Для обеспечения эффективной защиты от угроз информационной безопасности компаниям необходима объективная оценка уровня безопасности ИС - именно для этих целей и применяется аудит безопасности.
Качество аудита безопасности во многом зависит от полноты и точности информации, полученной в процессе сбора исходных данных. Поэтому в нее необходимо включить следующие виды исходной информации:
- Организационно-распорядительная документация, касающаяся вопросов информационной безопасности;
- Сведения о программно-аппаратном обеспечении ИС;
- Информация о средствах защиты, установленных в ИС.
Порядок выполнения работ
-
Экспертиза проектной, эксплуатационной, организационно-распорядительной документации в области информационной безопасности на соответствие стандартам, нормативным актам и требованиям регуляторов;
-
Исследование и оценка архитектуры и конфигурации сетевой инфраструктуры и существующих технических средств защиты информации, задействованных в обеспечении безопасности сетевой инфраструктуры и оценкой уровня защищенности критичной информации и информационных систем заказчика;
-
Подготовка рекомендаций по внедрению организационных, административных, технических мер и плана мероприятий на основе проведенного аудита, анализа и оценки рисков организации.
Результат
Отчет с описанием основных выявленных уязвимостей и рекомендации по их устранению, внедрению организационных, административных, технических мер и плана мероприятий на основе проведенного аудита, анализа и оценки рисков организации.