Пример перечня исходных данных аудита ИБ
Операции с документом
Перечень исходных данных, предоставляемых Заказчиком для аудита ИБ (документы и данные из настоящего перечня предоставляются в случае их наличия).
Сведения о бизнес-процессах:
- Общее описание миссии организации, области деятельности, основных направлений ведения бизнеса, основных задач в рамках этих бизнес-направлений
- Описание основных (внешних) и вспомогательных (внутренних, поддерживающих) бизнес процессов (в произвольной форме).
- Рабочие инструкции и процедуры (выполняемые в рамках бизнес процессов) для бизнес подразделений
- Схемы бизнес-процессов
- Организационная структура персонала (положения о подразделениях, схемы организационной структуры, должностные инструкции, прочие документы, определяющие распределение ролей и ответственности)
- Примеры типовых договоров с работниками, клиентами, поставщиками и контрагентами
- Документы, подтверждающие прохождение обучения работников по вопросам защиты информации
Отчеты об аудитах и проверка состояния ИБ:
- Отчеты об ИТ и ИБ аудитах (внешних и/или внутренних)
- Отчеты о результатах анализа защищенности сетей и приложений
- Отчеты о результатах тестов на проникновение
- Отчеты о результатах оценки соответствия требованиям стандартов и нормативных документов в области ИБ
Внутренние организационно-распорядительные документы в области ИБ:
- Планы и процедуры обеспечения информационной безопасности, а также протоколы проверок состояния ИБ и совещаний по вопросам ИБ, протоколы расследования инцидентов ИБ
- Решения руководства (приказы, распоряжения), касающиеся вопросов защиты информации
- Внутренняя организационно-распорядительная документация по обеспечению информационной, физической и экономической безопасности (политики, концепции, положения, внутренние стандарты, регламенты, процедуры, инструкции и т.п.)
- Внутренняя техническая документация по ИБ (технические и рабочие проекты систем защиты информации, спецификации, схемы и описания основных технических решений и т.п.)
Данные инвентаризации ИТ-активов:
- Перечень (реестр, описание) используемого ПО (системное ПО и прикладные системы (самописные и заказные), офисные и бизнес приложения)
- Перечень (реестр, описание) используемых технических средств (серверы и рабочие станции, телекоммуникационное оборудование, периферийное оборудование)
- Перечень (реестр, описание) вспомогательных систем (электропитание, кондиционирование, пожарно-охранные системы, системы видеонаблюдения и т.д.)
- Перечень (реестр, описание) информационных активов (информация, данные, документы, представленные в различных формах на различных типах носителей (электронных и/или бумажных))
- Перечень (реестр, описание) помещений (серверные комнаты, основные и резервные ЦОДы, кабинеты, переговорные и т.п.)
- Перечень (реестр, описание) каналов и средств связи (активное сетевое оборудование, АТС, каналы подключение к Интернет, к внешним компьютерным и телефонным сетям и т.п.)
- Перечень (реестр, описание) вендоров, поставщиков и провайдеров ИКТ сервисов
- Перечень (реестр, описание) ИТ процессов и сервисов (в произвольной форме)
- Описание информационных систем и подсистем, а также основных задач, решаемых в этих системах
- Структурная (логическая) схема корпоративной сети
- Структура управления ИКТ сервисами, распределение ролей и ответственности (схема организационной структуры)
- Документация, регламентирующая деятельность ИТ и ИБ подразделений
- Группы пользователей информационных систем (внутренние и внешние)
- Эксплуатационная документация на используемые средства защиты информации и бизнес-приложения
Документы, касающиеся использования СКЗИ:
- Акты ввода СКЗИ в эксплуатацию. Документы, содержащие описание соответствия размещения и монтажа СКЗИ требованиям документации на СКЗИ
- Журнал поэкземплярного учета СКЗИ
- Порядок организации контроля за соблюдением условий использования СКЗИ
- Договора на приобретение СКЗИ
- Лицензии и сертификаты на используемые СКЗИ (или разрешения ФСБ на использования СКЗИ)
- Эксплуатационная документация на СКЗИ
- Акты ввода СКЗИ в эксплуатацию. Документы, содержащие описание соответствия размещения и монтажа СКЗИ требованиям документации на СКЗИ
Авторство: GlobalTrust