Аудиты системы управления информационной безопасностью

9-7-2021

Компания FS Group GEO – Украина проверяет уровень безопасности системы управления информационной безопасностью (сзби) в учреждениях и организациях, переходите по ссылке https://group-fs.com/ru/products/osint-lab/ и узнавайте подробнее. По результатам проверки может указать на недостатки, выдать систему рекомендаций.

Аудиты системы управления информационной безопасностью (сзби), проводимые экспертами компании, предназначены для выявления угроз, которые могут привести к потере конфиденциальных данных или доступу к ним. Этот вид аудита посвящен организациям (государственным органам или коммерческим компаниям), для которых информация имеет критический характер. Это могут быть, например, организации, обрабатывающие конфиденциальные персональные, финансовые или медицинские данные.

Цель аудита информационной безопасности

Цель аудита безопасности – оценка диапазона соответствия системы управления информационной безопасностью (szbi) с критериями, задающими данные стандарты (например, стандарты, законы, нормы или политику безопасности и процедуры). Она включает в себя, с одной стороны, анализ выполнения формальных обязанностей (например, документацию, процедуры обработки персональных данных), а с другой-анализ технических требований к информационным системам, с помощью которых обрабатываются персональные данные.

Анализ результатов отдельных элементов аудита и взаимосвязей между ними дает полную картину проблемы, позволяет подобрать соответствующие рекомендации и, следовательно, повысить эффективность процессов, происходящих в подразделении. В сферу аудита также входит анализ мер физической безопасности, включающий безопасность помещений, устройства защиты от потери питания и т. Д.

Причины проведения проверок информационной безопасности

Причины проведения проверок системы информационной безопасности согласно стандарту iso 27001 включают :

Требование стандартов, например, в связи с стандартом pn-iso/iec 27001, стандартизирующим системы управления информационной безопасностью.

Правовые требования – аудит информационной безопасности является юридическим требованием, предъявляемым государственным учреждениям. Об этом говорится в постановлении от 12 апреля 2012 года о национальной структуре взаимодействия.

План аудита организации.

Возникновение инцидентов в области информационной безопасности.

Изменения в организации, например, изменение лиц, ответственных за ит-инфраструктуру в организации.

Критерии аудита системы управления информационной безопасностью (сзби)

Аудиты szbi проводятся на основе двух типов критериев:

, содержащиеся в § 20 п. 2 закона национальных рамок взаимодействия – телеинформационных систем, минимальные требования для государственных реестров и обмена информацией в электронной форме и минимальным требованиям для систем передачи данных.

Включены в международный стандарт pn-iso/iec 27001, стандартизирующий системы управления информационной безопасностью, в котором выделено одиннадцать областей, влияющих на информационную безопасность организации:

Политика безопасности.

Организация информационной безопасности.

Управление активами.

Безопасность людских ресурсов.

Физическая и экологическая безопасность.

Управление системами и сетями.

Контроль доступа.

Управление непрерывностью работы.

Приобретение, разработка и обслуживание информационных систем.

Управление инцидентами, связанными с информационной безопасностью.

Соблюдение правовых требований и собственных стандартов.

Действия, выполняемые в рамках аудита системы управления информационной безопасностью

Эксперты при проведении аудита сзби выполняют следующие действия:

  • Анализ документации и процедур обработки персональных данных на соответствие нормативным требованиям,
  • Анализ законности, объема, цели обработки персональных данных и способа их обработки,
  • Технико-организационный анализ безопасности для защиты персональных данных,
  • Анализ и проверка физической безопасности и ит-инфраструктуры,
  • Проверка уровня безопасности и проверка правильности набора персональных данных,
  • Проверка уровня знаний сотрудников,
  • Анализ трудовой документации (в том числе процессов найма) на предмет соблюдения законодательства в области защиты персональных данных.

Какие услуги мы предлагаем, связанные с управлением информационной безопасности

Наши эксперты предоставляют полный спектр услуг, связанных с управлением информационной безопасности, охватывающих m.in.:

Аудит -мы проверяем уровень системы управления информационной безопасностью на предмет регулирования национальной структуры взаимодействия (kri) и на основе стандарта pn-iso/iec 27001, стандартизирующего системы управления информационной безопасностью.

Развертывание szbi в организации – подбираем и проектируем решения организационных (обучение) и технические (процедуры, политики безопасности), целью которых является адаптация организации системы менеджмента информационной безопасности требованиям в области регулирования кри и стандарта .

Обучение в области сзби – наши специалисты имеют многолетний опыт в проведении тренингов и семинаров, посвященных теме создания и управления системами управления информационной безопасностью. Учебные программы и тематический диапазон мы всегда адаптируем к индивидуальным предпочтениям и ожиданиям наших клиентов.

Получение объективной и независимой информации и оценки подготовлена системы менеджмента информационной безопасности организации в связи с рекомендациями постановления кри или к требованиям стандарта.

Минимизация рисков, связанных с возможными аномалией вытекающими из niedostosowaniem организации положений регламента кри или к требованиям стандарта pn-iso/iec 27001, охватывающей, в частности, системы teleinformatyczne, процедуры, документация, политики, обучение и консалтинг.

Выявление и оценка рисков системы управления информационной безопасностью.

Определить вопросы, которые требуют совершенствования или могут быть улучшены.

Не стесняйтесь обращаться к нам – мы будем рады ответить на любые ваши вопросы, связанные с аудитами системы управления информационной безопасностью