Ревизия и аудит систем безопасности
ЭТАПЫ РЕАЛИЗАЦИИ ПРОЕКТА ПО СОЗДАНИЮ И РАЗВИТИЮ КОМПЛЕКСНОЙ СИСТЕМЫ БЕЗОПАСНОСТИ
Внимание! Таблица на смартфонах листается вправо.
| 1 ЭТАП | 2 ЭТАП | 3 ЭТАП |
| АУДИТ СОСТОЯНИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ | СОЗДАНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ |
ОБЕСПЕЧЕНИЕ ФУНКЦИОНИРОВАНИЯ КОМПЛЕКСНОЙ СИСТЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ |
| Основные мероприятия, планируемые к реализации | ||
|
Проведение аудита состояния системы безопасности. Оценка соответствия существующей системы безопасности бизнес-процессам компании и перспективам ее развития. Тестирование системы безопасности на предмет реагирования при реализации рисков и возникновении угроз. |
Разработка нормативных документов, рекомендаций, стандартов в области обеспечения безопасности. Обучение сотрудников подразделения безопасности. Интеграция полномочий подразделений безопасности по предупреждению фрода и мошенничества в бизнес-процессы. |
Реализация требований обеспечения безопасности компании.
|
| Результат завершения этапа | ||
|
Отчет о состоянии системы безопасности. Подготовка проекта функциональной стратегии создания и развития комплексной системы безопасности. Подбор руководителя подразделения безопасности.
|
Нормативные документы отработаны и актуализированы с учетом специфики бизнес-процессов.
Сформирована основа построения
|
Повышение защищенности компании от рисков и угроз.
|
ОСНОВНЫЕ НАПРАВЛЕНИЯ АУДИТА СИСТЕМЫ БЕЗОПАСНОСТИ
1. ОБЩАЯ БЕЗОПАСНОСТЬ.
Нормативные документы
Стандарты обеспечения безопасности
Роль и место подразделения безопасности
- Положение о подразделении безопасности;
- Задачи и полномочия подразделения безопасности;
- Нормативные документы, регулирующие участие подразделения безопасности в бизнес-процессах, их актуальность;
- Стандарты обеспечения безопасности;
- Эффективность системы безопасности компании;
- Должностные инструкции сотрудников подразделения безопасности;
- Планирование деятельности подразделения безопасности и отчетность о результатах;
- Участие подразделения безопасности в риск-менеджменте;
- Ключевые показатели эффективности деятельности подразделения безопасности.
2. ЭКОНОМИЧЕСКАЯ БЕЗОПАСНОСТЬ.
Контрагенты
Инвестиционная деятельность
Закупки Реализация ТМЦ
Дебиторская задолженность
Договора
- Изучение контрагентов;
- Мониторинг изменения существенной информации в ходе исполнения договорных обязательств;
- Выявление аффилированности между контрагентами;
- Отпускные цены на продукцию, полномочия должностных лиц;
- Участие подразделения безопасности (далее – ПБ) в закупочных процедурах;
- Предоставление права ПБ по отводу участников процедуры при наличии негативных результатов изучения;
- Проведение разбирательства по фактам возникновения просроченной дебиторской задолженности;
- Установление причин возникновения фактов мошенничества, фрода, виновных;
- Мониторинг факторов, способствующих совершению противоправных действий, возникновению просроченной дебиторской задолженности;
- Оценка эффективности превентивных мероприятий.
3. ВНУТРЕННЯЯ БЕЗОПАСНОСТЬ.
Кандидаты
Служебные расследования
Охрана
Технические средства безопасности
- Изучение кандидатов при приеме на работу;
- Выявлении аффилированности между контрагентами и сотрудниками;
- Алгоритмы действий сотрудников компании, ЧОП при различных инцидентах;
- Обеспечение сохранности имущества, техники, денежных средств;
- Пресечение противоправной деятельности в отношении имущества компании;
- Выявление признаков подготовки и совершения террористических актов, провокаций, мошеннических действий;
- Своевременное реагирование на возникшие инциденты, чрезвычайные ситуации;
- Использование технических средств безопасности в обеспечении безопасности территории;
- Использование технических средств в предупреждении мошеннических и противоправных действий;
- Экономическая обоснованность затрат на охрану, их эффективность.
4. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ.
