— оценить выполнение требований регуляторов отрасли и законодательства Российской Федерации в части информационной безопасности;
— получить общее понимание проблемных областей и путь их исправления.