ИТ одит на информационната сигурност

 

ИТ одитът на информационната сигурност дава възможност на всяка организация да получи по-добра защита на основните си активи, базирайки се на откритите пропуски и уязвимости в използваните системи. Компетентно изготвеният анализ на намерените по време на одита несъответствия с общоприетите насоки и добри практики в областта на информационната сигурност предоставя основата, на която организациите могат да стъпят за предприемане на последващи коригиращи и превантивни действия.

 

Одитът на информационната сигурност дава обективна оценка на това до каква степен усилията на организацията и въведените от нея контроли са ефективни срещу съществуващи и възникващи заплахи. Одитът трябва да потвърди, че основните рискове за организацията са идентифицирани, наблюдавани и контролирани, както и че ръководните кадри и служители имат способността да разпознават и реагират на нови заплахи и рискове.

Целта на независимо проведения одит е да покаже до каква степен възприетите от организацията стратегически и оперативни решения и механизми за защита на данните отговарят на целите поставени от ръководството. Добре извършеният одит на информационната сигурност спомага за добавянето на стойност и увеличава доверието към организацията, като същевременно осигурява покриване на изискванията на регулаторните органи и стандарти за информационна сигурност.

 

Анализът на информационната сигурност разглежда физическата и логическа защита на активите и данните, администрацията и нивата на достъп, политиките по информационната сигурност, както и обезпечаването на непрекъсваемостта на дейността и планирането на действията при извънредни ситуации, бедствия и аварии. Одитът на информационната сигурност оценява текущото състояние на организацията по отношение защитата на данните към момента на извършване. Методологията е основана на риск-базиран подход и спазва изискванията на ISACA. За основа при извършването на оценката се ползват добрите практики за информационна сигурност и стандартите ISO 27001/2/5, PCI DSS, COBIT, NIST, OWASP и др.

 

Фази на провеждане

Фаза I - Планиране

  • Изготвяне на първоначален одит план, определяне на екип и разпределяне на роли и отговорности
  • Предварителна среща – запознаване на организацията с базовия план и екипа за одит. Научаване за основните стратегии и цели по информационна сигурност, възприети от организацията
  • Идентифициране и оценка на риска, свързан с основните дейности и активи на организацията, въз основа на която ще се планира и проведе одитът
  • Преглед и корекция, ако се налага, на одит плана вследствие на извършената оценка на риска

Фаза II – Изпълнение

  • Оценка на ефикасността на внедрените от организацията контроли за постигане на информационна сигурност
  • Оценка на комуникационната и мрежова сигурност
  • Оценка на сигурността на основните и web-базирани приложения, използвани от организацията
  • Оценка на сигурността на базите данни
  • Оценка на сигурността на основните сървърни комплекси и предоставяните от тях услуги
  • Анализ на използваните механизми за сигурност на крайните точки и отделни работни станции
  • Сканиране за уязвимости и потенциални заплахи за сигурността на информацията на достъпните през интернет системи и приложения

Фаза III – Докладване

Изготвяне и предаване на цялостен и окончателен доклад, обхващащ всички констатации, направени по време на одита, и включващ възможни мерки за подобрение.

Резултат

ИТ одитът на информационната сигурност приключва с изготвянето и предаването на цялостен доклад, съдържащ всички направени констатации по време на одита и възможните мерки за подобрение. Финалният доклад включва подробно описание на заключенията след направените анализи на сигурността по отделните системи. Като допълнение към доклада се посочват и препоръки за подобряване на сигурността и оптимизиране на информационната среда.

 

Ползите за организацията от пълноценно извършения ИТ одит на информационната сигурност са в следните аспекти:

  • Компетентно изготвеният анализ на актуалното състояние дава основата, върху която да се планира и осигури по-добра и навременна активна защита на основните информационни активи
  • Препоръките от одита спомагат за изграждането на системен подход и точно приоритизиране при проектирането, планирането и бюджетирането на необходимите промени по информационната инфраструктура
  • Финалният доклад служи за съставяне на конкретна работна програма за повишаване сигурността на информацията, отчитайки откритите пропуски и уязвимости в използваните комуникационни и информационни системи
  • Одитът създава предпоставки да се постигне по-пълно съответствие с добрите практики и нормативни изисквания в областта на информационната сигурност
  • Предприетите действия за отстраняване на установените от одита пропуски по отношение на сигурността спомагат за поддържането на по-надеждна комуникация с всички заинтересовани страни и за подобряване на сигурността при работа с партньори и други дружества.