Коммерческая тайна
Персональные данные
Информационные ресурсы
Корпоративная почта
Доступ в Интернет
- Защита коммерческой тайны и персональных данных;
- Организация системы резервного копирования и восстановления программ и данных;
- Безопасная настройка системы доступа в сеть Интернет;
- Контроль доступа к информационным ресурсам;
- Обеспечение безопасности серверного оборудования;
- Безопасная настройка рабочих станций пользователей;
- Соблюдение групповых политик;
- Работа пользователей с информационными ресурсами;
- Защита от спама;
- Организация парольной защиты;
- Противодействие спаму;
- Организация архитектуры хранения баз данных, информационных ресурсов.
5. ЛИЧНАЯ ОХРАНА.
Места работы
Места проживания
Прочие места пребывания
Автотранспорт
Сотрудники личной охраны
- Наличие технических средств и систем обеспечения безопасности
- Профилактические мероприятий по недопущению инцидентов
- Текущее состояние
- Профессиональная подготовка сотрудников
- Работоспособность комплекса мер, его адекватность и способность реагирования на возможные риски, угрозы
6. ТЕХНИЧЕСКИЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ.
Система охранного телевидения
Система охранной сигнализации
Система тревожной сигнализации
Система пожарной сигнализации
Система оповещения о пожаре
Система контроля и управления доступом
Система диспетчеризации автотранспорта
- Оценка соответствия систем ТСО проектно-исполнительской документации;
- Оценка соответствия систем ТСО федеральной и локальной документации;
- Оценка текущего состояния и соблюдения нормативности технического обслуживания систем ТСО;
- Оценка эффективности работы систем ТСО согласно внутренних задач компании;
- Подготовка и выдача рекомендаций в отношении систем, направленных на повышение эффективности обеспечения безопасности компании средствами ТСО.
7. БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ.
ИТ/ИБ кадры
Безопасность базовой программно-технической архитектуры, ИТ- инфраструктуры
Безопасность АСУ ТП
Безопасность ERP системы
Безопасность системы учета продаж по франшизе
Группы риска в ИБ Физическая защита
ИТ/ИБ-активов
Система управления ИБ
Персональные данные
Нестандартные направления аудита
- Анализ внутренних нормативных документов, регламентирующих деятельность ИТ-подразделений, а также отдельных сотрудников (функции, задачи, обязанности, права, ответственность и т.д.);
- Обеспечение безопасности базовой программно- технической архитектуры ИТ-инфраструктуры, включая телекоммуникационную и серверную группу, основные ИТ-сервисы, АРМ, систему резервного копирования и т.д.;
- Обеспечение безопасности критичных информационных систем, включая АСУ ТП, ERP и систему учета продаж по франшизе;
- Определение групп риска в ИБ;
- Обеспечение физической защиты ИТ/ИБ активов от негативных воздействий внешней среды, включая надежность инженерных систем и устойчивость к техногенным катастрофам;
- Анализ системы управления информационной безопасностью;
- Оценка соответствия текущего состояния бизнес- процессов Предприятия, связанных с обработкой персональных данных при помощи средств автоматизации и обеспечением их безопасности, положениям Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
СОСТОЯНИЕ СИСТЕМ БЕЗОПАСНОСТИ ПОСЛЕ ПРОВЕДЕНИЯ АУДИТА
1. Руководитель подразделения безопасности понимает состояние системы обеспечения безопасности Компании и ее соответствие бизнес-процессам.
2. Получает заключение о комплексности системы обеспечения безопасности и ее риск-ориентированности.
3. Предлагаются к разработке и дальнейшему внедрению корпоративные стандарты обеспечения безопасности в соответствии с best practice международного уровня.
4. Предоставляется оценка профессиональной подготовке кадрового состава, участвующего в обеспечении безопасности Компании, а также основные тематические направления повышения квалификации.
5. Подготавливаются рекомендации по созданию, развитию и совершенствованию комплексной и корпоративной систем безопасности.
6. Разрабатываются предложения по участию подразделений безопасности в риск и фрод-менеджменте.
7. Формируются отчеты по актуальности нормативной базы в области обеспечения безопасности и направления ее совершенствования.
И.Хобта
Заказать аудит и решение этих проблем можно в нашей компании Revision.
Комментариев пока нет