Предпроектное обследование. 
Аудит информационной безопасности транспортного предприятия

Общие положения

Основным из видов проверки уровня ИБ в организациях РФ является аудит ИБ. Мировой опыт в области обеспечения ИБ определяет аудит ИБ как важнейший процесс в непрерывном цикле процессов менеджмента ИБ организации. Аудит информационной безопасности позволяет реализовать принцип обязательности контроля и представляет собой систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью:

• · оценки степени достижения стратегических целей в области ИБ
• · оценки соответствия процедур управления ИБ и применяемых мер ИБ внутренним и внешним требованиям (Требования законодательства, требования основополагающих документов и отраслевых стандартов, требования внутренних нормативно-методических документов Корпорации и ее предприятий/организаций);
• · выявления уязвимостей ИБ и потенциальных областей риска;
• · оценки эффективности имеющихся мер обеспечения ИБ и процессов управления ИБ;
• · выявления случаев нарушения информационной безопасности;
• · поиска возможностей для улучшения и повышения эффективности процессов обеспечения ИБ.

Внутренние аудиты проводятся в Корпорации и ее предприятиях/организациях в соответствии с годовым планом аудитов. План аудитов ИБ формируется на ежегодной основе, согласовывается с его непосредственными участниками (как с проверяющими так и с проверяемыми) и утверждается Комитетом по информационной безопасности Корпорации.

Организацию и проведение внутренних аудитов осуществляют Внутренние аудиторы, которые назначаются из состава сотрудников Департамента внутреннего контроля и аудита Корпорации, Департамента защиты конфиденциальной информации Корпорации либо, из Менеджеров ИБ или сотрудников служб ИБ предприятий/организаций. При выборе этом должен соблюдаться принцип независимости Аудиторов.

С целью повышения эффективности Аудита ИБ отдельных случаях возможно проведение внеплановых проверок. Внеплановая проверка может быть инициирована Департаментом внутреннего контроля и аудита Корпорации, либо Департаментом защиты коммерческой тайны по согласованию с Департаментом внутреннего контроля и аудита.

Областью аудита является исследование ИС транспортного предприятия РФ соответствия требованиям безопасности.

Основной целью аудита информационной безопасности является:

• -Оценка текущего состояния ИБ компании, а также адекватность поставленным целям и задачам бизнеса для увеличения эффективности и рентабельности экономической деятельности компании
• -Анализ текущего уровня ИБ
• -Анализ соответствия выбранных средств ЗИ поставленным целям и задачам бизнеса
• -Анализ экономической эффективности системы ЗИ
• -Оценка и прогноз рисков ИБ
• -Формирование единого взгляда на проблемы безопасности среди специалистов разного профиля