Специалисты «КОРУС Консалтинг» оказывают услугу комплексного аудита информационной безопасности, которая предназначена для получения полной информации о системах защиты данных в компании. Результаты комплексного аудита могут быть использованы для совершенствования системы защиты информации, оптимизации, организации и реорганизации процессов информационной безопасности, проверки работы службы информационной безопасности, формирования концепции развития предприятия в сфере информационной безопасности, внедрения новых средств и систем.
Комплексный аудит информационной безопасности включает:
- Анализ документации: анализ нормативной и организационно-распорядительной документации заказчика; проверку соответствия документации требованиям законодательства РФ; проверку соответствия документации требованиям отраслевых регуляторов.
- Анализ состава и количества документов, регламентирующих обработку ПДн, согласно нормам законодательства
- Анализ целевого использования собираемых ПДн, соответствие ПДн заявленному объему, правовые основания сбора, обработки, хранения и передачи ПДн, в соответствии с положением КоАП 13.11
- Анализ обработки персональных данных на соответствие требованиям регуляторов
- Анализ СУИБ: анализ системы управления информационной безопасности; анализ ИБ-процессов; определение актуальных рисков и угроз.
- Анализ фактического уровня защищенности: анализ соответствия применяемых средств и систем защиты информации целям их применения; анализ исходных данных о состоянии системы защиты информации; определение уровня компетенции сотрудников заказчика в области информационной безопасности; визуальный осмотр инфраструктуры и условий обработки информации; анализ ИТ-инфраструктуры с использованием технических средств с точки зрения информационной безопасности; анализ конфигурации средств и систем защиты информации.
Результаты аудита информационной безопасности позволяют:
- Разработать рекомендации по совершенствованию системы управления информационной безопасностью;
- Разработать рекомендации по внедрению, реорганизации, совершенствованию ИБ-процессов;
- Разработать рекомендации по реорганизации, модернизации и совершенствованию ИТ-инфраструктуры;
- Разработать рекомендации в области инженерно-технической защиты информации;
- Разработать рекомендации по минимизации и нейтрализации актуальных рисков и угроз;
- Подготовить концепцию развития в сфере информационной безопасности;
- Подготовить модель и матрицу угроз информационной безопасности.
