Проведение аудита информационной безопасности
Корпоративная информационная система любой крупной организации представляет собой распределенную и неоднородную сущность, включающую в свой состав множество процессов управления персоналом, пользователями и программно-аппаратными компонентами. Такая ИС обычно взаимодействует с различными сетями общего пользования и глобальными корпоративными сетями.
В связи с этим значительно усложняется задача правильного, эффективного и безопасного управления этой системой, конфигурирования различных ее компонент и обеспечения защищенного взаимодействия между ними. Как следствие, увеличивается количество недостатков, нарушений и уязвимых мест в системе. Именно на выявление и устранение таких несоответствий и уязвимостей, а также оценку общего уровня защищенности направлены работы по аудиту безопасности информационных систем.
Описание решения
В рамках проведения внутреннего аудита информационной безопасности в организациях и на предприятиях решаются следующие задачи:- обследование процессов обработки защищаемой информации, а также сбор и анализ данных, о применяемых организационных и технических мерах обеспечения ИБ у Заказчика;
- категорирование информационных ресурсов;
- описание бизнес-процессов и выявление возможных каналов утечки защищаемой информации;
- анализ защищенности ресурсов;
- анализ действующей и Заказчика модели угроз безопасности информации;
- определение и регламентация мероприятий, процедур и документов, программных и программно-аппаратных средств защиты, внедрение которых необходимо для устранения выявленных несоответствий в системе ИБ и, как следствие, повышения итогового уровня защищенности.
- понимание о текущем состоянии ИБ;
- порядок действий для достижения целевого состояния;
- дорожная карта проектов;
- обоснование необходимости инвестиций.