Аналитический аудит (обследование) информационной безопасности

Что такое аудит (обследование) информационной безопасности?

Аудит информационной безопасности — прежде всего, в современных условиях, необходимый инструмент обеспечения информационной безопасности.

Аудит - системный процесс получения объективных оценок текущего состояния информационной безопасности организации (предприятия) в соответствии с определенными критериями информационной безопасности.

Ключевые слова в данном определении: «объективные оценки» и «определенные критерии».

  • «Объективные оценки». Зачастую, по многим причинам, проведение внутреннего аудита не может дать объективной оценки.
  • «Определенные критерии». На примере кредитно-финансовых организаций:
  • оценка соответствия критериям ФСТЭК и ФСБ в области защиты персональных данных;
  • оценка соответствия критериям Международного стандарта ISO 27001;
  • оценка соответствия критериям Стандарта Банка России СТО БР ИББС;
  • оценка соответствия критериям Базельского соглашения Базель II;
  • и т.д.

Аналитический аудит, возможно, проводить как отдельных узлов, подсистем, работы отделов и так далее, так и всего предприятия в целом.

Главным итогом проведения аналитического аудита является аналитический отчет с выработанными рекомендациями (и разработкой организационно-распорядительной документации).

Подготовка аналитического отчета по выполненной работе, включает в себя:

  • моделирование действий нарушителя;
  • определение угроз;
  • анализ уязвимостей;
  • оценка рисков;
  • определение устойчивости объекта в соответствии с выбранными критериями перед началом работ;
  • разработка организационных мер обеспечения ИБ;
  • разработка предложения по развитию программно-технических средств обеспечения ИБ;
  • разработка рекомендаций по совершенствованию структуры информационной системы заказчика;
  • разработка рекомендаций по повышению квалификации штатного персонала.