Лишь за последний год в стране было зарегистрировано порядка 800 тыс. киберпреступлений. Технические возможности и аппетиты злоумышленников только растут. Достаточно сказать, что за шесть лет сумма выкупа, который приходится платить компаниям, пострадавшим от вредоносных программ-вымогателей возросла практически в десять раз до 15 млн руб. Поэтому надеяться, что волна интернет-преступлений обойдет стороной, пустой номер. Представители хакерской братии, которые занимаются как банальными мошенничествами и хищениями, так и шпионажем, целенаправленно ищут уязвимые системы, чтобы реализовать свои черные замыслы. С чего надо в сложившихся условиях надо начинать укрепление оборонительных позиций своего предприятия или организации? С аудита информационной безопасности. Понятно, что внешний аудит предполагает независимую оценку и здесь компании «Альфа-Развитие», есть, что предложить своим клиентам.
В целом аудит информационной безопасности весьма многогранное понятие. Но если брать классический прикладной аспект, то необходимо решить две первоочередные задачи. Во-первых, сделать «срез» текущего состояния дел, а, во-вторых, выработать детальный план исправления ситуации.
Цели максимально конкретны. Необходимо произвести оценку рисков и определить, какие угрозы представляют угрозу для информационной системы. Естественно, предстоит выявить все накопившиеся уязвимости. Это касается абсолютно всех ресурсов и приложений, которые используются на предприятии. При этом тщательного расследования потребует каждый инцидент, уже имевший место. Если какие-то данный уже были скомпрометированы, придется раскрутить всю «цепочку» предшествовавших событий. Как происходят утечки информации, нет ли припрятанных «сюрпризов» в оборудовании и программном обеспечении – на эти и многие другие вопросы найдут ответы специалисты.
Особое направление работы – соответствие внутренних процессов организации законодательным нормам. В стране серьезно усилена ответственность за нарушения правил, регламентирующих защиту информации. И пренебрежение ими теперь чревато более чем серьезными штрафами, размер которых в некоторых случаях может достигать десятков миллионов рублей.
Параллельно проводится оценка существующей системы доступа и уровня обученности сотрудников. Очень важно, чтобы инструкции по вопросам информационной безопасности были для них руководством к действию, а не профанацией.
Что касается времени, которое необходимо на проведение аудита, то необходимо понимать, что это совсем не то же самое, что проверка паспорта. Но процесс можно ускорить уже на этапе подготовки, если для наших экспертов без лишних бюрократических проволочек будут созданы все необходимые условия для начала работы. Они соберут и проанализируют информацию, после чего предоставят отчет с итогами аудита, включающий выявленные недочеты, выводы и подробные рекомендации.