Аналитический аудит (обследование) информационной безопасности
Что такое аудит (обследование) информационной безопасности?
Аудит информационной безопасности — прежде всего, в современных условиях, необходимый инструмент обеспечения информационной безопасности.
Аудит - системный процесс получения объективных оценок текущего состояния информационной безопасности организации (предприятия) в соответствии с определенными критериями информационной безопасности.
Ключевые слова в данном определении: «объективные оценки» и «определенные критерии».
- «Объективные оценки». Зачастую, по многим причинам, проведение внутреннего аудита не может дать объективной оценки.
- «Определенные критерии». На примере кредитно-финансовых организаций:
- оценка соответствия критериям ФСТЭК и ФСБ в области защиты персональных данных;
- оценка соответствия критериям Международного стандарта ISO 27001;
- оценка соответствия критериям Стандарта Банка России СТО БР ИББС;
- оценка соответствия критериям Базельского соглашения Базель II;
- и т.д.
Аналитический аудит, возможно, проводить как отдельных узлов, подсистем, работы отделов и так далее, так и всего предприятия в целом.
Главным итогом проведения аналитического аудита является аналитический отчет с выработанными рекомендациями (и разработкой организационно-распорядительной документации).
Подготовка аналитического отчета по выполненной работе, включает в себя:
- моделирование действий нарушителя;
- определение угроз;
- анализ уязвимостей;
- оценка рисков;
- определение устойчивости объекта в соответствии с выбранными критериями перед началом работ;
- разработка организационных мер обеспечения ИБ;
- разработка предложения по развитию программно-технических средств обеспечения ИБ;
- разработка рекомендаций по совершенствованию структуры информационной системы заказчика;
- разработка рекомендаций по повышению квалификации штатного персонала.