Экспресс-аудит проводиться компаниями для определенных целей. В зависимости от целей аудита определяется перечень выполняемых работ. Стоит отметить, что экспресс аудит не предполагает составление технического задания, так определяются только цели.
К целям относятся:
Сбор данных для структурирования системы
Оценка работы IT отдела
Оценка бюджета IT системы
Анализ безопасности
Планирование дорожной карты по устранению выявленных проблем
Простыми словами экспресс-аудит позволяет оценить, все в компании соответствует заявленным требованиям, налажены ли все информационные процессы.
Большой популярность пользуется комплексный экспресс-аудит, включающий в себя:
Аудит инфраструктуры
Аудит сетей связи
Аудит программного обеспечения
Аудит защищенности сети
Проверка знаний сотрудников
Финальной стадией аудита является предоставление отчёта. Отчёт содержит информацию о проделанной работе и рекомендации для устранения недочётов.
Всё больше коммерческих организаций задумываются о безопасности ресурсов используемых внутри компании. К ним относятся программы, которыми пользуются сотрудники, сетевое оборудование и другие системы. В этом вопросе не обойтись без основательной проверки информационной безопасности.
Если руководство компании решило провести аудит информационной безопасности, то следует определить цели аудита:
Выявление уязвимых мест сетевой инфраструктуры
Актуальность используемых баз данных антивирусных систем
Разграничение доступа пользователей к системе хранения данных
Защищенность системы от внешних угроз
Защищенность системы от внутренних угроз
Время реагирование на угрозы информационной безопасности
Это далеко не весь перечень целей аудита информационной безопасности. Весь перечень предоставляется Заказчиком в техническом задании. Если Заказчик испытывает сложности в формировании ТЗ, то организация-исполнитель может помочь в формировании ТЗ. Тем самым сокращается время от поступления запроса до начала проведения работа по аудиту.
Обязательным пунктом ТЗ является инструменты, которыми проводиться аудит. Для госучреждений перечень инструментов используемых IT аудиторами, регламентировано надзорными органами. Такие компании должны иметь лицензии ФСБ И ФСТЭК.
Завершает аудит отчёт, который содержит описание инструментов, которыми проводился аудит, отчёты реестра лицензий, сертификатов и цифровых подписей. Самый важный пункт отчёта – это рекомендации по устранению нарушений информационной безопасности. Используя рекомендации возможен расчёт бюджета на устранение уязвимости сети и информационной системы в целом.
Когда компания или бюджетная организация, в бизнес-процессах, обрабатывает персональные данные, тогда такая организация попадает под действие 152 Федерального Закона, в соответствии с которым должна хранить и обрабатывать персональные данные.
Это могут быть различные отрасли бизнеса: финансы, услуги, торговля, добыча ресурсов, все сферы попадают под этот закон. Если компания устраивает к себе на работу сотрудников, получая от них персональные данные, обрабатывает информацию клиентов, такая ситуация так же требует соответствия 152 ФЗ.
Компания выполняющая аудит должна выполнить:
Комплексный аудит процессов обработки персональных данных, документов и информационных систем персональных данных.
Оценить правовую основу договоров, на которых персональные данные передаются контрагентам, и выявляем возможные риски.
Подготовить комплект документов по персональным данным и уведомление в Роскомнадзор.
Выявить факт соответствия или несоответствия бизнес-процессов федеральному закону №152-ФЗ
Последним этапом аудита на соответствие 152 ФЗ «О персональных данных» является отчёт. В отчёте даются рекомендации по устранению выявленных нарушений. Возможное проектирование и внедрение недостающих средств защиты информации, их интеграция в существующую инфраструктуру компании.