Аудит информационных систем позволяет улучшить показатели эффективности при управлении информационными ресурсами. Благодаря этому также можно проводить оценку работоспособности и безопасности системы, которая уже используется и внедрена в работу. Своевременный аудит определяет проблемы, которые в большинстве случаев оказывают негативное влияние на бизнес-процессы, происходящие в организации.
Этапы проведения аудита
Технический аудит информационной системы включает в себя несколько основных этапов. Важно соблюдать последовательность действий, которые позволят получить максимальный результат.
Изучение организационной структуры предприятия.
В результате данного этапа формализуется информация об организационной, а также географической структурах компании заказчика. Также исследуются информационные потребности различных подразделений компании
Исследование существующей информационной системы предприятия
Итогом проведения этапа станет описание информационных потоков в информационной системе компании Заказчика (внутренних и внешних), проводится изучение и классификация данных, используемых в информационной системе. Также проводится анализ пользователей системы и их привилегий, распределение их по группам. Сюда входит и анализ политик в системе: политика учетных записей администраторов, политика паролей и использования двухфакторной либо многофакторной аутентификации при авторизации пользователей системы.
Анализ ИТ-инфраструктуры на предприятии
Важно сделать опись оборудования и программного обеспечения, которое используется для работы системы, а также составить карту сети передачи данных с подробным описанием ее сегментирования и адресации. Также описываются серверные и облачные ресурсы компании, центр обработки данных (при наличии) и стыки со сторонними провайдерами услуг.
Получение информации о состоянии безопасности информационной системы
Анализ проводится в соответствии с СТБ 34.101.70-2016 «Информационные технологии. Методы и средства безопасности. Методика оценки рисков информационной безопасности в информационных системах».
Составление перечня выводов и рекомендаций по приведению информационной системы Заказчика
в соответствие с бизнес-целями Заказчика и актуальным законодательством Республики Беларусь в сфере защиты информации.
Анализ информационной системы предприятия невозможно представить без проведения исследования степени обеспечения кибербезопасности информационной системы Заказчика.
Информационной системе присваивается класс и разрабатывается комплекс рекомендаций по внедрению политик информационной безопасности, включая политики управления правами сетевых устройств и средств защиты информации (СЗИ), использования программного обеспечения, реагирования на инциденты, работы с административными учетными записями и паролями пользовательского доступа в систему и др.
Аудит ИС предприятия
Анализ организационно-информационной инфраструктуры предприятия
Анализ ИТ-инфраструктуры
Проведение оценки рисков информационной безопасности
Анализ пользователей и их привилегий
Разработка рекомендаций по совершенствованию системы защиты информации информационной системы
в целях соответствия ее бизнес-целям заказчика и законодательству Республики Беларусь по защите информации.
Стоимость проведения аудита информационной системы можно рассчитать, исходя из особенностей предприятия заказчика и его запроса. Это разовая услуга, и расчет стоимости зависит от объема работ, необходимых заказчику, его целей и задач.
Для определения стоимости услуги технического аудита предлагаем воспользоваться возможностью консультации у наших специалистов:
Важность проведения аудита ИС
Главная задача аудита безопасности информационных систем заключается в выдаче рекомендаций по обеспечению максимальной безопасности информационной системы Заказчика. Предприниматели и владельцы организаций смогут сохранить конфиденциальность информации, предотвратить несанкционированный доступ третьими лицами. Чтобы не допустить серьезных ошибок, эту работу необходимо доверять специалистам с большим опытом, которые имеют экспертизу в данных вопросах.
Они смогут в короткий период времени сделать описание с детальными комментариями о текущем состоянии ИС. Благодаря этому можно точно определить все возможные угрозы и проблемы. Аудит безопасности информационных систем позволит сделать разработку эффективных предписаний, чтобы устранить сложности в работе, повысить уровень продуктивности.
По возникшим вопросам обращайтесь к специалистам ЗАО «Банковско-финансовая телесеть»:
