Аудит информационной безопасности - Национальная Ассоциация Комплаенс Комплаенс в сфере телекоммуникаций и информационных технологий Телеком и IT аудит Аудит может проводиться для всей IT-инфраструктуры или отдельных процессов, сервисов и информационных систем. Основные этапы аудита информационной безопасности: 1. Комплексный анализ Комплексный анализ представляет собой специализированное изучение различных аспектов рынка телекоммуникаций и информационных технологий, законодательства и отдельных проектов. Комплексный анализ позволяет: • проверить организационные, технологические и технические решения с целью установления реальной степени их соответствия действующему законодательству и разрешительным документам; • проверить условия и требования тендеров на оказание услуг связи, поставку телекоммуникационного оборудования и ПО; 1/4 Аудит информационной безопасности - Национальная Ассоциация Комплаенс • определить уровни, на которых предстоит решать задачи; • определить суть проблемы и "болевые точки"; • определить способы и подходы решения задач; • выявить и оценить риски, которые могут возникнуть в ходе реализации в договорной деятельности компании при взаимодействии с операторами связи и поставщиками оборудования; • планировать дальнейшую работу. В результате комплексного анализа будут предложены наиболее рациональные варианты реализации проекта. 2. Планирование В процессе реализации этапа планирования учитываются все нюансы, выявленные на этапе изучения и анализа, что позволяет максимально сократить сроки реализации, свести к минимуму непредвиденные затраты и оптимизировать процессы реализации. результатом второго этапа является детальный план-график реализации проекта, в котором отражены все этапы работ с учетом: • оценки сроков реализации; • оценки финансовых затрат; 2/4 Аудит информационной безопасности - Национальная Ассоциация Комплаенс • оценки прочих ресурсов 3. Реализация проекта Реализация является ключевым этапом. Вы получаете сопровождение и контроль реализации проектов, включая представление интересов при взаимодействии с госорганами, подрядчиками и контрагентами. Итоговый результат как для новых, так и для действующих телеком и IT проектов - это сокращение финансовых и временных затрат, снижение рисков и оптимизация проектов в целом. Что получает клиент по итогам аудита информационной безопасности? • Повышается устойчивость бизнеса (IT-инфраструктуры) по отношению к угрозам информационной безопасности, а также качество IT-сервисов в части их информационной безопасности благодаря: - оценке рисков информационной безопасности и разработке стратегии управления рисками; - оценке соответствия стратегии компании стратегии развития системы информационной безопасности (СИБ); - оценке эффективности работы системы информационной безопасности. 3/4 Аудит информационной безопасности - Национальная Ассоциация Комплаенс • Улучшается имидж компании в глазах инвесторов и клиентов, повышается внутрикорпоративная культура и зрелость организации благодаря: - оценке зрелости IT-процессов компании; - разработке стратегии повышения уровня зрелости IT-процессов; - оценке преимуществ, предоставляемых IT; - разработке стратегии оптимизации затрат на IТ. Аудит информационной безопасности проводится в соответствии с общепринятыми мировыми практиками проведения аудитов информационных систем. При проведении аудита могут использоваться международные и российские стандарты и методологии в области информационных технологий и информационной безопасности: ISO 27001 (ГОСТ Р ИСО/МЭК 27001-2006), ISO 27002 (ГОСТ Р ИСО/МЭК 17799-2005), ISO 20000 (ГОСТ Р ИСО/МЭК 20000-2010), NIST 800-30, NIST 800-53, СObIT 4.1, ITILv3. 4/4