ERP с быстрым результатом
1С-Отчетность: Добро пожаловать! Подключись до 31.12.2016 и получи скидку 50% на годовую лицензию!
Дарим отчет для пользователей 1С:Бухгалтерии 8.3
Абонентское
ИТ-обслуживание
Корпоративная почта или IP-телефония в подарок!
Аренда сервера 1С
в облаке
Работайте в 1С удаленно с экономией до 70%!

Аудит информационной безопасности – независимая экспертная оценка защищенности информационной системы компании с учетом таких факторов как персонал, процессы и технологии. Основной целью аудита является определения соответствия применяемых в организации защитных мер выбранным критериям информационной безопасности.

Результат аудита – это анализ соответствия требований бизнеса текущему уровню зрелости ИТ-инфраструктуры, выраженный в виде отчета.

Наш подход к проведению аудита базируется на методологии COBIT, основная идея которой состоит во взаимодействии бизнеса и ИТ: выделение показателей эффективности и модели зрелости для оценки достижений (COBIT 4.1), использование модели способностей процессов и их эффективности (COBIT 5).

COBIT 5 основан на пяти принципах руководства и управления ИТ на предприятии, изображенных на рисунке:

Рекомендуемые решения

Облако с защитой от утечек данных


Защищенный сервер
за границей


Рисунок 1 - Принципы Cobit

Принципы, на которых основан COBIT 5


Принцип 1: Соответствие потребностям заинтересованных сторон.

Предприятия существуют для того, чтобы создавать ценность для заинтересованных сторон, путем поддержания баланса между получением выгоды и оптимизацией рисков и ресурсов. COBIT 5 описывает все необходимые процессы и другие факторы влияния, которые поддерживают создание бизнес-ценности при помощи ИТ. Поскольку задачи, стоящие перед каждым предприятием, могут быть различными, можно модифицировать модель COBIT 5 так, чтобы эти рекомендации подходили к конкретному контексту данной организации. Сделать это можно с помощью каскадирования высокоуровневых целей предприятия до уровня управляемых и конкретных ИТ-целей и связанных с ними процессов и практик.

Принцип 2: Комплексный взгляд на предприятие.

COBIT 5 встраивает руководство ИТ в руководство предприятием в целом, то есть:

Рассматривает все функции и процессы предприятия. COBIT 5 нацелен не только на реализацию «ИТ-функции», но рассматривает информацию и связанные с ней технологии как активы предприятия, которыми следует управлять, как и любыми другими активами.

Исходит из того, что факторы влияния руководства и управления, связанные с ИТ, работают на всем предприятии и по всей цепочки создания ценности, и включают в себя все внутренние и внешние аспекты и роли, которые имеют отношение к руководству и управлению ИТ.

Принцип 3: Применение единой интегрированной методологии.

Существует множество связанных с ИТ сводов знаний и стандартов, посвященных отдельным аспектам ИТ-деятельности. В COBIT 5 реализовано соответствие этим внешним сводам и стандартам. Таким образом, методология COBIT 5 обеспечивает интеграционный подход для организации руководства и управления ИТ на предприятии.

Принцип 4: Обеспечение целостности подхода.

Эффективное и рациональное руководство и управление ИТ на предприятии требует целостного подхода, с учетом многих взаимосвязанных компонентов. В COBIT 5 описан набор факторов влияния, которые обеспечивают внедрение системы руководства и управления ИТ на предприятии. Факторы влияния – это сущности, которые способствуют решению задач предприятия. Методология COBIT 5 описывает семь видов факторов влияния:

  • Принципы, политики и подходы.
  • Процессы.
  • Организационная структура.
  • Культура, этика и поведение.
  • Информация.
  • Услуги, инфраструктура и приложения.
  • Персонал, навыки и компетенции.

Принцип 5: Разделение руководства и управления.

Методология COBIT 5 проводит четкую границу между руководством и управлением. Эти две дисциплины включают в себя разные виды деятельности, требуют разных организационных структур и служат разным целям. В понимании COBIT 5, разница между руководством и управлением заключается в следующем:

Руководство

Руководство обеспечивает уверенность в достижении целей предприятия, путём: сбалансированной оценки потребностей заинтересованных сторон, существующих условий и возможных вариантов; установления направления развития через приоритизацию и принятие решений; постоянного мониторинга соответствия фактической производительности и степени выполнения требований установленным направлению и целям предприятия.

В большинстве случаев обязанности по руководству на предприятии выполняет совет директоров, возглавляемый председателем совета директоров. Некоторые обязанности могут быть делегированы специальным организационным единицам соответствующего уровня – особенно, в крупных организациях.

Управление

Управление заключается в планировании, построении, выполнении и отслеживании деятельности, в соответствии с направлением, заданным органом руководства, для достижения целей предприятия.

