Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная РУБРИКАТОР Аудит безопасности и контроль защищенности Пример перечня исходных данных аудита ИБ
Protectiva Compliance Manager
Навигация
 

Пример перечня исходных данных аудита ИБ

Операции с документом
Перечень исходных данных, предоставляемых Заказчиком для аудита ИБ (документы и данные из настоящего перечня предоставляются в случае их наличия).

Сведения о бизнес-процессах:

  1. Общее описание миссии организации, области деятельности, основных направлений ведения бизнеса, основных задач в рамках этих бизнес-направлений
  2. Описание основных (внешних) и вспомогательных (внутренних, поддерживающих) бизнес процессов (в произвольной форме).
  3. Рабочие инструкции и процедуры (выполняемые в рамках бизнес процессов) для бизнес подразделений
  4. Схемы бизнес-процессов
  5. Организационная структура персонала (положения о подразделениях, схемы организационной структуры, должностные инструкции, прочие документы, определяющие распределение ролей и ответственности)
  6. Примеры типовых договоров с работниками, клиентами, поставщиками и контрагентами
  7. Документы, подтверждающие прохождение обучения работников по вопросам защиты информации

Отчеты об аудитах и проверка состояния ИБ:

  1. Отчеты об ИТ и ИБ аудитах (внешних и/или внутренних)
  2. Отчеты о результатах анализа защищенности сетей и приложений
  3. Отчеты о результатах тестов на проникновение
  4. Отчеты о результатах оценки соответствия требованиям стандартов и нормативных документов в области ИБ

Внутренние организационно-распорядительные документы в области ИБ:

  1. Планы и процедуры обеспечения информационной безопасности, а также протоколы проверок состояния ИБ и совещаний по вопросам ИБ, протоколы расследования инцидентов ИБ
  2. Решения руководства (приказы, распоряжения), касающиеся вопросов защиты информации
  3. Внутренняя организационно-распорядительная документация по обеспечению информационной, физической и экономической безопасности (политики, концепции, положения, внутренние стандарты, регламенты, процедуры, инструкции и т.п.)
  4. Внутренняя техническая документация по ИБ (технические и рабочие проекты систем защиты информации, спецификации, схемы и описания основных технических решений и т.п.)

Данные инвентаризации ИТ-активов:

  1. Перечень (реестр, описание) используемого ПО (системное ПО и прикладные системы (самописные и заказные), офисные и бизнес приложения)
  2. Перечень (реестр, описание) используемых технических средств (серверы и рабочие станции, телекоммуникационное оборудование, периферийное оборудование)
  3. Перечень (реестр, описание) вспомогательных систем (электропитание, кондиционирование, пожарно-охранные системы, системы видеонаблюдения и т.д.)
  4. Перечень (реестр, описание) информационных активов (информация, данные, документы, представленные в различных формах на различных типах носителей (электронных и/или бумажных))
  5. Перечень (реестр, описание) помещений (серверные комнаты, основные и резервные ЦОДы, кабинеты, переговорные и т.п.)
  6. Перечень (реестр, описание) каналов и средств связи (активное сетевое оборудование, АТС, каналы подключение к Интернет, к внешним компьютерным и телефонным сетям и т.п.)
  7. Перечень (реестр, описание) вендоров, поставщиков и провайдеров ИКТ сервисов
  8. Перечень (реестр, описание) ИТ процессов и сервисов (в произвольной форме)
  9. Описание информационных систем и подсистем, а также основных задач, решаемых в этих системах
  10. Структурная (логическая) схема корпоративной сети
  11. Структура управления ИКТ сервисами, распределение ролей и ответственности (схема организационной структуры)
  12. Документация, регламентирующая деятельность ИТ и ИБ подразделений
  13. Группы пользователей информационных систем (внутренние и внешние)
  14. Эксплуатационная документация на используемые средства защиты информации и бизнес-приложения

Документы, касающиеся использования СКЗИ:

  1. Акты ввода СКЗИ в эксплуатацию. Документы, содержащие описание соответствия размещения и монтажа СКЗИ требованиям документации на СКЗИ
  2. Журнал поэкземплярного учета СКЗИ
  3. Порядок организации контроля за соблюдением условий использования СКЗИ
  4. Договора на приобретение СКЗИ
  5. Лицензии и сертификаты на используемые СКЗИ (или разрешения ФСБ на использования СКЗИ)
  6. Эксплуатационная документация на СКЗИ
  7. Акты ввода СКЗИ в эксплуатацию. Документы, содержащие описание соответствия размещения и монтажа СКЗИ требованиям документации на СКЗИ
 
Авторство: GlobalTrust

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2019 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex