Такие возможности с одной стороны помогают своевременно выполнять сотрудниками свои прямые обязанности, а с другой – подвергают риску информационную безопасность предприятия. На сегодняшний день остро стоят вопросы защиты информации, особенно высоко конфиденциальной, утечка, потеря или изменение которой может привести организацию к значительным потерям, как экономического, так и репутационного характера.
Аудитом информационной безопасности (ИБ) в широком смысле называют сбор и анализ данных о состоянии информационной системы предприятия на предмет ее защищенности и уязвимости к вредоносным атакам злоумышленников. Такой аудит может проводиться в ряде случаев. Во-первых, когда компания решает модифицировать существующую или внедрить новую систему информационной безопасности, а также после внедрения для оценки ее эффективности. Во-вторых, аудит ИБ может проводится для целей приведения в соответствие требованиям российского и международного законодательства. И в-третьих, после наступления какого-то инцидента, причиной которого являются узкие места существующей системы ИБ в организации.
Инициатором аудита ИБ может стать как руководство компании, так и службы информационной безопасности. Иногда аудит проводится по требованию страховых компаний или регулирующих органов.
Проведение аудита ИБ регламентируется на законодательном уровне. Во-первых, проводить аудит имеют право только сертифицированные в ФСБ и ФСТЭК специалисты по информационной безопасности. Во-вторых, при проведении аудита ИБ необходимо выявлять соответствия по следующим законодательным актам: «Специальные требования и рекомендации по технической защите конфиденциальной информации» ФСТЭК (Гостехкомиссии), ФЗ152 «О персональных данных», СТР-К, требования ФСБ РФ, ГОСТы и т. д.
В процессе проведения аудита ИБ проводится сбор данных о состоянии систем защиты информации. На основании собранных данных проводится оценка уровня безопасности ИС и определяются риски, которым подвержена система. Расчет уровня риска производится по существующим нормативным документам (внутренние нормативные документы, требования законодательства, рекомендации международных стандартов или рекомендации производителей ПО или аппаратного обеспечения), или используются методы определения вероятности реализации атак и степени их ущерба.
По результатам проведенного анализа, экспертами разрабатываются рекомендации по усовершенствованию модели системы информационной безопасности. Таки рекомендации можно разделить на четыре группы по их отношению к возможным рискам и угрозам. Во-первых, риски можно уменьшить за счет покупки дополнительных средств защиты, уменьшающих вероятность проведения атак или уменьшения ущерба. Во-вторых, изменив архитектуру ИС или схему информационных потоков, имеется возможность уклониться от риска. В-третьих, все чаще на предприятиях используется страхование как от физического ущерба системы (например, пожара), так и страхование от возможного нарушения конфиденциальности. И к последнему типу рекомендаций можно отнести принятие риска после того, как он будет уменьшен до той степени, что не будет опасен для информационной системы.
Наша компания является системным интегратором широкого профиля, предоставляющий свои услуги на всей территории Российской Федерации. Нам доверяют ключевые министерства и ведомства регионального уровня, а также крупные торговые и производственные холдинги как в регионе, так и за его пределами. Наши компетентные сотрудники помогут Вам подобрать оптимальное решение именно для Вас, окажут всестороннюю пред- и постпродажную поддержку в проекте, а также услуги по интеграции решений в действующую инфраструктуру любой сложности.
