Открыть сервис

Аудит информационной безопасности

Аудит информационной безопасности — это систематический процесс сбора, анализа и оценки данных о состоянии защищённости информационной системы организации, направленный на определение её соответствия установленным критериям безопасности, нормативным требованиям, политикам и стандартам. Аудит позволяет выявить уязвимости, недостатки в конфигурации средств защиты, несоответствия регламентам и оценить эффективность применяемых мер защиты информации. Результаты аудита служат основой для принятия управленческих решений по совершенствованию системы обеспечения информационной безопасности (СОИБ).

Цели и задачи аудита информационной безопасности

Основной целью аудита информационной безопасности является получение объективной и независимой оценки текущего уровня защищённости информационных ресурсов организации. В рамках этой цели решаются следующие задачи:

Виды аудита информационной безопасности

Аудит информационной безопасности классифицируется по нескольким признакам.

По инициатору проведения

По объекту проверки

По методике проведения

Этапы проведения аудита информационной безопасности

Процесс аудита информационной безопасности, как правило, включает следующие этапы:

  1. Планирование и подготовка. Определение целей, границ и объёма аудита. Формирование команды аудиторов. Сбор предварительной информации об организации, её информационной системе и политиках безопасности. Разработка программы аудита.
  2. Сбор данных. Проведение интервью с персоналом, анализ документации (политики, регламенты, журналы событий), изучение конфигураций систем, проведение технических проверок (сканирование уязвимостей, тестирование на проникновение, анализ трафика).
  3. Анализ и оценка. Обработка собранных данных, выявление несоответствий, уязвимостей и рисков. Сравнение полученных результатов с установленными критериями. Оценка уровня безопасности.
  4. Формирование отчёта. Документирование результатов аудита. Отчёт включает: описание методологии, выявленные уязвимости и несоответствия (с указанием уровня критичности), оценку рисков, а также рекомендации по их устранению.
  5. Представление результатов. Доведение результатов аудита до руководства организации и заинтересованных сторон. Обсуждение выводов и рекомендаций.
  6. Мониторинг выполнения рекомендаций (пост-аудит). Контроль за реализацией плана корректирующих мероприятий, разработанного по итогам аудита.

Методы и инструменты аудита

Для проведения аудита информационной безопасности используются различные методы и инструменты:

Регуляторы и стандарты в области аудита информационной безопасности в РФ

В Российской Федерации аудит информационной безопасности регулируется рядом нормативных документов и стандартов:

Значение аудита для организации

Регулярное проведение аудита информационной безопасности имеет критическое значение для любой современной организации. Оно позволяет:

Критика и ограничения аудита

Несмотря на свою важность, аудит информационной безопасности имеет определённые ограничения:

Источники

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  2. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  3. ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
  4. ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
  5. Методические документы ФСТЭК России (Методика оценки угроз безопасности информации, Требования к системам защиты информации).
  6. Алексеев А.П., Борисов В.В. «Аудит информационной безопасности». — М.: Горячая линия – Телеком, 2020.
  7. Петренко С.А., Курбатов В.А. «Управление информационной безопасностью. Аудит и оценка рисков». — СПб.: Питер, 2018.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →