/


Главная / Услуги и решения / Информационная безопасность / Экспертные услуги / Аудит информационной безопасности / Комплексный аудит ИБ

Комплексный аудит ИБ

Комплексный аудит предназначен для определения текущей зрелости процессов управления ИБ, перспектив развития и согласования с бизнесом сферы ИБ.

Предпосылки:

  • Финансовые или иные потери, связанные с инцидентами ИБ.
  • Необходимость независимой оценки рисков ИБ.
  • Внедрение новых процессов управления ИБ.
  • Планирование и внедрение новых систем ИБ.
  • Слияния и поглощения.
  • Смена Руководства.
  • Проектирование новых производственных единиц, открытие филиалов.

Основные работы по проекту:

  • Изучение существующей организационной структуры и нормативной документации в области ИТ и ИБ.
  • Проведение интервью с представителями бизнеса, ИТ и ИБ.
  • Проведение административных проверок соблюдения работниками установленных требований в области ИБ.
  • Инструментальный анализ защищенности активов ИТ-инфраструктуры.
  • Определение текущего положения в области ИТ и ИБ.
  • Качественный или количественный анализ рисков ИБ.
  • Разработка организационно-технических рекомендаций по снижению рисков ИБ и достижению соответствия требований регуляторов РФ в области защиты персональных данных.
  • Разработка плана работ по совершенствованию ИБ.
  • Представление результатов руководству.

Основные результаты:

  • Проверка соблюдения регламентов в динамике.
  • Значения рисков ИБ.
  • Рекомендации по снижению рисков ИБ.
  • Организационно-распорядительная документация в области защиты персональных данных.
  • ТЗ (эскизный проект) на внедрение средств защиты ПДн.
  • План развития ИБ, согласованный с ИТ и бизнесом;
  • Обоснование важности ИБ перед руководством.

Описание услуги:

Методология:

  • ISO 27001. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования.
  • ISO 27002. Информационные технологии. Свод правил по управлению защитой информации.
  • ISO 27005. Информационная технология - Методы и средства обеспечения безопасности – Менеджмент риска информационной безопасности.
  • ФЗ-152 «О персональных данных».
  • Постановление правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  • Приказ ФСТЭК России № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Information Technology Assurance Framework (ITAF).

Этапы проекта (проект реализуется в три этапа):

  • Предварительное обследование. 
  • Обследование на площадках заказчика. 
  • Подготовка отчетной документации.

1. На этапе предварительного обследования консультантами запрашивается документация заказчика, проводится удаленный опрос ключевых сотрудников, разрабатывается методика административных проверок, согласовывается план проведения обследования на площадке заказчика. В зависимости от степени документированности процедур и пожеланий заказчика разрабатывается индивидуальная методика проверок. Основная цель административных проверок – определить, на сколько реально соблюдаются регламенты компании.

  • Проверка корректности и времени восстановления данных из резервной копии.
  • Проверка соблюдения пользователями правил доступа в Интернет – анализ логов прокси-сервера, настроенных политик фильтрации.
  • Проверка блокирования или удаления учетных записей уволенных работников.
  • Проверка доступности USB-носителей.
  • Проверка соблюдения пользователями требований парольной политики1 – из MS AD выгружаются хэш-значения паролей пользователей и производится попытка их восстановления. Легкие пароли(qwerty123456), как правило, восстанавливаются.

2. На этапе обследования на площадках заказчика проводятся:

  • Интервью с руководством компании и основными заказчиками проекта.
  • Интервью с руководством ИТ - и ИБ – подразделений.
  • Интервью с ключевыми сотрудниками бизнес подразделений.
  • Интервью с администраторами ИС, офицерами безопасности, сотрудниками подразделений, ответственными за обработку ПДн.
  • Инструментальный анализ защищенности корпоративных ресурсов.

3. Подготовка итоговых документов. На данном этапе на основе собранного ранее материала выполняются следующие работы:

  • Разработка модели нарушителя и модели угроз безопасности ПДн при их автоматизированной обработке.
  • Качественная оценка общих рисков ИБ.
  • Разработка рекомендаций по повышению уровня ИБ.
  • Разработка технического задания на создание системы защиты ПДн.
  • Разработка комплекта организационно-распорядительной документации, регламентирующей процессы обработки и защиты ПДн.

Отзывы клиентов

Alliance Healthcare Russia–Елена Ващук

Softline защитила персональные данные в ООО «Альянс Хелскеа Рус» в соответствии с требованиями Федерального закона Российской Федерации №152-ФЗ «О персональных данных». Компания Softline зарекомендовала себя в качестве профессионального партнера, предоставившего оптимальное предложение по цене и оказавшего квалифицированную консультацию. Главным результатом реализованного проекта мы считаем то, что благодаря качественной работе, проделанной специалистами Softline, вся документация нашей компании, регламентирующая обработку персональных данных, стала соответствовать требованиям современного законодательства. Мы довольны экспертным уровнем специалистов Softline, умением эффективно решать поставленные задачи в заявленный срок.