Полный пакет IT решений для бизнеса

Главная / Решения / Аудит безопасности

Аудит безопасности и создание структуры безопасности ИС

Как известно, аудит представляет собой независимую экспертизу отдельных областей функционирования организации.

Различают внешний и внутренний аудит. Внешний аудит - это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Внешний аудит рекомендуется (а для ряда финансовых учреждений и акционерных обществ требуется) проводить регулярно.

Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании документа, обычно носящего название "Положение о внутреннем аудите", и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ-аудита.

Целями проведения аудита безопасности являются:

  • анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС;
  • оценка текущего уровня защищенности ИС;
  • локализация узких мест в системе защиты ИС;
  • оценка соответствия ИС существующим стандартам в области информационной безопасности;
  • выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Этим, пожалуй, и исчерпывается набор целей проведения аудита безопасности, но только в том случае, если речь идет о внешнем аудите.