Аудит информационной безопасности — это комплексная оценка текущего уровня защищённости информационных систем организации, а также соответствия их функционирования требованиям законодательства Российской Федерации в области защиты информации.

Цели и задачи аудита

Аудит проводится в двух основных форматах:

1. Для действующих систем защиты информации — с целью оценки эффективности уже реализованных мер защиты и актуальности организационно‑распорядительной документации.

2. В качестве первого этапа работ по созданию новой системы защиты информации — с целью формирования технического задания на её проектирование и внедрение.

Результаты аудита

В зависимости от целей проведения, результатами аудита становятся:

  • детальная оценка текущего состояния системы защиты информации и сопутствующей организационно‑распорядительной документации (для действующих систем);
  • техническое задание на создание системы защиты информации (при подготовке к проектированию новой системы).

Этапы проведения аудита

Аудит информационной безопасности включает следующие ключевые этапы:

1. Инвентаризация информационных активов и изучение структуры организации — выявление и учёт:

  • информационных ресурсов и данных;
  • ИТ‑инфраструктуры и программно‑аппаратных средств;
  • ключевых бизнес‑процессов, использующих информацию;
  • организационной структуры, отвечающей за обработку и защиту информации.

2. Анализ организационно‑распорядительных документов и локальных нормативных актов — проверка:

  • наличия и актуальности политик информационной безопасности;
  • регламентов управления доступом и обработки информации;
  • инструкций по реагированию на инциденты;
  • иных внутренних документов, регламентирующих защиту информации.

3. Анализ рисков и исследование актуальных угроз — идентификация и оценка:

  • потенциальных угроз безопасности информации;
  • уязвимостей информационных систем;
  • вероятных сценариев реализации угроз;
  • возможного ущерба от нарушений информационной безопасности.

4. Оценка уровня защищённости информации — проведение проверок в соответствии с методиками, утверждёнными:

  • нормативными документами Правительства РФ;
  • требованиями ФСТЭК России (в т. ч. приказами № 17, № 21, № 239);
  • рекомендациями ФСБ России и иных регуляторов.

5. Оценка соответствия требованиям регуляторов — проверка выполнения норм и правил, установленных:

  • ФСТЭК России (защита информации в государственных информационных системах, критическая информационная инфраструктура);
  • ФСБ России (использование криптографических средств, защита персональных данных);
  • Роскомнадзором (соблюдение требований к обработке персональных данных, уведомление об инцидентах);
  • иными уполномоченными органами в рамках их компетенции.

Нормативная база

При проведении аудита учитываются требования следующих основных нормативных актов:

  • Федеральный закон от 27.07.2 packed 2006 № 149‑ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных»;
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных…»;
  • приказы ФСТЭК России № 17, № 21, № 239;
  • требования ФСБ России по использованию криптографических средств защиты;
  • иные действующие нормативные документы в сфере информационной безопасности.

По итогам аудита формируется отчёт, содержащий:

  • описание текущего состояния защищённости информационных систем;
  • выявленные несоответствия и уязвимости;
  • рекомендации по устранению недостатков;
  • план мероприятий по повышению уровня информационной безопасности (при необходимости).