Проведение комплексного аудита информационной безопасности, включающего в себя инструментальный аудит, оценку рисков ИБ, а также оценку текущего состояния процессов обеспечения информационной безопасности
Аудит информационной безопасности – это комплекс работ, позволяющих провести независимую экспертную оценку текущего состояния и уровня зрелости процессов управления и обеспечения информационной безопасности организации и определить степень её соответствия критериям аудита.
Основные задачи, которые могут решаться при проведении комплексного аудита информационной безопасности (ИБ):
- определение адекватных мер по обеспечению ИБ, соответствующих бизнес-целям организации, требованиям регуляторов, а также российских и международных стандартов по информационной безопасности;
- определение приоритетных направлений развития системы обеспечения ИБ, нацеленных на повышение устойчивости функционирования организации и эффективность ведения бизнеса за счет максимального снижения информационных рисков и финансовых потерь, связанных с угрозами ИБ.
Основным фактором проведения успешного комплексного аудита информационной безопасности является выбор правильных критериев аудита. В рамки аудита могут входить как по отдельности, так и в комплексе следующие виды работ:
- внутренний и внешний тест на проникновение;
- оценка процессов управления и обеспечения информационной безопасности (в том числе оценка уровня их зрелости);
- оценка соответствия требованиям законодательства Российской Федерации (в том числе ФЗ «О персональных данных» и ФЗ «О безопасности КИИ»);
- оценка соответствия требованиям международных стандартов, включая ISO/IEC 27001, GDPR, SWIFT CSCF и PCI DSS;
- оценка соответствия требованиям Банка России, включая требования Положения 683 П, Положения 716-П, Положения 719-П, Положения 747-П, Положения 757-П, а также ГОСТ Р 57580.1-2017;
- анализ рисков информационной безопасности.
Точный состав работ в рамках комплексного аудита формируется исходя из специфики организации, а также целей и задач, которых она хочет достичь. Результаты комплексного аудита информационной безопасности оформляются в виде отчета, содержащего как рекомендации для специалистов по информационной безопасности Компании, так и высокоуровневое описание возможных направлений развития системы защиты информации для руководства.