1.0 Цель
Установить правила аудита безопасности информационных систем компании, выполняемого внутренними аудиторами. Аудиторы должны использовать утвержденный перечень средств поиска уязвимостей или сканеров безопасности при выполнении сканирования клиентских сетей и/или межсетевых экранов или любых друих компонент информационных систем компании.
Аудит может быть проведен для:
2.0 Область действия
Политика охватывает все компоненты информационных систем компании. Аудиторы не будут проводить атаки касса "Отказ в обслуживании".
3.0 Политика
Аудиторам предоставляется доступ к информационной системе при выполнении аудита безопасности. Компания, таким образом, позволяет аудиторам проводить поиск уязвимостей в корпоративной сети и на оборудовании компании в соответствии с планом проведения аудита. Компания обеспечивает аудиторов всеми необходимыми документами для проведения удита безопасности (технические проекты, карта сети, положения и инструкции и пр.).
Доступ к информационной системе включает:
3.1 Управление сетью
Если в компании доступ из корпоративной сети в Internet обеспечивается сторонней органзацией, то для проведения аудита безопасности требуется ее письменное разрешение. Подписывая такое соглашение, все заинтересованные стороны подтверждают, что они разрешают проведение аудиторами сканирования сети компании в определенный соглашением период времени.
3.2 Уменьшение производительности и/или недоступность сервиса
Компания освобождает аудиторов от любой ответственности связанной с уменьшением сетевой производительности или недоступностью сервисов вызванных проведением сканирования, если только такие проблемы не возникли из-за некомпетентности аудиторов.
3.3 Контактные лица компании при проведении аудита
Компания должна определить и провести приказом список ответственных лиц, консультирующих аудиторов по всем вопросам возникающим во время проведения аудита безопасности.
3.4 Период сканирования
Компания и аудиторы должны в письменном виде зафиксировать даты и время проведения аудита безопасности.
4.0 Процесс оценки рисков.
Процесс оценки рисков описан в положении об оценивании и управлении информационными рисками компании.
5.0 Ответственность.
К любому сотруднику компании нарушившему эту политику могут быть применены дисциплинарные меры, вплоть до увольнения.