Защита информации > Аудит информационных систем

Аудит информационных систем

Аудит информационных систем позволяет улучшить показатели эффективности при управлении информационными ресурсами. Благодаря этому также можно проводить оценку работоспособности и безопасности системы, которая уже используется и внедрена в работу. Своевременный аудит определяет проблемы, которые в большинстве случаев оказывают негативное влияние на бизнес-процессы, происходящие в организации.

Этапы проведения аудита

Технический аудит информационной системы включает в себя несколько основных этапов. Важно соблюдать последовательность действий, которые позволят получить максимальный результат.

  1. Изучение организационной структуры предприятия. В результате данного этапа формализуется информация об организационной, а также географической структурах компании заказчика. Также исследуются информационные потребности различных подразделений компании.
  2. Исследование существующей информационной системы предприятия. Итогом проведения этапа станет описание информационных потоков в информационной системе компании Заказчика (внутренних и внешних), проводится изучение и классификация данных, используемых в информационной системе. Также проводится анализ пользователей системы и их привилегий, распределение их по группам. Сюда входит и анализ политик в системе: политика учетных записей администраторов, политика паролей и использования двухфакторной либо многофакторной аутентификации при авторизации пользователей системы.
  3. Анализ ИТ-инфраструктуры на предприятии. Важно сделать опись оборудования и программного обеспечения, которое используется для работы системы, а также составить карту сети передачи данных с подробным описанием ее сегментирования и адресации. Также описываются серверные и облачные ресурсы компании, центр обработки данных (при наличии) и стыки со сторонними провайдерами услуг.
  4. Получение информации о состоянии безопасности информационной системы. Анализ проводится в соответствии с СТБ 34.101.70-2016 «Информационные технологии. Методы и средства безопасности. Методика оценки рисков информационной безопасности в информационных системах».
  5. Составление перечня выводов и рекомендаций по приведению информационной системы Заказчика в соответствие с бизнес-целями Заказчика и актуальным законодательством Республики Беларусь в сфере защиты информации.

Анализ информационной системы предприятия невозможно представить без проведения исследования степени обеспечения кибербезопасности информационной системы Заказчика. Информационной системе присваивается класс и разрабатывается комплекс рекомендаций по внедрению политик информационной безопасности, включая политики управления правами сетевых устройств и средств защиты информации (СЗИ), использования программного обеспечения, реагирования на инциденты, работы с административными учетными записями и паролями пользовательского доступа в систему и др.

Аудит ИС предприятия

– анализ организационно-информационной инфраструктуры предприятия;
– анализ ИТ-инфраструктуры;
– анализ пользователей и их привилегий;
– проведение оценки рисков информационной безопасности;
– разработка рекомендаций по совершенствованию системы защиты информации информационной системы в целях соответствия ее бизнес-целям заказчика и законодательству Республики Беларусь по защите информации.

Важность проведения аудита ИС

Главная задача аудита безопасности информационных систем заключается в выдаче рекомендаций по обеспечению максимальной безопасности информационной системы Заказчика. Предприниматели и владельцы организаций смогут сохранить конфиденциальность информации, предотвратить несанкционированный доступ третьими лицами. Чтобы не допустить серьезных ошибок, эту работу необходимо доверять специалистам с большим опытом, которые имеют экспертизу в данных вопросах.

Они смогут в короткий период времени сделать описание с детальными комментариями о текущем состоянии ИС. Благодаря этому можно точно определить все возможные угрозы и проблемы. Аудит безопасности информационных систем позволит сделать разработку эффективных предписаний, чтобы устранить сложности в работе, повысить уровень продуктивности.

По возникшим вопросам обращайтесь к специалистам ЗАО «Банковско-финансовая телесеть»:

phone
call
chat