Комплаенс-аудит информационной безопасности
Оценка соответствия принятых в вузе практик обеспечения информационной безопасности требованиям законодательства и стандартам. Формирование системного представления о состоянии ключевых направлений защиты информации в вузе и подготовка рекомендаций в соответствии с требованиями действующего законодательства.
Об услуге
Как проходит комплаенс-аудит
В процессе обследования применяются такие методы как анкетирование и интервьюирование.
Этапы работы
- Подготовка к аудиту
Назначение ответственных лиц по каждому направлению обследования из числа работников заказчика. Сбор исходных данных, заполнение предварительной экспресс-анкеты, планирование работы.
- Обследование и анализ
Проведение интервью, анализ внутренней документации и полученных исходных данных. Обследование проводится как дистанционно, так и с выездом команды специалистов в образовательную организацию для проведения очного интервью по бизнес-процессам.
- Отчёт
Подготовка отчёта по результатам проведённого обследования, сбор отдельной уточняющей информации в процессе подготовки отчёта. Разработка рекомендаций по устранению несоответствий нормативным требованиям.
Структура экспресс-анкеты:
- Общие вопросы
- Персональные данные
- Средства криптографической защиты информации
- Критические информационные инфраструктуры
- Коммерческая тайна
Каждый из перечисленных элементов представляет собой отдельный блок вопросов по соответствующей тематике и может быть заполнен независимо друг от друга различными должностными лицами.
Структура отчёта:
- Общая часть: цели и задачи обследования.
- Общие характеристики состояния информационной безопасности в вузе.
- Результаты обследования по ключевым направлениям защиты информации с оценкой состояния по каждому направлению:
- Персональные данные (мероприятия, реализуемые согласно требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»).
- Средства криптографической защиты информации (наличие и состав документации в отношении эксплуатации СКЗИ, условия хранения, учёта и использования СКЗИ, применение средств электронной подписи).
- Критические информационные инфраструктуры (мероприятия, реализуемые согласно требованиям Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»).
- Коммерческая тайна (мероприятия, реализуемые согласно требованиям Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне»).
- Рекомендации по дальнейшим шагам в области информационной безопасности вуза.
Сроки
Проведение аудита занимает от одного до двух месяцев, в зависимости от масштаба образовательной организации.
Стоимость
По запросу, в зависимости от объемов работ, определяемых на этапе подготовки к аудиту.
Результаты аудита
По результатам аудита образовательная организация получает отчёт, включающий:
- оценку состояния дел в области информационной безопасности;
- «узкие» места, проблематику по ключевым процессам;
- рекомендации по дальнейшим шагам в области защиты информации.
- дорожная карта по приведению в соответствие с действующим законодательством;
- рекомендуемый перечень необходимых организационно-распорядительных документов в области информационной безопасности (положения, инструкции, политики, приказы, акты).
По итогам аудита также будут подготовлены:
