Transcript Аудит информационной безопасности в организациях

АУДИТ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ В ОРГАНИЗАЦИИ
Докладчик: Самалов Е.А.
техн. директор
ТОО KazComNet
Астана 2014
Система обеспечения ИБ
Комплекс мероприятии
Правовые
Организационные
Технические
Задачи
получение независимой оценки состояния информационной
безопасности в организации
выявление слабых мест в системе информационной
безопасности
сформировать потребности в необходимых мерах и средствах
защиты
оценить и спланировать бюджет на совершенствование системы
информационной безопасности
сформировать перечень дальнейших шагов по устранению
выявленных несоответствий
спланировать мероприятия по информационной безопасности
Виды аудита
Анализ
документации
Анализ
защищенности
сети
Тестирование
на
проникновение
Проверка знаний
и
осведомленности
сотрудников
Анализ документации
 Стратегия информационной безопасности
 Концепция информационной безопасности
 Политики информационной безопасности
 Регламенты, руководства, инструкции, планы
 Положение о подразделении по информационной безопасности
 и другие виды документов по СУИБ
Анализ защищенности сети
 Получение актуальной и независимой оценки состояния
информационной безопасности сетевой инфраструктуры
 Выработка рекомендации по повышению уровня безопасности
сетевой инфраструктуры
Тестирование на проникновение (Penetration Testing)
РЕШАЕМЫЕ ЗАДАЧИ:
 Получение актуальной и независимой оценку состояния
информационной безопасности
 Определить дальнейших шагов по повышению уровня
безопасности
Проверка осведомленности сотрудников
 Знание и соблюдение установленных правил в организации
 Степень ответственности сотрудников в вопросах
информационной безопасности
 Обеспечение выполнения требования законодательства или
иных нормативных документов
Результат работ
 Детальный отчет об уязвимостях информационных систем
 Рекомендации по оптимизации сетевой инфраструктуры
 Техническое задание на модернизацию сети
 Рекомендации по повышению текущего уровня защищенности ИС
 Заключение по результатам анализа
Проблема установления
рационального баланса
Безопасность
• Затраты на безопасность
• Внедрение новых элементов
СЗИ
• Управление жизненным
циклом ИС
• Разграничение доступа
Эффективность
• Увеличение прибыли
• Сокращение расходов
• Накопление знаний
• Повышение
осведомленности
Благодарим за внимание!
www.kazcomnet.kz
[email protected]
+7 (7172) 655 168
+7 (7172) 655 347