ПоставщикамБлог

Аудит ИТ Безопасности

Аудит ИТ Безопасности

Аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности автоматизированной системы в соответствии с определёнными критериями и показателями безопасности.

Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.

Аудит позволяет оценить текущую безопасность функционирования информационной системы, оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы фирмы, корректно и обоснованно подойти к вопросу обеспечения безопасности её информационных активов, стратегических планов развития, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных. В конечном счете, грамотно проведенный аудит безопасности информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание системы безопасности фирмы.

Различают внешний и внутренний аудит.

Внешний аудит — это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Внешний аудит рекомендуется (а для ряда финансовых учреждений и акционерных обществ требуется) проводить регулярно.

Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании документа, обычно носящего название «Положение о внутреннем аудите», и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ—аудита.

Целями проведения аудита безопасности являются: — анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС; — оценка текущего уровня защищенности ИС; — локализация узких мест в системе защиты ИС; — оценка соответствия ИС существующим стандартам в области информационной безопасности; — выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Представленные Аудитору рапорты о инцидентах СИБ должны содержать документацию о т. н. «слабых точках» СИБ.

В число дополнительных задач, стоящих перед внутренним аудитором, помимо оказания помощи внешним аудиторам, могут также входить: — разработка политик безопасности и других организационно — распорядительных документов по защите информации и участие в их внедрении в работу организации; — постановка задач для ИТ—персонала, касающихся обеспечения защиты информации; — участие в обучении пользователей и обслуживающего персонала ИС вопросам обеспечения информационной безопасности; — участие в разборе инцидентов, связанных с нарушением информационной безопасности; — прочие задачи.

Наиболее популярные продукты категории Аудит ИТ Безопасности Все продукты категории

PONDURANCE Enterprise Security Testing
7
16
Тестирование на проникновение
14
14
ИТ-аудит by IT Solutions
13
15
Network Penetration Testing by DEPTH SECURITY
12
18
TBG SECURITY’S internal penetration testing services
16
6
ОЦЕНКА БЕЗОПАСНОСТИ
8
2
Аудит сети by Si BiS
3
14
Управление информационной безопасностью by BMS Consulting
2
0
SECURICON Federal Security Services
15
11

Поставщики Аудит ИТ Безопасности

ITrust
CHE...
  • CHE
  • DEU
  • FRA
  • GBR
  • USA
YSBM Group
POL...
  • POL
  • UKR
  • USA

Производители Аудит ИТ Безопасности

ITrust
CHE...
  • CHE
  • DEU
  • FRA
  • GBR
  • USA
Peach Tech
Все страны
VOLO
ARM...
  • ARM
  • UKR
  • USA

F.A.Q. Аудит ИТ Безопасности

Что такое аудит безопасности?

Аудит безопасности - это процесс или событие, в котором политика или стандарты безопасности ИТ используются в качестве основы для определения общего состояния существующей защиты и проверки правильности ее выполнения. Аудит призван определить, защищена ли текущая среда в соответствии с определенной политикой безопасности ИТ.

Перед выполнением оценки или аудита безопасности организация должна определить объем аудита безопасности, а также бюджет и продолжительность, допустимые для оценки/аудита.

Как часто следует проводить аудит безопасности?

Аудит безопасности предоставляет только снимок уязвимостей в системе в определенный момент времени. По мере изменения технологии и бизнес-среды неизбежно потребуются периодические и постоянные проверки. В зависимости от критичности бизнеса аудит безопасности может проводиться ежегодно или раз в два года.

Кто должен проводить аудит безопасности?

Аудит безопасности является сложной задачей, требующей квалифицированного и опытного персонала; это должно быть тщательно спланировано. Для проведения аудита рекомендуется независимая и доверенная третья сторона. Эта третья сторона может быть другой группой внутренних сотрудников или внешней аудиторской группой, в зависимости от навыков внутреннего персонала и критичности/чувствительности проверяемой информации.