РЕГЛАМЕНТ
АУДИТ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1. Настоящий документ регламентирует деятельность следующих подразделений и должностных лиц:
- - все работники ООО «PTC»;
- - все лица, привлеченные для выполнения работ в интересах Общества по договорам аутсорсинга и подряда.
2. ОПРЕДЕЛЕНИЕ РОЛЕЙ И TEPMИHOB
Наименование роли Определение роли Аудитор Работник, проводящий аудит
В рамках настоящего регламента допускается привлечение
специализированной организации, обладающей
необходимыми лицензиями ФСТЭК России в ФСБ РоссииРаботник Работник ООО «PTC» Руководитель Департамента информационной безопасности Руководитель Департамента информационной безопасности
ООО «PTC» отвечает за подготовку и согласование годовой
программы аудитов на соответствие требованиям
информационной безопасности, организацию
внеплановых аудитов, контроль исполнения плана
устранения недостатков
3. ОПРЕДЕЛЕНИЯ И ТЕРМИНЫ
Наименование терминаСокращение Определение термина
(расшифровка сокращения)Вводимые определения: Инцидент информационной безопасности Одиночное или серия событий информационной безопасности,
которые имеют значительную вероятность нарушения бизнес-
деятельности и угрожающие информационной безопасностиАудит Процедура независимой проверки и оценки отчётности,
данных учёта и деятельности организации, а также системы,
процесса, проекта или продуктаДепартамент информационной
безопасностиДИБ Департамент информационнойбезопасности ООО «PTC» ИТ-инфраструктура Совокупность средств вычислительной техники,
коммуникационного оборудования и линий связи, процедур и
нормативных документов, являющихся основой для
функционирования информационных сервисов, с целью
обеспечения функционирования бизнес-процессов ООО «PTC»Информационная безопасность ИБ Сохранение конфиденциальности, целостности и доступности
информации. В контексте данного документа рассматривается
информация только в цифровом видеИнформационно- телекоммуникационная сеть ИТКС Технологическая система, предназначенная для передачи по
линиям связи информации, доступ к которой осуществляется
с использованием средств вычислительной техникиИнформационная система ИС Совокупность содержащейся в базах данных информации и
обеспечивающих ее обработку информационных технологий
и технических средств
4. НАЗНАЧЕНИЕ И ОБЛАСТЬ ПРИМЕНЕНИЯ
4.1. Настоящий регламент предназначен для применения при проведении аудита процессов обеспечения и управления ИБ, реализованных в ООО «PTC».
4.2. Регламент устанавливает порядок планирования, проведения аудита соответствии требованиям информационной безопасности, оформление результатов проведённого аудита, а также процесса мониторинга за устранением выявленных в ходе аудита нарушений.
5. ЦЕЛИ И ЗАДАЧИ
5.1. Целями проведения аудита информационной безопасности являются:
- оценка соответствия требованиям информационной безопасности, предъявляемым внутренними нормативными документами (далее — ВНД) ООО «PTC» и законодательством РФ в области обеспечения я управления ИБ, защиты информации;
- оценка текущего состояния ИБ;
- разработка рекомендаций, направленных на повышение уровня ИБ.
5.2. Основными задачами аудита информационной безопасности являются:
- сбор и анализ информации о процессах обработки информации, существующей ИТ-инфраструктуре, реализованных мероприятий ИБ и используемых средств обеспечения ИБ;
- выявление наиболее вероятных сценариев реализации угроз информационной безопасности;
- повышения общего уровня НБ ООО «PTC».
6. ЭТАПЫ ПРОВЕДЕНИЯ АУДИТА
Аудит на соответствие требованиям информационной безопасности ООО «PTC» включает в себя следующие этапы:
- Подготовительный этап;
- Проведение аудита;
- Оформление результатов аудита;
- Мониторинг выполнения мероприятий по итогам аудита.
6.1 Подготовительный этап
6.1.1. В срок не позднее чем за 10 рабочих дней до даты начала проведения аудита составляется план проведения аудита информационной безопасности.
План проведения аудита информационной безопасности (далее — План) должен содержать:
- период проведения аудита (указывается точная дата начала и окончания проведения аудита);
- состав аудиторов - указываются ФИО, должность;
- критерии аудита - указываются ВИД ООО «PTC» и нормативные правовые акты на соответствие, которым будет осуществляться аудит информационной безопасности;
- методы проведения аудита (опрос, наблюдение за деятельностью, анализ документов, инструментальный анализ, тестирование персонала);
- желаемый период проведения инструментального анализа защищенности.
