8 (812) 640-95-60
kassa@sampokkm.ru
Санкт-Петербург,
ул. Большая Разночинная, 14/5, офис 116
8 (495) 640-92-83
msk@sampokkm.ru
Москва, Щелковское шоссе, д. 100, бизнес центр «East Gate», офис 310
Ваша корзина
товаров: 0 шт.

КАТАЛОГ ТОВАРОВ

ПРЕСС РЕЛИЗЫ

Новое решение "АТОЛ Онлайн". Быстро подключим онлайн-кассы к интернет-магазину. Касса как сервис для интернет-торговли на базе кассового комплекса АТОЛ 42ФС и программных технологий АТОЛ
18.07.2018 подробнее>
 
Покупка и установка ЭРА ГЛОНАСС. Порядок действий при покупке системы и установке на автомобили находящиеся в эксплуатации.
10.07.2018 подробнее>
 
Оборудование ЭРА-ГЛОНАСС FORT-112EG стало доступным для приобретения и установки* на транспортные средства, находящиеся в эксплуатации.
04.07.2018 подробнее>
 
Удаленная замена фискального накопителя (ФН-1.1): Фискальный накопитель (ФН), является средством...
30.06.2018 подробнее>
 
Письмо ФНС России от 28.05.2018 № ЕД-4-20/10222 «Об использовании фискальных накопителей при сезонном...
04.06.2018 подробнее>
 

Аудит информационной безопасности

Понятие аудита безопасности и цели его проведения
Аудит безопасности представляет собой независимую экспертизу отдельных областей функционирования организации. Существует два вида аудита: внешний и внутренний. Внешний аудит – это, как правило, разовое мероприятие, проводимое по инициативе руководства организации. Внешний аудит рекомендуется проводить регулярно, а, например, для многих финансовых организаций и акционерных обществ это является обязательным требованием. Внутренний аудит – это деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется сотрудниками организации и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ аудита. Основными целями проведения аудита информационных систем являются:
- анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС
- локализация узких мест в системе защиты ИС;
- оценка текущего уровня защищенности ИС;
- оценка соответствия ИС существующим стандартам в области информационной безопасности;
- выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.
Эти цели преследует, как внешний, так и внутренний аудит, но стоит отметить что существуют дополнительные цели у внутреннего аудита. Эти цели заключаются не только в оказании помощи в проведение аудита внешним аудитором, но и выполнение следующих целей:
- разработка политики безопасности и других организационно-распорядительных документов по защите информации и участие в их внедрении в работу организации;
- постановка задач для ИТ персонала, касающихся обеспечения защиты информации;
- участие в обучении пользователей и обслуживающего персонала ИС вопросам обеспечения информационной безопасности;
- участие в разборе инцидентов, связанных с нарушением информационной безопасности;
Важно отметить, что все перечисленные выше «дополнительные» задачи, стоящие перед внутренним аудитором, за исключением участия в обучении, по своей сути не являются аудитом. Аудитор по определению должен проводить независимую экспертизу реализованных мер обеспечения безопасности организации, что и является основным видом деятельности аудитора. Если аудитор принимает участие в реализации механизмов безопасности, то независимость аудитора утрачивается, а вместе с ней утрачивается и объективность его суждений, т. к. аудитор не может осуществлять независимый и объективных контроль своей собственной деятельности. Поэтому рекомендуется привлекать аудитора со стороны, то есть проводить внешний аудит.
Этапы по проведению работ по аудиту безопасности информационных систем.
Работы по аудиту безопасности ИС включают в себя следующие этапы:
- Инициирование процедуры аудита
- Сбор информации для аудита
- Анализ данных аудита
- Разработка рекомендаций
- Подготовка аудиторского отчета
Выводы
Из всего выше сказанного следует, что аудит информационной безопасности – системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности.
Таким образом, аудит в данном случае сводится к проверке системы информационной безопасности и сравнению ее результатов с неким идеалом.

Comments are closed.