Как провести экспресс-аудит информационной безопасности

Система ИБ требует постоянного контроля. Поддерживать ее в актуальном и максимально эффективном состоянии позволяет аудит информационной безопасности. Разберемся, что это за вид аудита, какие функции выполняет, и какую пользу приносит бизнесу.

Введение

Представим ситуацию: вы получили должность руководителя направления информационной безопасности на новом месте работы, и теперь у вас возникают вопросы: «Какие первые шаги предпринять по совершенствованию подсистем защиты?», «Как быстро и эффективно оценить состояние информационной инфраструктуры?» и др.

Исходя из опыта компании Astrum, специалисты которой участвовали в различных проектах по информационной безопасности (ИБ) как на стороне заказчика, так и на стороне исполнителя, в первую очередь следует понять и разобраться в текущих процессах и инфраструктуре (понять, с чем имеем дело, найти узкие места, оценить риски), т. е. провести внутренний экспресс-аудит информационной безопасности. Обратим внимание, что речь идет именно об экспресс-аудите, так как на новом месте работы важно получить оперативный и в то же время полный срез по состоянию системы обеспечения информационной безопасностью (СОИБ), а следовательно, нужно не допустить, чтобы данное мероприятие затянулось по каким бы то ни было причинам.

Именно грамотно выполненный экспресс-аудит ИБ позволит вам решить следующие задачи:

  • Быстро получить срез по текущему состоянию СОИБ в компании.
  • Выявить узкие места в подсистемах защиты информации.
  • Определить соответствие СОИБ задачам и бизнес-целям компании, а также определить соответствие требованиям действующего законодательства РФ и международных стандартов.
  • Выработать необходимые меры, направленные на совершенствование СОИБ и используемых технологий в компании.
Читайте также:  UMIDIGI A9 ПЕРВЫЙ ОБЗОР: Новый бюджетный смартфон 2021 года

В данной статье описан подход к проведению оперативного аудита ИБ (экспресс-аудита), а также приведен подробный план действий и рекомендаций для эффективной реализации комплекса мероприятий своими силами.

Решение компании «Инфосистемы Джет»

Специалисты компании «Инфосистемы Джет» в рамках создания FMRA-систем проводят полное обследование всех систем и процессов оператора, начиная с получения услуги абонентом до сбора платежей и взаиморасчетов с партнерами. После анализа полученной информации выявляются существующие и потенциальные области риска, производится оценка объема потерь доходов и составляется финальный документ (карта рисков), описывающий полученные результаты. При необходимости может быть проведен выборочный аудит отдельных систем, продуктов или процессов.

На основании аудита формулируются требования к решению FMRA:

  • в случае частной задачи – «закрытие» наиболее критичных областей потери доходов (взлом PBX, межоператорский фрод и контентное мошенничество при внедрении вредоносного ПО);
  • в случае комплексного решения – охват зон риска, характерных для всех операторов связи, и создание комплексной системы предупреждения хищений.

В соответствии с этими требованиями составляется техническое задание на внедрение системы. Последнее включает в себя меры организационного, процессного и технического характера, подразумевающие оптимизацию настроек систем, изменение существующих и внедрение новых процедур контроля и мониторинга. По итогам формулируются требования к системам, системы инсталлируются и настраиваются, проводится обучение персонала.

Предлагаемые решения по управлению фродом и гарантированию доходов охватывают большинство систем и процессов, входящих в зону риска, определяемую заказчиком. При этом данные решения могут масштабироваться по необходимой мощности и пропускной способности данных от выбранных систем и в дальнейшем наращивать свое «участие» в контрольных процедурах, приближаясь к комплексному контролю всех систем управления. Это позволяет обеспечить автоматизированный мониторинг всех известных зон риска и эффективно обнаруживать ранее не известные проблемы.

Читайте также:  «Социальное казначейство» заработает в России с 2021 года

Компания «Инфосистемы Джет» использует инструменты для анализа CDR, решения по оптимизации маршрутизации звонков, симуляторы тестового трафика, системы NRTRDE и пр., созданные ведущими производителями OSS/BSS-систем (WeDo, LavaStorm, SubeX).

Письменные заявления

  1. Если применимая концепция подготовки финансовой отчетности содержит требования к связанным сторонам, то аудитор обязан получить от руководства и, в соответствующих случаях, от лиц, отвечающих за корпоративное управление, письменные заявления в том, что (см. пунктыA48–A49):

(a) они раскрыли аудитору идентификационные данные связанных сторон организации и сведения обо всех взаимоотношениях и операциях между связанными сторонами, о которых им известно;

(b) они надлежащим образом отразили в бухгалтерском учете и раскрыли такие взаимоотношения и операции в соответствии с требованиями применимой концепции.

Вывод

В современных условиях регулярное проведение аудита информационной безопасности представляет собой практически обязательную меру для большинства компаний. Независимая проверка требует ощутимых затрат, размер которых зависит от характера деятельности проверяемой фирмы, особенностей существующей системы ИБ и других факторов. Однако понесенные расходы полностью окупаются, поскольку регулярный аудит дает уверенность в высоком уровне защищенности компании от информационных угроз. Главное, выбрать надежного исполнителя для проведения аудита.

Подпишитесь на рассылку Смарт-Софт и получите скидку на первую покупку

За подписку мы также пришлем вам white paper «Основы кибербезопасности в коммерческой компании».

Email*Подписаться

Читайте также:  Как подключить безлимит на соцсети Билайн: 2 способа

Условия акции

Предоставлено SendPulse