Внешний аудит системы безопасности

Внешний аудит системы безопасности

Аудит комплексов безопасности и контроля может быть внутренним и внешним. Внутренние аудиторские действия проводятся руководителями или назначенными работниками этой организации. Внешний аудит проводится сотрудниками независимой фирмы, с которой был заключен договор на предоставление такого рода услуг по стандартным программам контроля. Принято выделять общие ЦЕЛИ ПРОВЕДЕНИЯ АУДИТОРСКИХ ПРОВЕРОК:

  • Анализ имеющихся рисков, которые связаны с возможными угрозами уровню безопасности на объекте (либо относительно конкретных ресурсов);
  • Оценку текущего состояния охранного комплекса и уровня защищенности;
  • Локализацию специализированных мест в системе;
  • Оценку оборудования на соответствие техническим требованиям и установленным стандартам в конкретной области;
  • Разработку рекомендаций по внедрению новых технологий и улучшению качества работы охранной линии в целом или каждого механизма в отдельности.

Помимо вышеперечисленных целей, перед аудиторской проверкой устанавливается ряд дополнительных задач:

  • Разработка политики безопасности на объекте, которая закрепляется в специальных документальных актах;
  • Постановка задач и контроль над их выполнением со стороны ответственных сотрудников (например, службы охраны);
  • Обучение пользователей охранных систем;
  • Участие в проведении расследований в случае возникновения инцидентов и др.

ЭТАПЫ ПРЕДОСТАВЛЕНИЯ АУДИТОРСКИХ УСЛУГ ОТНОСИТЕЛЬНО СИСТЕМ БЕЗОПАСНОСТИ

Проведение оценки состояния системы безопасности объекта включает в себя несколько последовательных этапов:

  • Инициирование проведения аудиторской проверки;
  • Сбор необходимой информации и выполнение комплексных мероприятий, направленных на получение сведений, соответствующих действительности;
  • Анализ полученных данных;
  • Разработку и предоставление рекомендаций по улучшению качества работы системы безопасности, установленной на подконтрольной территории;
  • Предоставление отчетной документации.

Инициирование проведения проверки текущего состояния системы безопасности осуществляет руководитель объекта или лицо, которое имеет необходимые полномочия.

ЧТО ВКЛЮЧАЕТ В СЕБЯ ЭКСПЕРТНАЯ ПРОВЕРКА ОХРАННОГО КОМПЛЕКСА

На сегодняшний день достаточно актуальным стал мониторинг системы внутреннего контроля. Выполнение мониторинговых и анализирующих действий позволяет получить информацию о состоянии охранного комплекса в настоящее время. Получив определенные сведения, руководитель может принять меры по улучшению качества работы защитной линии и повышению уровня охраны объекта. Несмотря на то, что многие фирмы имеют собственную службу безопасности, взгляд со стороны и проведение оценки состояния оборудования позволит выявить недостатки в работе механизмов и исправить их.

Аудит безопасности объекта, как правило, включает в себя выполнение ряда действий:

  • Оценку качества работы и технических характеристик устройств, комплектующих охранную систему;
  • Анализ качества технических линий;
  • Оценку эффективности внутреннего распорядка, установленного на объекте;
  • Проверку соблюдения всех установленных правил безопасности сотрудниками предприятия (организации или учреждения);
  • Оценку эффективности и качества работы охранного подразделения или отделения вневедомственной охраны;
  • Разработку концептуальных подходов к улучшению работы линии защиты;
  • Предоставление консультаций и рекомендаций относительно личной или общественной безопасности субъектов;
  • Составление отчета и передачу фактических документов руководителю или уполномоченному лицу.

ОЦЕНКА СОСТОЯНИЯ ИНФОРМАЦИОННОЙ ЗАЩИЩЕННОСТИ

В настоящее время одним из основных направлений аудиторских проверок является оценка состояния защищенности информационных систем. В век электронных технологий информационные системы содержат множество персональных данных субъектов, а также конфиденциальную информацию. Поэтому в первую очередь необходимо позаботиться о защищенности информации на объекте. Для определения уровня защищенности информационных данных установлены определенные критерии и стандарты.

Контроль системы информационной безопасности должен осуществляться на высшем уровне и иметь достаточную степень защиты от утечки информации и последующего использования ее в незаконных целях. Выделяют несколько видов аудита линий информационной защиты:

  • Активный;
  • Экспертный;
  • Соответствующий установленным стандартам и требованиям.

Активные аудиторские услуги являются самыми распространенными в сфере систем информационной безопасности. Все проверочные действия выполняются с точки зрения так называемого злоумышленника, который обладает достаточными знаниями в области компьютерных технологий. Для выполнения проверки используется специализированное программное обеспечение. Квалифицированные специалисты собирают информацию о текущем состоянии линии информационной защиты путем моделирования различных сетевых ситуаций. В случае обнаружения возможности утечки персонифицированной информации, аудитор предлагает различные решения по усовершенствованию существующего комплекса безопасности. Некоторые компании предоставляют программное обеспечение собственной разработки, которое позволяет установить необходимую степень информационной защиты, но без соответствующей сертификации этот метод может быть сомнительным по эффективности.

Экспертные аудиторские действия заключаются в сравнении текущего состояния охранного комплекса и установленных стандартов прежде всего ISO 27001. Самым распространенным способом получения информации в ходе экспертной оценки является интервьюирование сотрудников и ответственных лиц. По результатам экспертной оценки в существующую систему безопасности могут вноситься изменения путем установки дополнительного оборудования или программного обеспечения. В случае ненадлежащего уровня информационной защиты, аудитор может предложить установку нового комплекса с учетом всех необходимых требований.

Аудиторские операции на соответствие стандартам заключаются в проведении проверки и оценки текущего состояния устройств и механизмов, их технической характеристики, эффективности работы. После сбора информации аудитор выполняет сверку полученных данных с установленными требованиями. В отчете содержатся обязательные ссылки на нормативные документы. Как правило, такой тип аудиторской проверки проводится при необходимости сертификации или лицензирования предприятия.

Источник: https://camafon.ru/sistemyi-bezopasnosti/audit