Общие положения
Основным из видов проверки уровня ИБ в организациях РФ является аудит ИБ. Мировой опыт в области обеспечения ИБ определяет аудит ИБ как важнейший процесс в непрерывном цикле процессов менеджмента ИБ организации. Аудит информационной безопасности позволяет реализовать принцип обязательности контроля и представляет собой систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью:
- · оценки степени достижения стратегических целей в области ИБ
- · оценки соответствия процедур управления ИБ и применяемых мер ИБ внутренним и внешним требованиям (Требования законодательства, требования основополагающих документов и отраслевых стандартов, требования внутренних нормативно-методических документов Корпорации и ее предприятий/организаций);
- · выявления уязвимостей ИБ и потенциальных областей риска;
- · оценки эффективности имеющихся мер обеспечения ИБ и процессов управления ИБ;
- · выявления случаев нарушения информационной безопасности;
- · поиска возможностей для улучшения и повышения эффективности процессов обеспечения ИБ.
Внутренние аудиты проводятся в Корпорации и ее предприятиях/организациях в соответствии с годовым планом аудитов. План аудитов ИБ формируется на ежегодной основе, согласовывается с его непосредственными участниками (как с проверяющими так и с проверяемыми) и утверждается Комитетом по информационной безопасности Корпорации.
Организацию и проведение внутренних аудитов осуществляют Внутренние аудиторы, которые назначаются из состава сотрудников Департамента внутреннего контроля и аудита Корпорации, Департамента защиты конфиденциальной информации Корпорации либо, из Менеджеров ИБ или сотрудников служб ИБ предприятий/организаций. При выборе этом должен соблюдаться принцип независимости Аудиторов.
С целью повышения эффективности Аудита ИБ отдельных случаях возможно проведение внеплановых проверок. Внеплановая проверка может быть инициирована Департаментом внутреннего контроля и аудита Корпорации, либо Департаментом защиты коммерческой тайны по согласованию с Департаментом внутреннего контроля и аудита.
Областью аудита является исследование ИС транспортного предприятия РФ соответствия требованиям безопасности.
Основной целью аудита информационной безопасности является:
- -Оценка текущего состояния ИБ компании, а также адекватность поставленным целям и задачам бизнеса для увеличения эффективности и рентабельности экономической деятельности компании
- -Анализ текущего уровня ИБ
- -Анализ соответствия выбранных средств ЗИ поставленным целям и задачам бизнеса
- -Анализ экономической эффективности системы ЗИ
- -Оценка и прогноз рисков ИБ
- -Формирование единого взгляда на проблемы безопасности среди специалистов разного профиля