Аудит информационной безопасности, it аудит отчет — системный процесс приобретения объективных добротных и количественных оценок о нынешнем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности.
Информационная безопасность — состояние сохранности информационных источников и защищенности законных прав фигуры и социума в информационной сфере.
Аудит разрешает оценить нынешнюю безопасность функционирования информационной системы, оценить и предсказывать риски, руководить их влиянием на бизнес-процессы фирмы, правильно и оправданно подойти к вопросу обеспечения безопасности ее информационных активов, тактических планов становления, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных. В финальном счете, грамотно проведенный аудит безопасности информационной системы разрешает добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание системы безопасности фирмы.
Основные направления аудита информационной безопасности детализируются на следующие: аттестацию; контроль защищенности информации; особые изыскания технических средств и проектирование объектов в защищенном исполнении.
Аттестация объектов информатизации по требованиям безопасности информации:
аттестация автоматизированных систем, средств связи, обработки и передачи информации;
аттестация помещений, предуготовленных для ведения конфиденциальных переговоров;
аттестация технических средств, установленных в выделенных помещениях.
Контроль защищенности информации ограниченного доступа:
выявление технических каналов утраты информации и методов несанкционированного доступа к ней;
контроль результативности применяемых средств охраны информации.
Специальные изыскания технических средств на присутствие побочных электромагнитных излучений и наводок (ПЭМИН):
персональные ЭВМ, средства связи и обработки информации;
локальные вычислительные системы;
оформления итогов изысканий в соответствии с требованиями Гостехкомиссии России.
Проектирование объектов в защищенном исполнении:
разработка доктрины информационной безопасности;
проектирование автоматизированных систем, средств связи, обработки и передачи информации в защищенном исполнении;
проектирование помещений, предуготовленных для ведения конфиденциальных переговоров.
Различают внешний и внутренний аудит.
Внешний аудит — это, как правило, разовое мероприятие, проводимое по инициативе начальства организации либо акционеров. Внешний аудит рекомендуется (а для ряда финансовых учреждений и акционерных обществ требуется) проводить регулярно.
Внутренний аудит представляет собой постоянную действие, которая осуществляется на основании документа, традиционно носящего наименование “Положение о внутреннем аудите“, и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается начальством организации. Аудит безопасности информационных систем является одной из составляющих ИТ—аудита.
Целями проведения аудита безопасности являются: — обзор рисков, связанных с вероятностью осуществления угроз безопасности в отношении источников ИС; — оценка нынешнего яруса защищенности ИС; — локализация тесных мест в системе охраны ИС; — оценка соответствия ИС присутствующим эталонам в области информационной безопасности; — выработка рекомендаций по внедрению новых и возрастанию результативности существующих механизмов безопасности ИС.
