Аудит ИБ включает в себя технический аудит и организационно-методический аудит. В свою очередь, технический аудит обычно разделяется на общий аудит и инструментальный аудит.
ATSOLUT выполняет аудит на соответствие требованиям в одной или нескольких предметных областях:
- законодательство и требования по защите персональных данных
- требования по защите информации в государственных информационных системах
- законодательство и требования в области защиты информации в национальной платежной системе
- отраслевые требования, стандарты и рекомендации по защите информации в финансовых организациях, фин.процессинге
- аудит в области процессов (ISO 27001 и другие).
Результатом аудита является заключение о степени соответствия компании/организации критериям аудита, а также рекомендации по совершенствованию ИТ-инфраструктуры, защиты информации, процессов обеспечения и управления ИБ и документационного обеспечения заказчика.
Инструментальный аудит включает в себя следующие направления:
- аудит защищенности ИТ-инфраструктуры и информационных систем;
- тест на проникновение (pen-тест);
- аудит информационных потоков в компании/организации;
- контроль исходного кода приложений на уязвимости/закладки.
Логическим продолжением аудита является разработка корпоративных документов верхнего уровня по вопросам безопасности информации в компании/организации, среди которых:
- корпоративная политика ИБ;
- концепция обеспечения ИБ;
- корпоративная модель угроз безопасности информации.
Разработанные верхнеуровневые документы обеспечивают базис для выстраивания всего комплекса работ по приведению процессов и технологий обеспечения и управления ИБ в компании/организации в соответствие требованиям законодательства, нормативным документам, лучшим практикам ИБ.
Формирование и выстраивание процессов обеспечения ИБ и управления ИБ является неотъемлемой составляющей процессной модели функционирования компаний на средних и высоких уровнях зрелости ИТ.
Для публичных компаний аудит ИБ является элементом неотъемлемой составляющей независимой внешней оценки рыночной стоимости компании, внося таким образом свой вклад в капитализацию компании.
КЛЮЧЕВЫЕ РЕЗУЛЬТАТЫ
В результате выполнения проекта в зависимости от его масштаба и границ заказчик получит независимую оценку состояния обеспечения ИБ в его компании/организации, степень его соответствия обязательным законодательным, нормативным и отраслевым требованиям по вопросам защиты информации, степени уязвимости его ИТ- и ИБ-инфраструктуры и информационных систем к современным угрозам, а также могут быть выявлены свидетельства противоправной деятельности в его информационном пространстве различной природы.
ИСПОЛЬЗУЕМЫЕ ПРОДУКТЫ
- MaxPatrol (Positive Technologies)
- Appercut (InfoWatch)
- SafeERP (Газинформсервис)
- Nessus (Tenable Network Security)
- AppScan (IBM)
- Arbor Pravail NSI (Arbor networks)