/


Главная / Услуги и решения / Информационная безопасность / Экспертные услуги / Аудит информационной безопасности / Комплексный аудит ИБ

Комплексный аудит ИБ

Комплексный аудит предназначен для определения текущей зрелости процессов управления ИБ, перспектив развития и согласования с бизнесом сферы ИБ.

Предпосылки:

  • Финансовые или иные потери, связанные с инцидентами ИБ.
  • Необходимость независимой оценки рисков ИБ.
  • Внедрение новых процессов управления ИБ.
  • Планирование и внедрение новых систем ИБ.
  • Слияния и поглощения.
  • Смена Руководства.
  • Проектирование новых производственных единиц, открытие филиалов.

Основные работы по проекту:

  • Изучение существующей организационной структуры и нормативной документации в области ИТ и ИБ.
  • Проведение интервью с представителями бизнеса, ИТ и ИБ.
  • Проведение административных проверок соблюдения работниками установленных требований в области ИБ.
  • Инструментальный анализ защищенности активов ИТ-инфраструктуры.
  • Определение текущего положения в области ИТ и ИБ.
  • Качественный или количественный анализ рисков ИБ.
  • Разработка организационно-технических рекомендаций по снижению рисков ИБ и достижению соответствия требований регуляторов РФ в области защиты персональных данных.
  • Разработка плана работ по совершенствованию ИБ.
  • Представление результатов руководству.

Основные результаты:

  • Проверка соблюдения регламентов в динамике.
  • Значения рисков ИБ.
  • Рекомендации по снижению рисков ИБ.
  • Организационно-распорядительная документация в области защиты персональных данных.
  • ТЗ (эскизный проект) на внедрение средств защиты ПДн.
  • План развития ИБ, согласованный с ИТ и бизнесом;
  • Обоснование важности ИБ перед руководством.

Описание услуги:

Методология:

  • ISO 27001. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования.
  • ISO 27002. Информационные технологии. Свод правил по управлению защитой информации.
  • ISO 27005. Информационная технология - Методы и средства обеспечения безопасности – Менеджмент риска информационной безопасности.
  • ФЗ-152 «О персональных данных».
  • Постановление правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  • Приказ ФСТЭК России № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Information Technology Assurance Framework (ITAF).

Этапы проекта (проект реализуется в три этапа):

  • Предварительное обследование. 
  • Обследование на площадках заказчика. 
  • Подготовка отчетной документации.

1. На этапе предварительного обследования консультантами запрашивается документация заказчика, проводится удаленный опрос ключевых сотрудников, разрабатывается методика административных проверок, согласовывается план проведения обследования на площадке заказчика. В зависимости от степени документированности процедур и пожеланий заказчика разрабатывается индивидуальная методика проверок. Основная цель административных проверок – определить, на сколько реально соблюдаются регламенты компании.

  • Проверка корректности и времени восстановления данных из резервной копии.
  • Проверка соблюдения пользователями правил доступа в Интернет – анализ логов прокси-сервера, настроенных политик фильтрации.
  • Проверка блокирования или удаления учетных записей уволенных работников.
  • Проверка доступности USB-носителей.
  • Проверка соблюдения пользователями требований парольной политики1 – из MS AD выгружаются хэш-значения паролей пользователей и производится попытка их восстановления. Легкие пароли(qwerty123456), как правило, восстанавливаются.

2. На этапе обследования на площадках заказчика проводятся:

  • Интервью с руководством компании и основными заказчиками проекта.
  • Интервью с руководством ИТ - и ИБ – подразделений.
  • Интервью с ключевыми сотрудниками бизнес подразделений.
  • Интервью с администраторами ИС, офицерами безопасности, сотрудниками подразделений, ответственными за обработку ПДн.
  • Инструментальный анализ защищенности корпоративных ресурсов.

3. Подготовка итоговых документов. На данном этапе на основе собранного ранее материала выполняются следующие работы:

  • Разработка модели нарушителя и модели угроз безопасности ПДн при их автоматизированной обработке.
  • Качественная оценка общих рисков ИБ.
  • Разработка рекомендаций по повышению уровня ИБ.
  • Разработка технического задания на создание системы защиты ПДн.
  • Разработка комплекта организационно-распорядительной документации, регламентирующей процессы обработки и защиты ПДн.

Отзывы клиентов

ООО «Столичный ювелирный завод»–Сергей Георгиевич Адмиральский

Информационная инфраструктура ООО «Столичный ювелирный завод» состоит из центрального офиса, оптовой и розничной сетей, и все объекты этой цепочки соединены каналами связи. В корпоративной сети работает около 400 пользователей. Мы используем антивирусное программное обеспечение и сотрудничаем с компание Softline уже 15 лет. В текущем году ООО «Столичный ювелирный завод» приняло решение о закупке защитного ПО «Лаборатории Касперского» – Kaspersky Enterprise Space Security. Основными критериями отбора программного обеспечения для защиты от вирусных  угроз стали: многолетний успешный опыт присутствия продукта на рынке, возможность централизованного управления и контроль доступа к устройствам.