Аудит и консалтинг

  Целью проведения аудита (анализа информационной безопасности организации) является определение текущего уровня состояния информационной безопасности в организации с помощью структурного и функционального анализа и его сопоставление с требованиями заказчика и/или стандартами в области информационной безопасности. По результатам анализа информационной безопасности заказчик получает полный и достоверный отчет по проведенным работам, который включает в себя оценку информационной безопасности организации, выработку перечня рекомендаций по устранению несоответствий, план и оценку бюджета на внедрение рекомендаций.

Аудит состояния информационной безопасности организации (оценка информационной безопасности организации) проводится на соответствие ряду стандартов:

• отечественные стандарты оценки информационной безопасности:
  • стандарт Банка России СТО БР ИББС-1.2-2009;
  • ГОСТ Р ИСО/МЭК 17799 – 2005;
  • ГОСТ РИСО/МЭК 27001– 2006;
• международные стандарты:
  • Payment Card Industry Data Security Standard (PCI DSS);
  • отраслевые стандарты и внутренние организационно-распорядительные документы организации.

Услуги, оказываемые специалистами РАМЭК-Интеграция в области анализа информационной безопасности, позволяют сделать оценку информационной безопасности, а в частности:

• степени соответствия информационной системы организации требованиям руководящих документов;
• состояния управления коммуникационными процессами (в том числе состояние управления сетями и внутренними ресурсами, состояние ПО);
• используемых механизмов контроля доступа (управление доступом, ответственность пользователей, контроль над управлением удаленного доступа и т.д.);
• технического состояния уже применяемых в организации средств обеспечения информационной безопасности;
• архитектуры бизнес-процессов организации с целью их дальнейшей модернизации с учетом требований по обеспечению информационной безопасности.

Как правило, аудит состояния информационной безопасности организации включает в себя следующие этапы:

• подготовка и планирование аудита;
• проведение проверок и экспертиз (в том числе с использованием специальных средств анализа защищенности);
• анализ информационной безопасности на основе полученных результатов;
• выработка рекомендаций по устранению выявленных недостатков на основе сделанной оценки информационной безопасности;
• подготовка отчета о выполненной работе с рекомендациями по устранению выявленных замечаний и несоответствий.

  Все работы по выполнению анализа информационной безопасности проводятся квалифицированными специалистами РАМЭК-Интеграция, имеющими большой опыт работы в данной области..