Аудит информационной безопасности и оценка соответствия

В современных реалиях любая организация должна соответствовать множествам требований:

• требования регулятора деятельности организации;
• требования различных стандартов;
• клиентов/контрагентов;
• нормативным документам РФ и т.д.

Очень просто «потеряться» в различных источниках и сложной структуре требований, что повышает финансовые, репутационные риски и риски ИБ. Так как заинтересованных сторон очень много, необходимо выполнять все требования и учитывать каждый из источников требований по информационной безопасности. Профессионализма сотрудников Организации может быть недостаточно из-за сложной и разветвленной структуры как самих требований, так и «непонятность» текстов нормативных актов по ИБ, требованиям которых Организации необходимо соответствовать.

Наиболее оптимальный метод соответствия требованиям ИБ – метод декомпозиции всего «древа требований» на отдельные направления по вышеперечисленному способу и «вычленение» наиболее приоритетных, например, требования стандартов по ИБ, которым обязана соответствовать Организация и требования клиентов/контрагентов в области ИБ.

С требованиями отечественных или международных стандартов всё, вроде, понятно, однако не редко сотрудники Организации, ответственные за ИБ сталкиваются со сложностью написания и неопределённостью требований данных стандартов либо их неправильным пониманием.

Также Организации необходимо соответствовать требованиям по ИБ, источником которых являются клиенты/контрагенты по бизнесу т.к. невыполнение данных требований может привести как к репутационным и финансовым рискам, так и к рискам прекращения существования Организации из-за судебных санкций и санкций регулятора из-за допущения Организацией инцидентов ИБ.Для чего нужна оценка состояния ИБ на соответствие требованиям клиентов и/или контрагентов

Вам необходима оценка состояния информационной безопасности на требования контрагентов и/или стандартов если:

• Вам нужно экспертное заключение о том, что Вы соблюдаете требования стандартов и/или контрагентов. Например, Банк может требовать от контрагентов выполнение положений ГОСТ Р 57580.1-2017 для целого контрагентов
• Вы хотите убедиться в том, что в действительности соблюдаете требования стандартов и/или контрагентов в части информационной безопасности
• К Вам применялись санкции по несоблюдению требований информационной безопасности со стороны контрагентов
• Как проходит оценка соответствия требованиям

Оценка соответствия проходит посредством проведения комплекса мероприятий, включающих в себя описание объекта оценки (проверяемой системы информационной безопасности Заказчика или ее части), анализ внутренней документации на предмет соответствия стандартам и/или требованиям контрагентов, интервьюирование сотрудников для подтверждения соблюдения требований стандартов и/или контрагентов, а также технический аудит, включающий в себя исследование применяемых технических решений на предмет соответствия стандартам и/или требованиям контрагентов.

Основные этапы проведения аудита

Этапы проведения аудита информационной безопасности (указаны усредненные сроки):

• анализ требуемых стандартов и/или требований контрагентов соответствия (1 неделя);
• анализ документации Заказчика по ИБ на предмет соответствия стандартам и/или требованиям контрагента (1 неделя);
• анализ системы защиты информации Заказчика на предмет соответствия стандартам и/или требованиям контрагента (с технической стороны) (2 недели);
• интервьюирование сотрудников (1 неделя);
• проверка применяемых средств защиты информации на предмет соответствия стандартам и/или требованиям контрагента (2 недели);
• аудит по выбранной в результате анализа методике (при необходимости) (3 недели);
• написание отчетной документации (1 недели).Результаты аудита

Сотрудники ООО «Лаборатория безопасности» очно или заочно, проведут оценку состояния ИБ на соответствие требованиям стандартов и клиентов/контрагентов, проведут оценку рисков ИБ организации, сформируют подробный отчет степени соответствия заявленным требованиям по ИБ. Отчет о такой оценке служит хорошей основой для корректировки процессов обеспечения и управления ИБ и достижения соответствия применимым требованиям по ИБ, а также сформируют рекомендации по повышению уровня соответствия требованиям определённых стандартов либо требованиям клиентов/контрагентов организации в направлении ИБ.