В процессе развития организации и ее движения к поставленным целям необходимо объективно оценивать ее текущее состояние, которое определяет дальнейшие управленческие решения, в том числе размеры выделяемых ресурсов.
Прекрасно зарекомендовавшим себя инструментом получения такой объективной оценки является аудит, и область информационной безопасности не является исключением. При этом стоит отметить, что для проведения аудита информационной безопасности организации целесообразно привлекать сторонние организации, основной деятельностью которых как раз и является анализ защищенности и обеспечения информационной безопасности.
Независимые и объективные результаты аудита информационной безопасности организации позволят ей осуществить обоснованные последующие шаги по обеспечению защиты своих интересов в условиях угроз в информационной сфере, а также соблюсти требования регуляторов в области защиты информации.
Состав работ
В рамках аудита информационной безопасности организации НТЦ «Вулкан» готов выполнить в интересах заказчика работы, которые включают в себя:
- Оценку наличия, полноты и компетенций персонала подразделения информационной безопасности организации.
- Оценку осведомленности работников организации в вопросах обеспечения информационной безопасности организации.
- Оценку наличия, полноты, качества и актуальности документации по линии информационной безопасности организации.
- Оценку реализации процессов и процедур обеспечения информационной безопасности организации.
- Оценку наличия средств защиты информации и параметров их настроек.
- Оценку наличия и условий взаимодействии с поставщиками технических решений и услуг по обеспечению информационной безопасности организации.
- Тестирование на проникновение.
- Составление практических рекомендаций по созданию или совершенствованию деятельности по обеспечению информационной безопасности организации.
- Формирование план-графика и бюджета последующих активностей (проектов).
Преимущества
- Компания НТЦ «Вулкан» готова оказать данные услуги как с присутствием специалистов-аудиторов на территории заказчика, так и удаленно.
- В рамках оказания услуг специалисты НТЦ «Вулкан» могут предложить заказчику на выбор следующие методы получения свидетельств аудита:
- Проведение интервью персонала организации.
- Заполнение проверочных листов и вопросников как с привлечением, так и без привлечения персонала организации.
- Проведение анализа документации.
- Наблюдение за выполнением работы.
- Использование инструментальных средств.
- В рамках тестирования на проникновение специалисты НТЦ «Вулкан» могут предложить заказчику на выбор следующие способы его проведения:
- «Black Box» – атакующий ничего не знает об объекте (имитация действий внешнего нарушителя, хакера);
- «Grey Box» – атакующий обладает частичной информацией об объекте (имитация действий в случае сговора внешнего и внутреннего нарушителей);
- «White Box» – атакующий обладает полной информацией об объекте (имитация действий внутреннего нарушителя).
- При заказе услуг организация может выбрать только ту область аудита, которая представляет для нее наибольший интерес.