Аудит ИБ в рамках отдельных бизнес-процессов

В процессе развития организации повышаются риски нарушения одного из свойств ИБ, т.к. растет количество информационных потоков и бизнес процессов, связанных с обработкой информации в электронном виде. Специалисты службы информационной безопасности не всегда успевают пройти своевременное обучение и повышение квалификации по перспективным направлениям развития компании.

Также аудит необходим в тех случаях, когда в организации происходили нештатные ситуации, нарушение непрерывности деятельности отдельных бизнес-процессов, произошедших по причине уязвимостей системы обеспечения ИБ, инциденты ИБ на стадиях проектирования и введения в повседневную деятельность новых бизнес-процессов.

В таких ситуациях необходим аудит ИБ отдельных, уязвимых либо новых бизнес-процессов.

Для чего нужен аудит ИБ в рамках отдельного бизнес-процесса?

Аудит соответствия требованиям нормативных документов в области ИБ в рамках отдельного бизнес-процесса применяется для решения частных задач, например:

• Для получения независимого заключения по применению мер ИБ в рамках наиболее критичных процессов организации
• Для определения реального уровня безопасности в интересах третьей стороны (тендер, судебная инстанция, спор с регулятором)
• Для оценки состояния информационной безопасности после инцидента
• Для подтверждения эффективности применяемых мер на этапе приемки новых информационных систем
• и пр.

Как проходит аудит информационной безопасности по процессу

Для аудита в рамках бизнес-процессов на предприятии в первую очередь заполняется опросный лист по проверяемому бизнес-процессу. Запрашиваются или разрабатываются внутренние документы организации в направлении ИБ и производится анализ полноты выполнения требований нормативных документов (государственных и внутренних), регламентирующих деятельность организации в целом и проверяемого бизнес-процесса – в частности. Проводится интервью с ответственным за ИБ сотрудником, участников анализируемого бизнес-процесса организации.

После этого делается вывод о степени защищенности/безопасности бизнес-процесса организации, а также производится оценка рисков проверяемого бизнес-процесса. Также составляются рекомендации для устранения выявленных недостатков и нарушений.

Этапы проведения аудита

• Обработка информации, содержащаяся в опросном листе (2 недели)
• Анализ бизнес-процесса, оценка рисков ИБ бизнес-процесса (1 неделя)
• Интервьюирование участников бизнес-процесса (2 недели)
• Интервью с сотрудником, ответственным за ИБ (2 недели)
• Запрос или разработка внутренних нормативных документов организации в направлении ИБ (3 недели)
• Составление отчета по результатам аудита и рекомендации по повышению уровня соответствия определённому стандарту (1 неделя)

Результат выполнения работ

По окончании работ Заказчику предоставляется отчет, содержащий информацию по уровню защиты информации в масштабах анализируемого бизнес-процесса организации, оценку рисков таких бизнес-процессов и рекомендации по устранению выявленных недостатков.

Почему RTM Group?

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Аудиты проводятся экспертами обладающими большим опытом проведения оценки соответствия по 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты