„то такое экспертиза и аудит в сфере информационной безопасности?  акие задачи они решают?

Ёкспертизу и аудит информационной безопасности (»Ѕ) провод€т, чтобы вы€вить недостатки и у€звимые места в системе компьютерной безопасности компании и дл€ того, чтобы оценить эффективность ее работы. ѕодробнее о цел€х и задачах расскажем далее.

÷ели аудита

“о, как должны быть организованы системы информационной безопасности (»Ѕ) и как проводить меропри€ти€, направленные на защиту конфиденциальных данных, диктует √ќ—“ – »—ќ/ћЁ  27001-2006.

јнализ информационной защиты преследует две цели:

  1. ќценить соответствие системы нормативным требовани€м.
  2. ќпределить степень правомерности и обоснованности принимаемых решений относительно »Ѕ.

‘ирма самосто€тельно может установить степень эффективности и правильности работы системы. Ёто нужно дл€ того, чтобы повысить уровень информационной защищенности. “огда проводитс€ об€зательный аудит. ≈сли проверка покажет отклонени€ от установленных законодательством норм, компани€ рискует прекратить работу, попасть под штраф или иные взыскани€.

ѕроводить экспертизу и аудит »Ѕ очень важно тем компани€м, которые работают с личными данными клиентов. ¬ этом случае защита информации встает на первый план.

√лавные направлени€

Ёкспертиза и аудит исследуют информационные системы (»—) заказчика комплексно и со всех сторон, вместе со средствами обмена информацией и контрагентами. ѕроведение анализа включает:

  1. ќрганизацию меропри€тий, направленных на защиту информационных ресурсов.
  2. ѕрограммно-аппаратные средства защиты »—.
  3. ‘изическую безопасность информационной инфраструктуры.

—начала специалист исследует:

  • алгоритмы бизнес-процессов, методы обработки защищенных данных, способы обмена информацией между структурными подразделени€ми;
  • содержание распор€дительных документов, к которым относ€тс€ приказы или инструкции.

 огда проводитс€ экспертиза программно-аппаратных средств защиты, исследуютс€:

  • конфигурационна€ настройка систем защиты данных;
  • технические документы, сопровождающие данные системы;
  • поиск у€звимых мест с помощью аппаратуры.

‘изическа€ безопасность информационной структуры Ц это ограничение входа дл€ посторонних туда, где стоит аппаратура и в кабинеты обработки конфиденциальной информации.

«адачи экспертов

«адачи устанавливаютс€ исход€ из потребностей заказчика. —реди наиболее попул€рных:

  1. ѕроведение анализа событий, обсто€тельств и фактов, которые могут представл€ть угрозу дл€ »Ѕ.
  2. ѕроведение экспертизы нормативных документов, действующих на момент исследовани€.
  3. Ќахождение опасных узлов и подсистем действующей системы »Ѕ.
  4. ѕроведение оценки прав доступа дл€ работников фирмы, составление прогноза сохранени€ целостности информационной защиты.

Ётапы

Ёкспертиза проходит в п€ть шагов:

  1. Ќазначаетс€ проверка организации, заключаетс€ договор.
  2. ќсуществл€етс€ сбор информации с помощью документации и сведений, представл€емых сотрудниками и руководством.
  3. јнализ полученных данных.
  4. ‘ормирование рекомендаций по исправлению слабых мест, подготовка документации.
  5. —оставление экспертного заключени€.

–ешаемые вопросы

«адача проводимого экспертного исследовани€ установить:

  1. ѕринципы политики фирмы в отношении »Ѕ
  2. ≈сть ли у системы слабые места, и как их устранить.
  3.  ак организован доступ в помещени€, где установлено оборудование.
  4.  ак устроена физическа€ безопасность в кабинетах, где проходит обработка документации.
  5. Ќасколько »Ѕ соответствует стандартным нормам.
  6.  онфигурационные особенности системы защиты.
  7. ¬ чем слабости распор€дительных и технических документов.
  8. ѕо каким принципам в фирме протекают бизнес-процессы.
  9. ≈сть ли возможность передачи данных контрагентам фирмы и насколько это безопасно.
  10. Ѕыла ли нарушена конфиденциальность информации во врем€ отправки по подразделени€м.
  11. —тепень соответстви€ стандартов обработки данных прописанным нормам.

—тоимость экспертизы дл€ фирмы в среднем составл€ет 100 000 рублей. ѕроцедура может быть назначена не только в добровольном, но и в судебном пор€дке. ≈сли специалист укажет заведомо ложную информацию, его ждет уголовна€ ответственность.