Аудит информационных систем
Аудит информационных систем позволяет улучшить показатели эффективности при управлении информационными ресурсами. Благодаря этому также можно проводить оценку работоспособности и безопасности системы, которая уже используется и внедрена в работу. Своевременный аудит определяет проблемы, которые в большинстве случаев оказывают негативное влияние на бизнес-процессы, происходящие в организации.
Лицензии и сертификаты, на основе которых оказывается услуга
В рамках аудита проводится предпроектное обследование системы защиты информации информационной системы (СЗИ ИС), а также оценка эффективности защищенности информационной системы (тестирование на проникновение).
В итоге вы получите:
- рекомендации по доработке СЗИ
- акт отнесения информационной системы к классам типовых ИС
- отчет об обследовании ИС
Аудит проводится поэтапно: сначала фиксируются исходные данные и потоки информации, затем анализируется инфраструктура и меры защиты. По итогам формируется перечень выводов и практических рекомендаций, которые можно использовать для повышения безопасности и управляемости ИС.
Этапы проведения аудита
Технический аудит информационной системы включает в себя несколько основных этапов. Важно соблюдать последовательность действий, которые позволят получить максимальный результат.
Изучение организационной структуры предприятия
В результате данного этапа формализуется информация об организационной, а также географической структурах компании заказчика. Также исследуются информационные потребности различных подразделений компании
Исследование существующей информационной системы предприятия
Итогом проведения этапа станет описание информационных потоков в информационной системе компании Заказчика (внутренних и внешних), проводится изучение и классификация данных, используемых в информационной системе. Также проводится анализ пользователей системы и их привилегий, распределение их по группам. Сюда входит и анализ политик в системе: политика учетных записей администраторов, политика паролей и использования двухфакторной либо многофакторной аутентификации при авторизации пользователей системы.
Анализ ИТ-инфраструктуры на предприятии
Важно сделать опись оборудования и программного обеспечения, которое используется для работы системы, а также составить карту сети передачи данных с подробным описанием ее сегментирования и адресации. Также описываются серверные и облачные ресурсы компании, центр обработки данных (при наличии) и стыки со сторонними провайдерами услуг.
Получение информации о состоянии безопасности информационной системы
Анализ проводится в соответствии с СТБ 34.101.70-2016 «Информационные технологии. Методы и средства безопасности. Методика оценки рисков информационной безопасности в информационных системах».
Составление перечня выводов и рекомендаций по приведению информационной системы Заказчика
В соответствие с бизнес-целями Заказчика и актуальным законодательством Республики Беларусь в сфере защиты информации.
Анализ информационной системы предприятия невозможно представить без проведения исследования степени обеспечения кибербезопасности информационной системы Заказчика.
Информационной системе присваивается класс и разрабатывается комплекс рекомендаций по внедрению политик информационной безопасности, включая политики управления правами сетевых устройств и средств защиты информации (СЗИ), использования программного обеспечения, реагирования на инциденты, работы с административными учетными записями и паролями пользовательского доступа в систему и др.
Аудит ИС предприятия
Ниже перечислены ключевые направления, которые анализируются в ходе аудита. Итоговый состав работ уточняется по задаче и текущей архитектуре ИС.
Анализ ИТ-инфраструктуры
Анализ пользователей и их привилегий
Анализ организационно-информационной инфраструктуры предприятия
Проведение оценки рисков информационной безопасности
Разработка рекомендаций по совершенствованию системы защиты информации информационной системы
в целях соответствия ее бизнес-целям заказчика и законодательству Республики Беларусь по защите информации.
Стоимость проведения аудита информационной системы можно рассчитать, исходя из особенностей предприятия заказчика и его запроса. Это разовая услуга, и расчет стоимости зависит от объема работ, необходимых заказчику, его целей и задач.
Для определения стоимости услуги технического аудита предлагаем воспользоваться возможностью консультации у наших специалистов:
Важность проведения аудита ИС
Главная задача аудита безопасности информационных систем заключается в выдаче рекомендаций по обеспечению максимальной безопасности информационной системы Заказчика. Предприниматели и владельцы организаций смогут сохранить конфиденциальность информации, предотвратить несанкционированный доступ третьими лицами. Чтобы не допустить серьезных ошибок, эту работу необходимо доверять специалистам с большим опытом, которые имеют экспертизу в данных вопросах.
Они смогут в короткий период времени сделать описание с детальными комментариями о текущем состоянии ИС. Благодаря этому можно точно определить все возможные угрозы и проблемы. Аудит безопасности информационных систем позволит сделать разработку эффективных предписаний, чтобы устранить сложности в работе, повысить уровень продуктивности.
Вопрос-ответ
Можно начать с обследования инфраструктуры и сбора исходных данных — недостающие документы уточняются в процессе.
Срок зависит от масштаба ИС и количества узлов/доступов. Точный срок определяется после уточнения исходных данных.
Да, часто начинают с критичных контуров и затем расширяют анализ на остальные подсистемы.
Достаточно описать состав ИС, схему сети (если есть), список ключевых систем и контактных лиц. Остальные данные уточняются в ходе работ.
По итогам аудита предоставляются рекомендации; при необходимости возможно дальнейшее сопровождение и реализация мер.
По возникшим вопросам обращайтесь к специалистам ЗАО «Банковско-финансовая телесеть»:
