Главная  /  Безопасность информационных систем
    Закрыть   

Безопасность информационных систем
Оценка состояния информационной безопасности

Для начала работы по построению системы информационной безопасности в коммерческой организации, государственном предприятии, ведомственном или отраслевом учреждении необходимо получить объективную оценку текущего уровня безопасности информационной системы и проанализировать риски, которым подвержены конфиденциальные данные объекта. Такие мероприятия называют аудитом информационной безопасности и выделяют в две категории – внешний и внутренний аудит.


Безопасность информационных систем

Если внешний аудит представляет собой разовое мероприятие (либо график регулярных разовых мероприятий), то внутренний аудит информационной безопасности организации является системным процессом, процедуры которого выполняются постоянно по ходу функционирования объекта. Аудит информационной безопасности регламентируется как федеральными и международными нормативными актами, так и внутренними положениями об информационной безопасности предприятия. Помимо объективной оценки собственно уровня защищённости информационной структуры организации, такая оценка информационной безопасности организации призвана выявлять уязвимые элементы информационной системы, анализировать и структурировать риски для объекта с внесением соответствующих рекомендаций по повышению уровня безопасности информационной системы.

Организация аудита и анализа безопасности информационной системы производится в рамках ИТ-аудита предприятия и курируется руководством, директором по информационным технологиям или старшим офицером безопасности. Оценка состояния безопасности информационной системы организации производится в несколько этапов, включающих сбор и анализ информации, подготовку отчёта и выработку рекомендаций по оптимизации уровня информационной безопасности организации и защиты данных в организациях от утечки.


Сбор информации – самый долгий и самый важный этап аудита защищённости информационной системы предприятия. Он предполагает учёт и систематизацию организационной структуры подразделений, работающих с теми или иными элементами информационной системы предприятия, и, разумеется, подробную структуру самих элементов IT-структуры организации. На основе собранных данных появляется возможность произвести анализ уровня информационной безопасности объекта. Такой анализ строится на основе угроз информационной безопасности (риски должны быть предварительно объективно оценены и подробно проанализированы) и/или нормативной базы, регулирующей аспекты информационной безопасности в сфере деятельности организации. По результатам анализа информации, аудиторы составляют аудиторский отчёт и список рекомендаций к повышению уровня информационной безопасности объекта. Отчёт и рекомендации аудиторской комиссии дают полную объективную картину текущего уровня информационной безопасности организации, а также определяют перечень мероприятий, необходимых для оптимизации уровня защищённости информационной системы.


Оценка безопасности информационной системы необходима на уровне подготовительных работ для построения системы защиты информации предприятия.

© ООО «АРУДИТ СЕКЬЮРИТИ», 2021-2024. Все права защищены.