В большинстве случаев, обязанности по управлению на предприятии выполняют исполнительные директора, возглавляемые генеральным директором (CEO).

Что практически может дать отчет по аудиту


Отчет предоставляет полную картину информационной системы компании:

  • Полную картину серверов, рабочих станций, мобильных устройств, сетевого оборудования, какие роли исполняют сервера, какие мощности и ресурсы выделены под сервера, что облегчает инвентаризацию и вносит ясность в капиталовложения, позволяет прогнозировать и эффективно корректировать бюджет.

  • Заказчик видит все участки, объекты и каналы передачи информации в компании, схему передачи, обработки и хранения информации в компании, может управлять информацией в бизнес-процессах, организовывать защиту передачи данных, безопасное хранение и резервное копирование коммерческой информации.

Отчет описывает программное обеспечение, используемое в компании:

  • Заказчик видит все программное обеспечение (ПО), установленное в компании, видит программы, использующиеся в работе, принимает решение об экономии средств на программное обеспечение, отказавшись от дорогостоящих программ или заменив их бесплатными аналогами. Располагая подобной информацией можно корректно оценить необходимость финансовых вложений в ПО, оптимизировать затраты, подобрав оптимальную схему лицензирования.

Отчет описывает информационные инструменты и бизнес-процессы компании:

  • Производиться анализ нормативно-правовой базы, внутренних документов и регламентов принятых в компании по работе с коммерческой информацией.

  • Составляется карта основных бизнес-процессов в работе ИТ, напрямую влияющие на мероприятия по защите информации.

  • Выделяется основные проблемы при взаимодействии ИТ и бизнеса, присваивается уровень модели зрелости ИТ компании, определяются способности процессов ИТ.

  • Исследуются информационные инструменты, определяется их эффективность и предлагается оптимизировать их или заменить на более действенные.

  • Позволяет понять уровень защищенности от кражи своих платежных инструментов, такие как клиент-банк.

  • Позволяет повысить производительность и гибкость инструментов бухгалтерского и управленческого учета, таких как 1С.

  • Расширяет функциональность и контроль инструментов внутреннего документооборота и отработки поручений.

  • Позволяет внедрить новые инструменты для повышения производительности труда и облегчения выполнения задач в коллективной деятельности, например, корпоративные средства общения (защищенные телефония и обмен текстовыми сообщениями).

Рекомендации отчета основываются на российских и международных стандартах в области информационных технологий:

Соответствие ГОСТам обязательно для бюджетных и некоторых коммерческих организаций, позволяет выполнять требование российского законодательства. Соответствие стандартам организаций ISO и IEC «семейства» 27000 говорит не только о выполнении требований российского законодательства, но и следовании новейшим международным рекомендациям в области безопасности.

Рекомендации CobiT ликвидируют разрыв в понимании информационных технологий между участниками бизнес-процессов, такими как топ-менеджеры, ИТ-директора, ИТ-специалисты и аудиторы.


Рисунок 2 - Схема проведения аудита

Отчет – результат аудита и инструмент в руках заказчика


Посмотрите пример отчета по аудиту информационной безопасности. Отчеты и рекомендации выложены в PDF формате. Чтобы скачать отчет, щелкните по значку PDF-документа слева.

Документ содержит полную картину состояния информационной системы компании с найденными проблемами и рекомендациями по их устранению.


Почему именно мы:


Большой опыт внедрения информационных систем

EFSOL - системный интегратор, специализируется на комплексной автоматизации предприятий. С 2004 года компания внедряет информационные инструменты на предприятиях различных отраслей и форм собственности; это подтверждает, что наши специалисты работают с информационными системами любой сложности.


Практическая направленность аудита

Мы проводим аудит не ради оценки соответствия стандартам, а с конкретной задачей понять цели бизнеса и привести в соответствие этим целям инструменты ИТ.


Гибкость

Мы не придерживаемся жестких шаблонов проведения аудита, а строим свою работу, исходя из целей заказчика, которые могут быть очень разнообразными.


Универсальность

Мы не отталкиваемся от какого-то одного стандарта. Мы собираем лучшее из международных и национальных стандартов, науки управления качеством, практических требований и опыта — всё, что имеет отношение к бизнес-целям.


Работаем с бюджетными решениями

Вопреки распространенному мнению о дороговизне безопасности, мы стараемся подбирать бюджетные решения задач наших клиентов. Решения должны экономить и повышать эффективность бизнеса.



Безопасность бизнеса

обязательные поля









* Антиробот:
Введите ответ

Безопасность бизнеса

Все поля формы выделенные значком * обязательны к заполнению
* Антиробот:
Введите ответ

Безопасность бизнеса

Все поля формы выделенные значком * обязательны к заполнению
* Антиробот:
Введите ответ
Поделиться:

У вас конкретная задача? Свяжитесь с нами прямо сейчас!


Обратный звонок RedConnect