Inline Group
Позвоните нам Напишите нам
ENG
Телефон: +7 (495) 787-59-40
Заказать обратный звонок
Все поля обязательны для заполнения!
Чтобы продолжить, необходимо Ваше согласие.

Аудит информационной безопасности

Аудит информационной безопасности является действенным средством обеспечения надлежащего уровня защиты информации и ИТ-инфраструктуры от нарушений конфиденциальности, доступности и целостности, вследствие неумышленных или злонамеренных действий.

Предлагаемая методика аудита ИБ относится к виду «Аудит на соответствие стандартам». Основным стандартом соответствия является международный стандарт ISO/IEC 27001:2005. Кроме него, в аудите учитываются соответствующие ИБ требования стандартов COBIT и PCI DSS. Аудит на соответствие указанным стандартам позволяет оценить защищенность ИТ-инфраструктуры как с организационной, так и технической стороны.

В полном объеме аудит осуществляется по 18-ти доменам: от стратегии управления ИТ, до домена - внутренний аудит. Для каждого домена представлены необходимые меры обеспечения безопасности – контроли, а также указано, что именно подлежит проверке.

ПРОВЕРЯЕМАЯ МЕРА ИБ — КОНТРОЛЬ ЧТО ПОДЛЕЖИТ ПРОВЕРКЕ
Управление рисками
Компания проводит оценки ИТ-рисков на организационном и операционном уровне. При расчете уровня риска учитывается вероятность реализации угроз. Проверить наличие Политики управления ИТ-рисками. Проверить методологию оценки ИТ-рисков на предмет указанных критериев.
Способ оценки ИТ-рисков включает учет мнений владельцев бизнес-процессов, стратегические планы, результаты аудитов. Проверить методологию оценки ИТ-рисков на предмет указанных критериев.
Классификация информационных активов
Назначение владельцев и инвентаризация информационных активов. Проверить наличие владельцев для всех информационных активов.
Стандарт классификации включает в себя требуемые меры безопасности для каждого уровня конфиденциальности информации. Проверить стандарт классификации информации на предмет заданных критериев и проверить соблюдение правил обращения с классифицированной информацией.
Владельцы информационных активов ознакомлены со своими обязанностями и ответственностью. Получить письменные подтверждения.
Управление доступом в ИС
Определены бизнес требования к управлению доступом. Проверить определены ли бизнес требования к управлению доступом в Политике управления доступом.
Управление доступом включает:
  • регистрацию пользователей;
  • управление привилегиями;
  • управление паролями;
  • аудит прав пользователей.
Проверить, что процесс управления доступом включает перечисленные меры безопасности.
Управление доступом в сеть:
  • аутентификация для внешних соединений;
  • безопасность сетевых служб;
  • сегментация сети.
Проверить, что управление доступом в сеть включает перечисленные меры безопасности.
Доступ к операционным системам:
  • использование системных утилит;
  • блокировка неактивных сессий по прошествии определенного времени;
  • ограничение времени доступа.
Проверить, что управление доступом в ОС включает перечисленные меры безопасности.
Использование переносных компьютеров и удаленная работа. Проверить наличие и исполнение нормативных документов, регламентирующих использование переносных компьютеров и удаленную работу.
Внутренний аудит
Аудит политики безопасности и технических средств защиты. Проверить и задокументировать процесс аудита политики безопасности и технических средств защиты.

Оценка степени эффективности принимаемых мер и средств обеспечения безопасности — контролей, представляется в нормированном виде от 0 до 1:

  • 1 — эффективность контроля подтверждена результатами регулярных проверок;
  • 0,5 — контроль существует, но регулярные проверки его эффективности не выполняются;
  • 0 — контроль отсутствует.

Этапы проведения аудита:

  • определение масштаба аудита;
  • формирование Рабочей группы заказчика и ознакомление с методикой аудита;
  • сбор необходимой информации;
  • экспертное оценивание эффективности используемых контролей безопасности;
  • выработка рекомендаций по устранению выявленных недостатков в применении надлежащих контролей. 

Рабочая группа заказчика должна включать наряду со специалистами ИБ и ИТ, владельцев тех бизнес-процессов, которые входят в масштаб аудита. 

Результат аудита представляется в виде отчета, включающего все исходные данные по предмету аудита, результаты интервью с рабочей группой заказчика, выявленные недостатки в обеспечении безопасности, оценку рисков (низкий, средний, высокий) в случае их не устранения, рекомендации по устранению выявленных недостатков.

Cогласие на обработку персональных данных

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» вы подтверждаете настоящим свое согласие на обработку своих персональных данных, предусмотренную частью 3 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Акционерному обществу «ИНЛАЙН ГРУП» (АО «ИНЛАЙН ГРУП»), расположенному по адресу: г. Москва, Хорошёвское шоссе, д. 38, корп. 1, 3 этаж, пом. I, ком. 35.

Настоящим пользователь/соискатель свободно, своей волей и в своем интересе в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» дает свое согласие Акционерному обществу «ИНЛАЙН ГРУП», расположенному по адресу: г. Москва, Хорошёвское шоссе, д. 38, корп. 1, 3 этаж, пом. I, ком. 35, на обработку его персональных данных, указанных в Форме обратной связи/Резюме Соискателя и направляемых через сайт www.inlinegroup.ru.

Настоящим согласием вы подтверждаете, что проинформированы о том, что под обработкой персональных данных понимаются действия с персональными данными, определённые в Федеральном законе № 152-ФЗ от 27.07.2006 «О персональных данных», а именно: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление персональных данных, совершаемые использованием средств автоматизации «ИНЛАЙН ГРУП» либо без использования таковых средств.

Данным согласием вы подтверждаете, что проинформированы о том, что обработка предоставляемых вами персональных данных может осуществляется в следующих целях:

  • идентификация стороны в рамках взаимодействия;
  • эффективное исполнение заказов, договоров и иных обязательств, принятых «ИНЛАЙН ГРУП» в качестве обязательных к исполнению перед пользователем;
  • обработка вопросов пользователей Веб-сайта;
  • регистрация пользователей Веб-сайта на мероприятия;
  • регистрация клиентов/партнеров «ИНЛАЙН ГРУП» в системе service desk, для последующего осуществления технической поддержки;
  • принятие решения о приёме либо отказе в приёме на работу;
  • осуществление и/или исполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на «ИНЛАЙН ГРУП».

Настоящее согласие распространяется на следующие персональные данные: фамилия, имя, отчество, дата рождения, адрес доставки; контактный телефон, сведения об организации, должность, номер факса, номер сотового телефона, адрес электронной почты, сведения о стране, городе, области проживания, а также сведения, которые соискатель сочтет необходимым указать в своем резюме.

Срок действия Вашего согласия является неограниченным, однако, Вы вправе в любой момент отозвать настоящее согласие, путём направления письменного уведомления на электронный/почтовый адрес: info@inlinegroup.ru/125284, г.Москва, Хорошёвское шоссе, д. 38, корп. 1, 3 этаж, пом. I, ком. 35, в АО «ИНЛАЙН ГРУП» с пометкой «отзыв согласия на обработку персональных данных».

Удаление ваших персональных данных будет произведено «ИНЛАЙН ГУРП» в течении 30 дней с момента получения данного уведомления.

«ИНЛАЙН ГРУП» гарантирует соблюдение следующих прав субъекта персональных данных: право на получение сведений о том, какие персональные данные субъекта персональных данных хранятся у «ИНЛАЙН ГРУП»; право на удаление, уточнение или исправление хранящихся у «ИНЛАЙН ГРУП» персональных данных; иные права, установленные действующим законодательством Российской Федерации.