6.1.2. При необходимости, дополнительно, аудитором готовятся тесты, для выборочной проверки знаний работников в области ИБ, оборудование, программное обеспечение для проведения инструментального анализа защищенности.
6.2. Проведение аудита.
6.2.1. Опрос и осуществление наблюдения за деятельностью работников.
6.2.2. Выборочное тестирование работников с помощью ранее разработанных тестов.
6.2.3. Контроль устранения замечаний, выданных по результатам ранее проведенных аудитов или иных проверок в области информационной безопасности, включая проверки соответствующих органов власти.
6.2.4. Проведение инструментального анализа защищенности на месте, включая анализ внутренней инфраструктуры с учетом рисков нарушения функционирования информационных систем и ИТ-инфраструктуры, в частности:
- проведение сканирования периферийных офисных устройств (сетевых принтеров, сканеров) с целью анализа уязвимостей, выявления стандартных паролей (паролей по умолчанию), доступности протоколов управления без аутентификации, а также выявления личных точек доступа в локальном пользовательском сегменте;
- проверка взаимной доступности различных сегментов сети (проверка правил и принципов фильтрации графика);
- сбор или изучение логов/конфигураций технических средств ИТ-инфраструктуры, в т.ч. средств защиты информации;
- анализ защищенности беспроводных сетей и поиск нелегитимных точек доступа.
6.2.5. Удаленный инструментальный анализ защищенности (выполняется аудитором ИБ удалённо).
6.2.6. Проведение сканирования, с применением сценария поиска установленного ПО и критических обновлений;
6.2.7. Анализ внешних ІР-адресов на наличие уязвимостей путем сканирования открытых портов и теста на проникновение:
6.2.8. Анализ APM и серверов, согласно полученному списку, на наличие уязвимостей.
6.2.9. Запуск полного антивирусного сканирования узлов, с получением отчета в формате доменное имя APM\Сервер, наименование обнаруженного вредоносного программного обеспечения (вердикт), путь обнаружения вредоносного программного обеспечения. Допускается формирование такого отчета до начала самого аудита на подготовительном этапе.
6.2.10. Иные мероприятия необходимые для аудита соответствии требованиям информационной безопасности.
6.3.1. . Результаты аудита оформляются в виде итогового отчета по аудиту информационной безопасности с указанием выявленных нарушений (несоответствий), рекомендациями по их устранению с указанием сроков (далее — Итоговый отчет).
6.3.2. Итоговый отчёт с выявленными нарушениями (несоответствиями) и рекомендациями направляется в адрес генерального директора ООО «PTC».
6.3.3. Выявленные нарушения (несоответствия) рекомендуется относить к одной из 2 категорий:
- Значительное (значимое) нарушение (несоответствие);
- Незначительное нарушение (несоответствие).
6.3.4. К значительным (значимым) несоответствиям (нарушениям) рекомендуется относить следующие ситуации:
- подтвержден факт утечки информации в силу нарушений информационной безопасности;
- подтвержден факт инцидента информационной безопасности для ИТ- инфраструктуры, информационно-телекоммуникационной сети, автоматизированной системы управления или информационной системы;
- выявленное в ходе проверки или аудита несоответствие не устранено в срок.
6.3.5. К незначительные нарушениям (несоответствиям) рекомендуется относить несоответствия, которые нельзя отнести к значительным (значимым) несоответствиям (нарушением).
6.3.6. По результатам анализа выявленных несоответствий производится экспертная справочная оценка текущего состояния ИБ. Рекомендуемые уровни оценок: эталонное состояние, выше целевого состояния, целевое состояние, ниже целевого состояния, неудовлетворительное состояние.
6.2. Проведение аудита.
7. МОНИТОРИНГ РЕЗУЛЬТАТОВ АУДИТА
7.1. Руководитель ДИБ разрабатывает и утверждает план устранения нарушений, который должен содержать следующую информацию:
- краткое описание нарушения (несоответствия);
- описание действий для устранения нарушения (несоответствия);
- контрольные сроки;
- ответственное лицо.
7.2. План устранения нарушений (несоответствия) должен быть согласован с Генеральным директором.
7.3. Если по обоснованным причинам устранение какого-либо выявленного нарушения (несоответствия) не представляется возможным, Руководитель ДИБ применяет компенсирующие меры для снижения рисков, связанных с данным нарушением (несоответствия), о чeм указывает в плане устранения нарушения.
7.4. Контроль исполнения плана устранения нарушений (несоответствий) в проверяемом обществе осуществляется Генеральным директором.
-
Наш бот
-
Новости
-
Общий чат