Позвоните нам Напишите нам
ENG
Заказать обратный звонок
Все поля обязательны для заполнения!
Чтобы продолжить, необходимо Ваше согласие.

Аудит информационной безопасности

Аудит информационной безопасности является действенным средством обеспечения надлежащего уровня защиты информации и ИТ-инфраструктуры от нарушений конфиденциальности, доступности и целостности, вследствие неумышленных или злонамеренных действий.

Предлагаемая методика аудита ИБ относится к виду «Аудит на соответствие стандартам». Основным стандартом соответствия является международный стандарт ISO/IEC 27001:2005. Кроме него, в аудите учитываются соответствующие ИБ требования стандартов COBIT и PCI DSS. Аудит на соответствие указанным стандартам позволяет оценить защищенность ИТ-инфраструктуры как с организационной, так и технической стороны.

В полном объеме аудит осуществляется по 18-ти доменам: от стратегии управления ИТ, до домена - внутренний аудит. Для каждого домена представлены необходимые меры обеспечения безопасности – контроли, а также указано, что именно подлежит проверке.

ПРОВЕРЯЕМАЯ МЕРА ИБ — КОНТРОЛЬ ЧТО ПОДЛЕЖИТ ПРОВЕРКЕ
Управление рисками
Компания проводит оценки ИТ-рисков на организационном и операционном уровне. При расчете уровня риска учитывается вероятность реализации угроз. Проверить наличие Политики управления ИТ-рисками. Проверить методологию оценки ИТ-рисков на предмет указанных критериев.
Способ оценки ИТ-рисков включает учет мнений владельцев бизнес-процессов, стратегические планы, результаты аудитов. Проверить методологию оценки ИТ-рисков на предмет указанных критериев.
Классификация информационных активов
Назначение владельцев и инвентаризация информационных активов. Проверить наличие владельцев для всех информационных активов.
Стандарт классификации включает в себя требуемые меры безопасности для каждого уровня конфиденциальности информации. Проверить стандарт классификации информации на предмет заданных критериев и проверить соблюдение правил обращения с классифицированной информацией.
Владельцы информационных активов ознакомлены со своими обязанностями и ответственностью. Получить письменные подтверждения.
Управление доступом в ИС
Определены бизнес требования к управлению доступом. Проверить определены ли бизнес требования к управлению доступом в Политике управления доступом.
Управление доступом включает:
  • регистрацию пользователей;
  • управление привилегиями;
  • управление паролями;
  • аудит прав пользователей.
Проверить, что процесс управления доступом включает перечисленные меры безопасности.
Управление доступом в сеть:
  • аутентификация для внешних соединений;
  • безопасность сетевых служб;
  • сегментация сети.
Проверить, что управление доступом в сеть включает перечисленные меры безопасности.
Доступ к операционным системам:
  • использование системных утилит;
  • блокировка неактивных сессий по прошествии определенного времени;
  • ограничение времени доступа.
Проверить, что управление доступом в ОС включает перечисленные меры безопасности.
Использование переносных компьютеров и удаленная работа. Проверить наличие и исполнение нормативных документов, регламентирующих использование переносных компьютеров и удаленную работу.
Внутренний аудит
Аудит политики безопасности и технических средств защиты. Проверить и задокументировать процесс аудита политики безопасности и технических средств защиты.

Оценка степени эффективности принимаемых мер и средств обеспечения безопасности — контролей, представляется в нормированном виде от 0 до 1:

  • 1 — эффективность контроля подтверждена результатами регулярных проверок;
  • 0,5 — контроль существует, но регулярные проверки его эффективности не выполняются;
  • 0 — контроль отсутствует.

Этапы проведения аудита:

  • определение масштаба аудита;
  • формирование Рабочей группы заказчика и ознакомление с методикой аудита;
  • сбор необходимой информации;
  • экспертное оценивание эффективности используемых контролей безопасности;
  • выработка рекомендаций по устранению выявленных недостатков в применении надлежащих контролей. 

Рабочая группа заказчика должна включать наряду со специалистами ИБ и ИТ, владельцев тех бизнес-процессов, которые входят в масштаб аудита. 

Результат аудита представляется в виде отчета, включающего все исходные данные по предмету аудита, результаты интервью с рабочей группой заказчика, выявленные недостатки в обеспечении безопасности, оценку рисков (низкий, средний, высокий) в случае их не устранения, рекомендации по устранению выявленных недостатков.

Cогласие на обработку персональных данных

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» вы подтверждаете настоящим свое согласие на обработку своих персональных данных, предусмотренную частью 3 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Акционерному обществу «ИНЛАЙН ГРУП» (АО «ИНЛАЙН ГРУП»), расположенному по адресу: г. Москва, Хорошёвское шоссе, д. 38, корп. 1, 3 этаж, пом. I, ком. 35.

Настоящим пользователь/соискатель свободно, своей волей и в своем интересе в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» дает свое согласие Акционерному обществу «ИНЛАЙН ГРУП», расположенному по адресу: г. Москва, Хорошёвское шоссе, д. 38, корп. 1, 3 этаж, пом. I, ком. 35, на обработку его персональных данных, указанных в Форме обратной связи/Резюме Соискателя и направляемых через сайт www.inlinegroup.ru.

Настоящим согласием вы подтверждаете, что проинформированы о том, что под обработкой персональных данных понимаются действия с персональными данными, определённые в Федеральном законе № 152-ФЗ от 27.07.2006 «О персональных данных», а именно: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление персональных данных, совершаемые использованием средств автоматизации «ИНЛАЙН ГРУП» либо без использования таковых средств.

Данным согласием вы подтверждаете, что проинформированы о том, что обработка предоставляемых вами персональных данных может осуществляется в следующих целях:

  • идентификация стороны в рамках взаимодействия;
  • эффективное исполнение заказов, договоров и иных обязательств, принятых «ИНЛАЙН ГРУП» в качестве обязательных к исполнению перед пользователем;
  • обработка вопросов пользователей Веб-сайта;
  • регистрация пользователей Веб-сайта на мероприятия;
  • регистрация клиентов/партнеров «ИНЛАЙН ГРУП» в системе service desk, для последующего осуществления технической поддержки;
  • принятие решения о приёме либо отказе в приёме на работу;
  • осуществление и/или исполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на «ИНЛАЙН ГРУП».

Настоящее согласие распространяется на следующие персональные данные: фамилия, имя, отчество, дата рождения, адрес доставки; контактный телефон, сведения об организации, должность, номер факса, номер сотового телефона, адрес электронной почты, сведения о стране, городе, области проживания, а также сведения, которые соискатель сочтет необходимым указать в своем резюме.

Срок действия Вашего согласия является неограниченным, однако, Вы вправе в любой момент отозвать настоящее согласие, путём направления письменного уведомления на электронный/почтовый адрес: info@inlinegroup.ru/125284, г.Москва, Хорошёвское шоссе, д. 38, корп. 1, 3 этаж, пом. I, ком. 35, в АО «ИНЛАЙН ГРУП» с пометкой «отзыв согласия на обработку персональных данных».

Удаление ваших персональных данных будет произведено «ИНЛАЙН ГУРП» в течении 30 дней с момента получения данного уведомления.

«ИНЛАЙН ГРУП» гарантирует соблюдение следующих прав субъекта персональных данных: право на получение сведений о том, какие персональные данные субъекта персональных данных хранятся у «ИНЛАЙН ГРУП»; право на удаление, уточнение или исправление хранящихся у «ИНЛАЙН ГРУП» персональных данных; иные права, установленные действующим законодательством Российской Федерации.