Аудит информационной безопасности
Аудит информационной безопасности это качественная, объективная аттестация, системная аналогия критериям, стандартам, предоставление ее в качестве рекомендаций.Дает возможность локализации проблем, разработки решений для системы поддержания безопасности. Состоит из проверки систем автоматизации (АС), ИТ безопасности, всех процессов.
Аудит целесообразен при:
- при изменении политики организации;
- если происходит поглощение, слияние организации;
- смене управления, организационных изменениях;
- изменении требований к безопасности;
- изменениях ИТ-инфраструктуры организации.
Целями могут являться оценка аналогии задач безопасности организации к задачам бизнеса, законодательства и контроля. Анализ соблюдения сотрудниками задач безопасности.
Работы по аудиту ИБ включают четыре этапа. Решение проведение проверки, анализ информации, отчет. Он должен соответствовать группе международных стандартов безопасности ISO, отраслевых, лучшим практикам ITIL.
Для полной оценки рекомендуется технологический аудит, тест проникновения (penetration test). Он покажет защищенность, наличие уязвимостей, для попыток проникновения в сеть и воздействия на информацию, определит возможность противодействия системы таким попыткам.
Существуют понятия внутреннего, а также внешнего аудита. Первый это единичная проверка, которую могут к примеру, инициировать руководство организации. Во втором случае это непрерывный процесс, установленный правилами и нормами организации. Инициаторы проверки должны всячески содействовать при проведении проверки, так как повлияет на достоверность результата.
Аудит информационной безопасности от компании It-Solutions отличается от консалтинга и выявляет и описывает отклонение от стандартов, задач и показателей. Продолжением аудита есть консалтинг технический. Для исследования проблем и детальной выработке предложений их устранения.
Проверка должна проводиться квалифицированными экспертами, подтвержденной международными сертификатами, имеющими опыт аудитов в информационной сфере.