Услуги

Чаще всего, у организации возникает потребность в проведении аудита информационной безопасности в следующих случаях:

• Когда произошёл инцидент, связанный с информационной безопасностью. После инцидента компания хочет выявить причины его возникновения, а также методы защиты от других инцидентов в будущем.
• Когда проведение аудита является требованием от партнёра или подрядчика. Иногда возникают такие ситуации, когда крупные подрядчики проверяют клиента с точки зрения информационной безопасности и требуют от них прохождения аудита.
• При подозрении на некорректное функционирования ИС с точки зрения информационной безопасности или бизнес-процессов. Когда у руководителя или собственника бизнеса возникает ощущение, что некоторые процессы в компании протекают не должным образом или были скомпрометированы.
• При внедрении новой информационной системы или процесса. В этом случае, аудит проводится для того, чтобы проверить правильно ли были внедрены системы или процессы и не нарушают ли они правила информационной безопасности.

Основная цель аудита информационной безопасности – это проверка текущего состояния защиты ИТ-инфраструктуры, а также выявления потенциальных угроз и уязвимостей.

1. Формирование плана и зоны аудита.

Аудит процессов обеспечения информационной безопасности мы начинаем с того, что определяем какие процессы и информационные системы будут входить в рамки проекта.

2. Формирование рабочей группы.

Далее формируется рабочая группа, а также формат и правила взаимодействия во время проекта.

3. Сбор первичной информации и ее анализ.

После этого, мы начинаем собирать всю необходимую информацию в тех местах, в которых она задокументирована. Также на этом этапе мы проводим интервью с представителями IT подразделения, владельцами бизнес-процессов, а также со службой ИБ, если она есть в организации.

4. Анализ полученной информации и оценка рисков.

Собрав информацию мы анализируем её на соответствие с лучшими практиками и принятыми стандартами информационной безопасности.

5. Создание плана по управлению рисками.

Далее мы приоритезируем все выявленные риски и на их основе создаём план по управлению рисками. Мы выделяем несколько групп рисков: критические, средние, низкие.

6. Разработка рекомендаций по управлению рисками.

После этого, мы даём необходимые рекомендации по управлению этими рисками: рассказываем как их минимизировать, передать, отказаться или принять в тех процессах или ситуациях, когда это возможно.

7. Подготовка итогового отчёта.

В конце проекта мы готовим итоговый отчёт, который содержит в себе перечень выявленных рисков информационной безопасности, а также подробные рекомендации по устранению или снижению этих рисков.

Результатом аудита процессов обеспечения информационной безопасности является:

• Оценка текущего уровня защищенности компании с точки зрения информационной безопасности;
• Выявление уязвимостей в процессах и системах обеспечения ИБ компании, которые могут привести к взлому, утечке, похищению информации, а также другим инцидентам;
• Необходимые для внедрения рекомендации, которые повысят по уровень защищенности.

Компания «Pointlane» предлагает следующие виды услуг:

• Аудит процессов обеспечения информационной безопасности
• Тест на проникновение
• Аудит Web-безопасности