Аудит інформаційної безпеки - Аструм Інформаційна безпека

  1. опис послуги
  2. деталі
  3. Ми робимо
  4. Підхід до роботи

Аудит інформаційної безпеки

опис послуги

Аудит інформаційної безпеки - незалежна оцінка поточного стану системи управління інформаційної безпеки (СУІБ) і розробка рекомендацій та ініціатив щодо підвищення рівня інформаційної безпеки (ІБ) компанії.

Аудит ІБ дозволяє керівництву компанії, її акціонерам і третім сторонам оцінити поточний стан СУІБ, а також виробити необхідні заходи, спрямовані на вдосконалення СУІБ, технологічних бізнес-процесів і використовуваних IT-технологій.

деталі

цінність аудиту

Цінність аудиту ІБ полягає в наступному:

  • Аудит представляє собою незалежне дослідження, що підвищує об'єктивність його результатів;
  • Експерти, які проводять аудит, мають більш високу кваліфікацію і більший досвід роботи в сфері ІБ, на відміну від штатних співробітників компанії;
  • Аудит ІБ дає розуміння основних загроз інформаційної інфраструктури, що дозволяє управляти бізнес ризиками;
  • Аудит ІБ дає можливість знизити фінансові витрати за рахунок правильно розставлених пріоритетів при впровадженні заходів щодо забезпечення інформаційної безпеки;
  • Аудит ІБ передує роботам зі створення системи захисту інформації, або її модернізації.

цілі аудиту

Основними цілями проведення робіт з аудиту ІБ є:

  • Незалежна оцінка поточного рівня захищеності інформаційної інфраструктури для прийняття рішення про її модернізації;
  • Ідентифікація та оцінка вразливостей;
  • Визначення відповідності СУІБ завданням і бізнес-цілям компанії;
  • Оцінка ефективності інвестицій і планування витрат на забезпечення захисту інформації;
  • Відповідність вимогам чинного законодавства РФ і міжнародних стандартів;
  • Мінімізація ризиків ІБ.

завдання, які вирішуються

Проведення аудиту ІБ дозволить компанії вирішити такі завдання:

  • Отримати незалежну оцінку стану інформаційної безпеки в компанії;
  • Виявити уразливості, загрози в ІТ-інфраструктурі і технологічних бізнес-процесах, а також визначити пов'язані з ними ризики;
  • Сформувати потреби в необхідних заходи та засоби захисту;
  • Сформувати перелік подальших кроків щодо усунення виявлених загроз інформаційній безпеці;
  • Оцінити відповідність використовуваних засобів захисту інформації, завданням і цілям компанії;
  • Cпланіровать заходи щодо інформаційної безпеки.

Ми робимо

Компанія Astrum пропонує наступні етапи проведення робіт з аудиту інформаційної безпеки:

Етап I. Планування робіт:

  • визначення меж проведення аудиту;
  • визначення робочої групи проекту;
  • розробка календарного плану проведення аудиту та ін.

Етап II. Обстеження і збір інформації:

  • запит необхідної інформації;
  • проведення анкетування;
  • проведення інтерв'ювання;
  • аналіз бізнес-процесів і цілей компанії;
  • виділення основних інформаційних активів;
  • ідентифікація основних інформаційних потоків;
  • обстеження ІТ-інфраструктури та наявних механізмів захисту інформації;
  • інструментальне сканування;
  • огляд приміщень та ін.

Етап III. Аналіз і оцінка отриманих даних:

  • аналіз повноти і змісту існуючої організаційно-розпорядчої документації, вимогам щодо захисту інформації;
  • визначення рівня захищеності ІТ-інфраструктури;
  • аналіз і оцінка ризиків, пов'язаних із загрозами безпеці інформаційних ресурсів тощо.

Етап IV. Розробка рекомендацій та Звіту аудиту:

  • розробка рекомендацій щодо мінімізації ризиків виявлених загроз ІБ;
  • розробка рекомендацій щодо вдосконалення системи інформаційної безпеки;
  • розробка рекомендацій по налаштування та конфігурації застосовуються ІТ-рішень і засобів захисту;
  • розробка рекомендацій та звіту аудиту.

Підхід до роботи

В рамках проведення аудиту ІБ, компанія Astrum використовує такі практики:

1. Міжнародні, національні та галузеві стандарти:

  • ISO 27001. Інформаційні технології. Методи захисту. Системи менеджменту захисту інформації. Вимоги.
  • ISO 27002. Інформаційні технології. Звід правил по управлінню захистом інформації.
  • ISO 27005. Інформаційна технологія - Методи і засоби забезпечення безпеки - Менеджмент ризику інформаційної безпеки.
  • Стандарт Банку Росії «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації» Загальні положення. (СТО БР Іббсе).
  • Стандарт безпеки інфраструктури платіжних карт - PCI DSS.

2. Законодавча та нормативна база:

  • Федеральний закон від 27.07.2006 р №152-ФЗ «Про персональних даних».
  • Федеральний закон від 27.06.2011 р №161-ФЗ «Про національну платіжну систему».
  • Федеральний закон від 29.07.2004 р №98-ФЗ «Про комерційну таємницю».
  • Федеральний закон від 06.04.2011 р №63-ФЗ «Про електронний підпис».
  • Федеральний закон від 27.07.2006 р №149-ФЗ «Про інформацію, інформаційні технології і про захист інформації».

3. Внутрішні організаційно-розпорядчі документи компанії.

Для замовлення послуги напишіть нам на адресу

[email protected]

або зателефонуйте

+7 (495) 98-89-105

Новости
Слова жизни
Фотогалерея

Все права защищены © 2013 Духовное слово в твоей жизни. Христианская церковь
Деятельность церкви. Служения. События и новости церкви. Фото- и видеогалерея