Комплаенс-аудит информационной безопасности

Комплаенс-аудит информационной безопасности

Оценка соответствия принятых в вузе практик обеспечения информационной безопасности требованиям законодательства и стандартам. Формирование системного представления о состоянии ключевых направлений защиты информации в вузе и подготовка рекомендаций в соответствии с требованиями действующего законодательства.

Об услуге

Комплаенс-аудит ключевых направлений защиты информации проводится в целях оценки текущего состояния дел в области информационной безопасности, выявления барьеров (проблем, «узких мест»), затрудняющих эффективное применение мер защиты, и формирования рекомендаций по их преодолению. Сопутствующей целью является разработка рекомендаций по совершенствованию и модернизации процессов управления защитой информации с возможностью создания стратегической программы развития информационной безопасности.

Как проходит комплаенс-аудит

В процессе обследования применяются такие методы как анкетирование и интервьюирование.

Этапы работы

  1. Подготовка к аудиту

    Назначение ответственных лиц по каждому направлению обследования из числа работников заказчика. Сбор исходных данных, заполнение предварительной экспресс-анкеты, планирование работы.

  2. Обследование и анализ

    Проведение интервью, анализ внутренней документации и полученных исходных данных. Обследование проводится как дистанционно, так и с выездом команды специалистов в образовательную организацию для проведения очного интервью по бизнес-процессам.

  3. Отчёт

    Подготовка отчёта по результатам проведённого обследования, сбор отдельной уточняющей информации в процессе подготовки отчёта. Разработка рекомендаций по устранению несоответствий нормативным требованиям.

Структура экспресс-анкеты:

  1. Общие вопросы
  2. Персональные данные
  3. Средства криптографической защиты информации
  4. Критические информационные инфраструктуры
  5. Коммерческая тайна

Каждый из перечисленных элементов представляет собой отдельный блок вопросов по соответствующей тематике и может быть заполнен независимо друг от друга различными должностными лицами.

Структура отчёта:

  1. Общая часть: цели и задачи обследования.
  2. Общие характеристики состояния информационной безопасности в вузе.
  3. Результаты обследования по ключевым направлениям защиты информации с оценкой состояния по каждому направлению:
    • Персональные данные (мероприятия, реализуемые согласно требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»).
    • Средства криптографической защиты информации (наличие и состав документации в отношении эксплуатации СКЗИ, условия хранения, учёта и использования СКЗИ, применение средств электронной подписи).
    • Критические информационные инфраструктуры (мероприятия, реализуемые согласно требованиям Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»).
    • Коммерческая тайна (мероприятия, реализуемые согласно требованиям Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне»).
  4. Рекомендации по дальнейшим шагам в области информационной безопасности вуза.

Сроки

Проведение аудита занимает от одного до двух месяцев, в зависимости от масштаба образовательной организации.

Стоимость

По запросу, в зависимости от объемов работ, определяемых на этапе подготовки к аудиту.

Результаты аудита

По результатам аудита образовательная организация получает отчёт, включающий:

  • оценку состояния дел в области информационной безопасности;
  • «узкие» места, проблематику по ключевым процессам;
  • рекомендации по дальнейшим шагам в области защиты информации.

По итогам аудита также будут подготовлены:

  • дорожная карта по приведению в соответствие с действующим законодательством;
  • рекомендуемый перечень необходимых организационно-распорядительных документов в области информационной безопасности (положения, инструкции, политики, приказы, акты).

Расскажите о своей задаче и мы
перезвоним, чтобы обсудить детали