Дата формирования отчета: 28.03.2016
Период проведения аудита: 21.03.2016 – 30.03.2016
Кто проводил аудит: Д. Р., ООО «»
Критерии аудита: Положение о применимости контролей ISO 27001-2013 версия №1 от 01.01.2010
Область действия СМИБ: Отдел разработки программного обеспечения компании ООО «Производственное объединение «»
Участники аудита:
· Генеральный директор ООО «Производственное объединение «» А. Р.;
· Руководитель научно-технического центра Садовников А.;
· Руководитель отдела разработки программного обеспечения В.;
· Руководитель отдела информационной безопасности Р.;
· Начальник кадрового отдела Пименова А.;
· Системный администратор А.;
· Тим лидер команды Форсаж Хасанов Д.;
· Программист Д.
Объекты анализа и оценки:
· Система менеджмента информационной безопасности (далее СМИБ);
· Политика ИБ;
· Положение о применимости;
· Приказы и иные нормативные документы описывающие деятельность СМИБ;
· План обработки рисков;
· Реестр принятых рисков;
· Планы, Отчеты внутренних аудитов;
· План по повышению квалификации персонала СМИБ;
· Инструкция по обеспечению ИБ во время жизненного цикла программного обеспечения (далее ПО);
· Политика безопасности при разработке ПО;
· Договор о коммерческой тайне.
Выявленные несоответствия
|
Несоответствие |
Номер раздела |
Класс несоответствия |
Свидетельства |
Рекомендации |
|
Руководство не осуществляет активную поддержку обеспечения безопасности |
5.1. |
Значительный |
Опросный лист руководителя отдела разработки ПО показал, что ответственности по ИБ не распределены в документированном виде |
Рассмотреть детально вопрос об обязанностях, роли и ответственности сотрудников, участвующих в СМИБ |
|
Политика ИБ не соответствует целям организации, не пересматривается; сотрудники не осведомлены о целях ИБ |
5.2. |
Значительный |
В ходе анализа Политики ИБ и опросных листов сотрудников было выявлено, что политика ИБ разработана формально, не пересматривалась с момента разработки, что привело к ее неактуальности и несоответствию целям компании. Также сотрудники не осведомлены о целях ИБ и наличии политики ИБ. |
Рассмотреть вопрос о пересмотре политики ИБ, составлении плана по пересмотру документов по ИБ, а также осведомлению сотрудников в области ИБ |
|
Отсутствует документированный процесс обработки рисков ИБ |
6.1. |
Значительный |
В ходе интервью с ген. Директором по вопросам рисков ИБ было выявлено, что в компании отсутствует план по обработке рисков ИБ, процесс обработки рисков является не регулярным |
Рассмотреть вопрос о разработке и внедрении плана по обработке рисков ИБ |
|
Отсутствует план переподготовки и повышению квалификации персонала в области ИБ |
7.2. |
Значительный |
В ходе интервью с руководителем отдела ИБ и анализе документов об образовании было выявлено, что он не имеет соответствующих подтвержденных документально компетенций в области ИБ, а также в компании не разработаны планы по повышению квалификации в области ИБ |
Рассмотреть вопрос о повышении компетенций сотрудников в области ИБ, в том числе выделении средств на прохождение курсов по повышению квалификации при необходимости |
|
В организации не проводятся внутренние аудиты по ИБ |
9. |
Значительный |
Анализ документов показал, что в компании не проводились раннее внутренние аудиты ИБ, что приводит к наличию значительных недостатков в безопасности |
Рассмотреть вопрос о формировании группы внутреннего аудита и плана по проведению аудита сроком на 1 год |
|
В организации не разработаны планы по реагированию на инциденты |
10. |
Значительный |
Интервью с руководителем ИБ показало, что в организации не разработаны планы по реагированию на инциденты |
Рассмотреть вопрос о разработке планов реагирования на инциденты |
|
Риски ИБ не учитываются в рамках управления проектами компании |
А 6.1.5 |
Значительный |
При проведении интервью с руководителем НТЦ было выявлено, что в компании отсутствуют документированные регламенты по обеспечению ИБ при управлении проектами, однако существуют негласные правила по обмену данными с заказчиками |
Рассмотреть вопрос о разработке регламента по обеспечению ИБ при управлении проектами и осведомлении сотрудников с его содержимым |
|
Менеджмент проводит беседы по ИБ только в случае инцидентов. |
А 7.2.1 |
Незначительный |
Согласно опросным листам было выявлено, что менеджмент компании не проводит активную политику осведомления сотрудников с изменениями в ИБ, беседы проводятся только при наличие инцидента |
Рассмотреть вопрос об активизации деятельности менеджмента по повышению осведомленности сотрудников в области ИБ |
|
Отсутствует схема классификации и маркировки носителей информации |
А 8.3.1 |
Значительный |
Опросный лист системного администратора показал, что в компании носители информации не классифицируются и не маркируются, сотрудники могут пользоваться собственными носителями для рабочих нужд |
Рассмотреть вопрос о классификации носителей |
|
Отсутствуют процедуры по утилизации и транспортировке носителей информации |
А 8.3.2, А 8.3.3 |
Значительный |
Опросный лист системного администратора показал, что в компании отсутствуют регламенты, даже не формализованные, по утилизации и транспортировке носителей информации |
Рассмотреть вопрос о разработке регламентов по безопасной утилизации и транспортировке носителей информации |
|
Процесс создания паролей не автоматизирован |
A.9.4.3 |
Незначительный |
В ходе интервью с системным администратором было выявлено, что пароли он формирует самостоятельно по схеме |
Рассмотреть вопрос о возможности внедрения автоматизированных средств формирования паролей |
|
Сотрудники не осведомлены о политиках «чистого рабочего стола» и «чистого экрана» |
А 11.2.9 |
Незначительный |
Опросные листы сотрудников показали о незнании сотрудников о данных политиках (см. Приложение 1) |
Рассмотреть вопрос об осведомлении сотрудников о политиках «чистого рабочего стола» и «чистого экрана» |
|
На рабочих станциях сотрудников отсутствуют средства антивирусной защиты |
А 12.2.1 |
Значительный |
Интервью с системным администратором показало, что в компании отсутствует антивирусная защита |
Рассмотреть вопрос о внедрении средств антивирусной защиты |
|
В компании отсутствует контроль установки ПО на рабочие станции сотрудников |
А 12.6.2 |
Незначительный |
Интервью с системным администратором показало, что установка ПО на компьютерах сотрудников никем не контролируется |
Рассмотреть вопрос о внедрении контроля за установкой ПО на компьютеры сотрудников |
|
Риски ИБ не учитываются в рамках разработке ПО |
А 14.2.1 |
Значительный |
В ходе интервью с руководителем отдела было выяснено, что в компании не разработана политика, согласно которой бы учитывались требования безопасности при разработке ПО |
Рассмотреть вопрос о разработке и внедрении политики безопасности при разработке ПО |
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.