Аудит безопасности и разработка нормативных документов для благотворительного фонда
По результатам обследования был разработан план мероприятий по обработке рисков, включающий в себя устранение обнаруженных организационных и технических уязвимостей Фонда, а также обеспечение соответствия требованиям применимого законодательства и нормативной базы, включая требования ФЗ-152 "О персональных данных".
В соответствии с планом обработки рисков был разработан комплект организационно-распорядительных документов, регламентирующих наиболее важные аспекты обеспечения информационной безопасности Фонда.
В ходе данного проекта специалистами GlobalTrust были выполнены следующие работы:
- Идентификация информационных активов, требований законодательства и бизнеса по информационной безопасности
- Определение ценности идентифицированных активов, с учетом идентифицированных требований законодательства и бизнес требований по информационной безопасности, а также последствий нарушения конфиденциальности, целостности и доступности информации
- Идентификация угроз информационной безопасности
- Оценка эффективности, надежности и полноты существующих механизмов контроля информационной безопасности
- Идентификация организационных уязвимостей информационной безопасности
- Сканирование внешнего периметра корпоративной сети, идентификация и анализ уязвимостей
- Сканирование и анализ защищенности внутренней ИТ инфраструктуры
- Анализ защищенности основных бизнес приложений
- Оценка вероятности реализации угроз и величины уязвимостей
- Вычисление и ранжирование рисков
- Подготовка вариантов решений и рекомендаций по обработке рисков
- Определение состава разрабатываемых документов и требований к ним
- Разработка комплекта организационно-распорядительных документов по информационной безопасности
Результаты данной работы позволили Заказчику повысить защищенность своих информационных систем и обеспечить безопасность персональных данных, реализовав экономически обоснованную систему защитных мер, адекватную существующим рискам и требованиям действующего законодательства в области защиты информации.