АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ



АО «НТЦ «Формула Защиты» предлагает услуги по экспертному обследованию защищённости объектов информатизации на предприятиях и в организациях – аудит информационной безопасности

Определения:
Аудит информационной безопасности – системный процесс получения объективных качественных и количественных оценок текущего состояния информационной безопасности организации в соответствии с определёнными критериями и показателями безопасности.

Цель аудита:
  • качественная и количественная оценка уровня защищенности существующей либо проектируемой информационной системы от утечек информации;
  • выдача рекомендаций по систематизации и приведению действующей системы безопасности информационной системы в соответствие требованиям законодательства.
Оказываемые услуги:
  • анализ соответствия уровня безопасности информационных систем действующим стандартам и нормативно-правовым актам;
  • анализ и оценка состояния защищенности информации и информационных систем:
    1. в части размещения оборудования, участвующего в обработке информации;
    2. в части обеспечения физической безопасности активов;
    3. в части программного обеспечения;
    4. в части информационных связей объектов информатизации;
    5. в части организации обработки информации;
  • локализация уязвимостей в системе безопасности информационных систем, определение возможных каналов утечки, построение частной модели угроз и модели нарушителя информационной безопасности;
  • разработка и выдача рекомендаций, предполагающих устранение выявленных проблем, повышение текущего уровня защиты информации, а также модернизацию существующей системы защиты информации и внедрение новых решений;
  • разработка проектной части, включающей в себя работы по созданию концепции безопасности и применения ее в практическом исполнении.
По результатам аудита разрабатывается экспертный отчет, включающий в себя:
  • оценку соответствия действующей системы информационной безопасности актуальным требованиям и стандартам в области информационной безопасности;
  • описание технологических уязвимостей информационной инфраструктуры организации;
  • оценку критичности выявленных уязвимостей и прогноз вероятных последствий в случае реализации угроз;
  • конкретные рекомендации, позволяющие повысить текущий уровень защищенности информационных систем;
  • план реализации данных рекомендаций с примерной бюджетной оценкой;
  • частное техническое задание на внедрение мер, рекомендуемых для повышения уровня информационной безопасности.