Вообщем такой вопрос. Планируем в своей организации предостовлять услугу аудита по информационной безопасности. Может кто сталкивался с этим или работает в данной сфере. Стоит ли вообще этим заниматься, насколько большие вложения, с чего начинать. Вообщем какие лицензии и сертификации нужны, какие стандарты по ИБ следует почитать. Кое что нашел в гугле, пару стандартов и несколько статей, но хотелось бы послушать ваше мнение. Вопрос для тех, кто может реально что то подсказать.
Действующие у нас в стране стандарты в области ЗИ (некоторые): Руководящий документ "Автоматизированные системы: защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", руководящий документ "Средства вычислительной техники: защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации", руководящий документ "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (ОК), руководящий документ "СВТ: МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации" и тд. Если вы собираетесь стать органом по аттестации объектов информатизации, то советую посмотреть эти документы: положение по аттестации объектов информатизации по требованиям безопасности информации, положение об органе по аттестации объектов информатизации по требованиям безопасности информации, положение об испытательной лаборатории, и тд. Если вы собираетесь работать там, где есть ГТ, то будет еще куча требований, поэтому напишите точнее, где вы планируете проводить аудит. По поводу стоит/нестоит, имхо это зависит от: желания, спроса на эту услугу в вашем городе/регионе и конкуренции. Известные международные стандарты: ISO 15408, ISO 17799, COBIT 3rd Edition Так же могут быть интересны ГОСТ Р 51583-2000, ГОСТ 51624-2000, другие документы на сайте ФСТЭК
