Построение системы внутреннего аудита и обеспечения соответствия требованиям политик ИБ
Важнейшим фактором для успешного обеспечения информационной безопасности является наличие в организации четких внутренних требований в отношении используемых мер и средств ИБ, а также наличие эффективного контроля за выполнением этих требований.
К современным организациям также предъявляются различные требования со стороны законодательства, регулирующих органов и органов по сертификации. Невыполнение этих требований несет в себе значительные финансовые, правовые и репутационные риски.
Такие требования содержатся в:
- законе № 152 ФЗ «О персональных данных»;
- стандарте международных платежных систем PCI DSS;
- стандарте Банка России СТО БР ИББС;
- международном стандарте ISO IEC 27001:2005;
- стандартах SOX и COBiT.
Состав услуги по построению системы внутреннего аудита и обеспечения соответствия требованиям политик ИБ
Обеспечение выполнения внутренних и внешних требований, а также оценка эффективности имеющихся мер контроля являются основными задачами процесса внутреннего аудита ИБ. Компания LETA предлагает набор услуг, направленных на формирование четких требований ИБ в организации и успешное обеспечение контроля за их выполнением.куда входят:
- оценка соответствия информационной системы Заказчика установленным внешним или внутренним требованиям;
- разработка политик и стандартов в области ИБ;
- разработка и внедрение процедур внутреннего аудита ИБ:
- сбор и анализ информации;
- определение актуальных требований;
- оценка рисков;
- оценка эффективности имеющихся мер контроля;
- анализ со стороны руководства;
- внедрение корректирующих мер по итогам аудита;
- проектирование и внедрение программно-технических средств аудита и контроля за соответствием требованиям;
- разработка технических проверок для информационных систем Заказчика;
- консультационное сопровождение и техническая поддержка.
Что дает внедрение услуги по построению системы внутреннего аудита и обеспечения соответствия требованиям политик ИБ
Предлагаемые программно-технические решения позволяют значительно снизить трудозатраты на выполнение процедур внутреннего аудита ИБ за счет автоматизации процесса, а также существенно повысить полноту и качество собираемой информации.
Рассматриваемые программно-технические средства обеспечивают:
- автоматизацию процесса разработки и пересмотра политик безопасности Компании с учетом внутренних требований и действующих регулятивных норм в области информационной безопасности;
- выполнение технических проверок (настроек, конфигураций приложений, серверов и рабочих станций) в соответствии с установленными политиками и процессами;
- проведение опросов ответственных сотрудников по вопросам, не проверяемых техническими методами, анализ и хранение результатов проверок и сопроводительных документов;
- построение актуальной отчетности о соответствии требованиям на основании сопоставления результатов проверок и принятых требований/стандартов безопасности;
- управление задачами для всех сотрудников, задействованных в процессе внутреннего аудита на различных этапах.
