Аудит информационной безопасности
Аудит информационной безопасности является действенным средством обеспечения надлежащего уровня защиты информации и ИТ-инфраструктуры от нарушений конфиденциальности, доступности и целостности, вследствие неумышленных или злонамеренных действий.
Предлагаемая методика аудита ИБ относится к виду «Аудит на соответствие стандартам». Основным стандартом соответствия является международный стандарт ISO/IEC 27001:2005. Кроме него, в аудите учитываются соответствующие ИБ требования стандартов COBIT и PCI DSS. Аудит на соответствие указанным стандартам позволяет оценить защищенность ИТ-инфраструктуры как с организационной, так и технической стороны.
В полном объеме аудит осуществляется по 18-ти доменам: от стратегии управления ИТ, до домена - внутренний аудит. Для каждого домена представлены необходимые меры обеспечения безопасности – контроли, а также указано, что именно подлежит проверке.
ПРОВЕРЯЕМАЯ МЕРА ИБ — КОНТРОЛЬ | ЧТО ПОДЛЕЖИТ ПРОВЕРКЕ | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Управление рисками | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Компания проводит оценки ИТ-рисков на организационном и операционном уровне. При расчете уровня риска учитывается вероятность реализации угроз. | Проверить наличие Политики управления ИТ-рисками. Проверить методологию оценки ИТ-рисков на предмет указанных критериев. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Способ оценки ИТ-рисков включает учет мнений владельцев бизнес-процессов, стратегические планы, результаты аудитов. | Проверить методологию оценки ИТ-рисков на предмет указанных критериев. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Классификация информационных активов | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Назначение владельцев и инвентаризация информационных активов. | Проверить наличие владельцев для всех информационных активов. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Стандарт классификации включает в себя требуемые меры безопасности для каждого уровня конфиденциальности информации. | Проверить стандарт классификации информации на предмет заданных критериев и проверить соблюдение правил обращения с классифицированной информацией. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Владельцы информационных активов ознакомлены со своими обязанностями и ответственностью. | Получить письменные подтверждения. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Управление доступом в ИС | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Определены бизнес требования к управлению доступом. | Проверить определены ли бизнес требования к управлению доступом в Политике управления доступом. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Управление доступом включает:
|
Проверить, что процесс управления доступом включает перечисленные меры безопасности. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Управление доступом в сеть:
|
Проверить, что управление доступом в сеть включает перечисленные меры безопасности. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Доступ к операционным системам:
|
Проверить, что управление доступом в ОС включает перечисленные меры безопасности. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Использование переносных компьютеров и удаленная работа. | Проверить наличие и исполнение нормативных документов, регламентирующих использование переносных компьютеров и удаленную работу. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Внутренний аудит | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Аудит политики безопасности и технических средств защиты. | Проверить и задокументировать процесс аудита политики безопасности и технических средств защиты. |
Оценка степени эффективности принимаемых мер и средств обеспечения безопасности — контролей, представляется в нормированном виде от 0 до 1:
- 1 — эффективность контроля подтверждена результатами регулярных проверок;
- 0,5 — контроль существует, но регулярные проверки его эффективности не выполняются;
- 0 — контроль отсутствует.
Этапы проведения аудита:
- определение масштаба аудита;
- формирование Рабочей группы заказчика и ознакомление с методикой аудита;
- сбор необходимой информации;
- экспертное оценивание эффективности используемых контролей безопасности;
- выработка рекомендаций по устранению выявленных недостатков в применении надлежащих контролей.
Рабочая группа заказчика должна включать наряду со специалистами ИБ и ИТ, владельцев тех бизнес-процессов, которые входят в масштаб аудита.
Результат аудита представляется в виде отчета, включающего все исходные данные по предмету аудита, результаты интервью с рабочей группой заказчика, выявленные недостатки в обеспечении безопасности, оценку рисков (низкий, средний, высокий) в случае их не устранения, рекомендации по устранению выявленных недостатков.
Ознакомьтесь с другими решениями и услугами, предоставляемыми «ИНЛАЙН ГРУП» в рамках направления.