Безопасность и Internet - статьи
       

Пример политики аудита безопасности информационных систем компании


1.0 Цель

Установить правила аудита безопасности информационных систем компании, выполняемого внутренними аудиторами. Аудиторы должны использовать утвержденный перечень средств поиска уязвимостей или сканеров безопасности при выполнении сканирования клиентских сетей и/или межсетевых экранов или любых друих компонент информационных систем компании.

Аудит может быть проведен для:

  • Гарантии целостности, конфиденциальности и доступности информационных ресурсов компании.

  • Расследования возможных инцидентов в области безопасности компании.

  • Мониторинга деятельности сотрудников и активности информационной системы в целом.

    • 2.0 Область действия

    Политика охватывает все компоненты информационных систем компании. Аудиторы не будут проводить атаки касса "Отказ в обслуживании".

    3.0 Политика

    Аудиторам предоставляется доступ к информационной системе при выполнении аудита безопасности. Компания, таким образом, позволяет аудиторам проводить поиск уязвимостей в корпоративной сети и на оборудовании компании в соответствии с планом проведения аудита. Компания обеспечивает аудиторов всеми необходимыми документами для проведения удита безопасности (технические проекты, карта сети, положения и инструкции и пр.).

    Доступ к информационной системе включает:

    • Доступ на уровне пользователя или системный доступ к любому оборудованию системы.

    • Доступ к данным (в электронном виде, в виде бумажных копий и т.д.) которая создается, передается и хранится в системе.

    • Доступ в помещения (лаборатории, офисы, серверные и т.д.).

    • Доступ к сетевому трафику.

      • 3.1 Управление сетью

      Если в компании доступ из корпоративной сети в Internet обеспечивается сторонней органзацией, то для проведения аудита безопасности требуется ее письменное разрешение. Подписывая такое соглашение, все заинтересованные стороны подтверждают, что они разрешают проведение аудиторами сканирования сети компании в определенный соглашением период времени.

      3.2 Уменьшение производительности и/или недоступность сервиса

      Компания освобождает аудиторов от любой ответственности связанной с уменьшением сетевой производительности или недоступностью сервисов вызванных проведением сканирования, если только такие проблемы не возникли из-за некомпетентности аудиторов.

      3.3 Контактные лица компании при проведении аудита

      Компания должна определить и провести приказом список ответственных лиц, консультирующих аудиторов по всем вопросам возникающим во время проведения аудита безопасности.

      3.4 Период сканирования

      Компания и аудиторы должны в письменном виде зафиксировать даты и время проведения аудита безопасности.

      4.0 Процесс оценки рисков.

      Процесс оценки рисков описан в положении об оценивании и управлении информационными рисками компании.

      5.0 Ответственность.

      К любому сотруднику компании нарушившему эту политику могут быть применены дисциплинарные меры, вплоть до увольнения.



      Содержание раздела