Спеціальна аналітична служба

СПЕЦІАЛЬНА АНАЛІТИЧНА СЛУЖБА

КОМПЛЕКСНІ ПОСЛУГИ БЕЗПЕКИ

Зовнішній аудит системи безпеки

Аудит системи безпеки

Аудит систем безпеки підприємства

Аудит комплексів безпеки та контролю може бути внутрішнім і зовнішнім. Внутрішні аудиторські дії проводяться керівниками або призначеними працівниками цієї організації. Зовнішній аудит проводиться співробітниками незалежної фірми, з якою був укладений договір на надання такого роду послуг за стандартними програмами контролю. Прийнято виділяти загальні ЦІЛІ ПРОВЕДЕННЯ АУДИТОРСЬКИХ ПЕРЕВІРОК:

Аналіз наявних ризиків, які пов’язані з можливими загрозами рівнем безпеки на об’єкті (або щодо конкретних ресурсів);
Оцінку поточного стану охоронного комплексу та рівня захищеності;
Локалізацію спеціалізованих місць в системі;
Оцінку обладнання на відповідність технічним вимогам і встановленим стандартам в конкретній галузі;
Розробку рекомендацій щодо впровадження нових технологій і поліпшення якості роботи охоронної лінії в цілому або кожного механізму окремо.

Крім перерахованих вище цілей, перед аудиторською перевіркою встановлюється ряд додаткових завдань:

Розробка політики безпеки на об’єкті, яка закріплюється в спеціальних документальних актах;
Постановка завдань і контроль над їх виконанням з боку відповідальних співробітників (наприклад, служби охорони);
Навчання користувачів охоронних систем;
Участь в проведенні розслідувань у разі виникнення інцидентів та ін.

Етапи надання аудиторських послуг щодо систем безпеки

Проведення оцінки стану системи безпеки об’єкта включає в себе кілька послідовних етапів:

  • Ініціювання проведення аудиторської перевірки;
  • Збір необхідної інформації і виконання комплексних заходів, спрямованих на отримання відомостей,що відповідають дійсності;
  • Аналіз отриманих даних;
  • Розробку та надання рекомендацій щодо поліпшення якості роботи системи безпеки, встановленої на підконтрольній території;
  • Надання звітної документації.

Ініціювання проведення перевірки поточного стану системи безпеки здійснює керівник об’єкта або особа, яка має необхідні повноваження.

Що включає в себе експертна перевірка охоронного комплексу

На сьогоднішній день досить актуальним став моніторинг системи внутрішнього контролю. Виконання моніторингових і аналітичних дій дозволяє отримати інформацію про стан охоронного комплексу в даний час. Отримавши певні відомості, керівник може вжити заходів щодо поліпшення якості роботи захисної лінії і підвищенню рівня охорони об’єкта. Незважаючи на те, що багато фірм мають власну службу безпеки, погляд з боку і проведення оцінки стану обладнання дозволить виявити недоліки в роботі механізмів і виправити їх.

Аудит безпеки об’єкта, як правило, включає в себе виконання ряду дій:

  • Оцінку якості роботи і технічних характеристик пристроїв, комплектуючих охоронну систему;
  • Аналіз якості технічних ліній;
  • Оцінку ефективності внутрішнього розпорядку, встановленого на об’єкті;
  • Перевірку дотримання всіх встановлених правил безпеки співробітниками підприємства (організації або установи);
  • Оцінку ефективності та якості роботи охоронного підрозділу або відділення позавідомчої охорони;
  • Розробку концептуальних підходів до поліпшення роботи лінії захисту;
  • Надання консультацій та рекомендацій щодо особистої або громадської безпеки суб’єктів;
  • Складання звіту і передачу фактичних документів керівнику або уповноваженій особі.

Оцінка стану інформаційної захищеності

В даний час одним з основних напрямків аудиторських перевірок є оцінка стану захищеності інформаційних систем. В епоху електронних технологій інформаційні системи містять безліч персональних даних суб’єктів, а також конфіденційну інформацію. Тому в першу чергу необхідно подбати про захищеність інформації на об’єкті. Для визначення рівня захищеності інформаційних даних встановлені певні критерії і стандарти.

Контроль системи інформаційної безпеки повинен здійснюватися на вищому рівні і мати достатній ступінь захисту від витоку інформації та подальшого використання її в незаконних цілях. Виділяють кілька видів аудиту ліній інформаційного захисту:

  • активний;
  • експертний;
  • відповідний встановленим стандартам і вимогам.

Активні аудиторські послуги є найпоширенішими в сфері систем інформаційної безпеки. Всі перевірочні дії виконуються з точки зору так званого зловмисника, який володіє достатніми знаннями в області комп’ютерних технологій. Для виконання перевірки використовується спеціалізоване програмне забезпечення. Кваліфіковані фахівці збирають інформацію про поточний стан лінії інформаційного захисту шляхом моделювання різних мережевих ситуацій. У разі виявлення можливості витоку персоніфікованої інформації, аудитор пропонує різні рішення щодо вдосконалення існуючого комплексу безпеки. Деякі компанії надають програмне забезпечення власної розробки, яке дозволяє встановити необхідну ступінь інформаційного захисту, але без відповідної сертифікації цей метод може бути сумнівним з ефективності.

Експертні аудиторські дії полягають в порівнянні поточного стану охоронного комплексу та встановлених стандартів насамперед ISO 27001. Найпоширенішим способом отримання інформації в ході експертної оцінки є інтерв’ювання співробітників і відповідальних осіб. За результатами експертної оцінки в існуючу систему безпеки можуть вноситися зміни шляхом установки додаткового обладнання або програмного забезпечення. У разі неналежного рівня інформаційного захисту, аудитор може запропонувати установку нового комплексу з урахуванням всіх необхідних вимог.

Аудиторські операції на відповідність стандартам полягають в проведенні перевірки та оцінки поточного стану пристроїв і механізмів, їх технічної характеристики, ефективності роботи. Після збору інформації аудитор виконує звірку отриманих даних з встановленими вимогами. У звіті містяться обов’язкові посилання на нормативні документи. Як правило, такий тип аудиторської перевірки проводиться при необхідності сертифікації або ліцензування підприємства.

Джерело: https://camafon.ru/sistemyi-bezopasnosti/audit

Компанія САС надає послуги зовнішнього аудиту систем безпеки підприємства, а також інші послуги комплексної безпеки.