Аудит информационной безопасности

В рамках аудита проводится проверка имеющихся элементов защиты информации и разработка недостающих. Таким образом, проведение данных работ позволит получить:

  • документальное описание текущего состояния информационной системы организации;
  • реальную политику информационной безопасности организации (данный документ определяет цель и последовательность мероприятий руководства организации в области информационной безопасности, а также причины, по которым информационная безопасность важна для организации);
  • реально работающие должностные инструкции для персонала обслуживающего информационную систему, с отражением ответственности за допущенные нарушения;
  • классификацию информационных ресурсов по типам, уровню секретности, местонахождению, форме представления и конкретным ответственным лицам;
  • комплект необходимых внутренних нормативных документов (обязательство о неразглашении коммерческой тайны, положение о распределении и контроле прав доступа к информационным ресурсам, положение о парольной защите, положение об антивирусной защите, положение о резервировании данных, положение о служебном расследовании, положение о работе с ключевой информацией, инструкция пользователя компьютерной сети, и т.п.);
  • порядок предоставления прав доступа к ресурсам компьютерной сети;
  • порядок резервирования и восстановления данных после сбоев;
  • порядок антивирусной защиты;
  • оценку и рекомендации по физической защите критически важного оборудования;
  • порядок действий при возникновении нарушений;
  • конкретные рекомендации и решения по организации (поддержанию) защищенного взаимодействия с удаленными сегментами сети (филиалами);
  • рекомендации по организации системы текущего контроля действий пользователей;
  • отчет о реальной защищенности компьютерной сети от внутренних угроз, полученный в результате обследования техническими средствами (уязвимости рабочих станций, серверов, активного сетевого оборудования, разрабатываемых и использующихся автоматизированных систем, и пр.);
  • отчет о защищенности сети организации от внешних угроз (со стороны публичных сетей);
  • модель деятельности нарушителя;
  • пирамиду угроз информационной безопасности;
  • конкретные рекомендации по устранению выявленных уязвимостей, структурированные по значимости, сложности и срокам возможной реализации;
  • полную подготовку объектов информатизации к аттестации на соответствие требованиям по защите конфиденциальной информации и государственной тайны.


Наша компания имеет значительный опыт оказания услуг по независимому аудиту информационной безопасности, в частности нашими клиентами были:

 
Copyright Компания Экстрим про