8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00

Аудит информационной безопасности

Мы предлагаем:

  • анализ внутренних нормативных документов на соответствие требований регулятора;
  • обследование информационной инфраструктуры;
  • тестирование на проникновение и анализ уязвимостей (в т.ч. ПО не ниже ОУД4);
  • выявление уязвимых информационных систем;
  • разработку внутренних нормативных документов всех уровней;
  • подробный отчет о проведенном аудите и соответствии руководящим документам.
  • рекомендации по устранению и повышению надежности защиты;

Почему мы:

  • Более 10 дипломированных специалистов по информационной безопасности.
  • Большинство специалистов имеют сертификаты аудиторов от международных стандартов.
  • Консультанты по информационной безопасности имеют разносторонний опыт во всех направлениях информационной безопасности различных отраслей.

Важно:

При выявлении критичных моментов на этапе обследования консультанты по информационной безопасности немедленно сообщают об этом Заказчикам и предлагают оптимальные пути решения сложившейся ситуации.

Аудит информационной безопасности - изображение услуги
Необходимо провести аудит ИБ?

Эксперты по аудиту информационной безопасности

Эксперт по аудиту информационной безопасности Музалевский Фёдор Александрович

Музалевский Фёдор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по аудиту информационной безопасности Царев Евгений Олегович

Царев Евгений Олегович

Эксперт по информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по аудиту информационной безопасности Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по аудиту информационной безопасности Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Аудит информационной безопасности – один из ключевых инструментов, который позволяет оценить реальную защищенность активов (в том числе ИТ-активов) компании. Результаты аудита позволяют создать/улучшить существующую систему ИБ.

В общем случае аудит ИБ можно определить следующим образом: Аудит информационной безопасности – системный процесс сбора свидетельств, получение качественных и количественных оценок относительно состояния технологического или бизнес-процесса (с точки зрения ИБ), а также элементов ИТ-инфраструктуры, и их соотнесение с критериями (законами, стандартами, политиками и прочее).

В России аудитом информационной безопасности принято называть широкую категорию услуг и сервисов. В зависимости от области работ, состава информационных систем, методик и критериев аудита можно выделить десятки различных вариантов.

 

Цели аудита информационной безопасности

Основной целью аудита является получение объективной и независимой оценки состояния информационной безопасности. В дальнейшем все зависит от решаемых средствами аудита задач.

К задачам аудита ИБ можно отнести:

Задачи аудита информационной безопасности

  • Подтверждение соответствия требованиям (стандартов, регуляторов и пр.)
  • Выявление уязвимостей ИТ-инфраструктуры
  • Выявление уязвимостей в процессах (в том числе в процессе самого обеспечения ИБ)
  • Получение рекомендаций по улучшению/изменению

 

Процесс аудита информационной безопасности

Аудит ИБ может быть очным, заочным и смешанным. В любом случае эксперт получает информацию о состоянии ИБ в организации и (обрабатывая и сопоставляя ее с критерием оценки) получает свидетельства. В качестве свидетельств выступают:

Свидетельства для проведения аудита ИБ

  • скриншоты и фотографии;
  • интервью и записи сотрудников проверяемой организации;
  • внутренние документы и документы контрагентов проверяемой организации;
  • наблюдения эксперта.

В зависимости от сложности критериев и размера области оценки варьируется срок и содержание плана проведения аудита.

После получения достаточного набора свидетельств, аудитор получает оценку соответствия (количественная, например, 0.84 или качественная – «соответствует», в зависимости от критерия).

По полученным результатам в обязательном порядке выдаются рекомендации по улучшению и/или повышению оценки.

 

Варианты аудитов информационной безопасности

Исходя из определения, для проведения конкретного аудита ИБ можно выбрать разные:

Варианты аудитов информационной безопасности

  • Критерии аудита;
  • Проверяемые элементы ИТ-инфраструктуры;
  • Проверяемые процессы;
  • Варианты получения оценок (качественных или количественных);
  • Варианты собираемых свидетельств аудита;
  • Варианты процессов сбора свидетельств.

Наиболее частыми критериями для аудита являются законы, стандарты или требования регулирующих органов. Основными регуляторами в области информационной безопасности являются ФСТЭК России, ФСБ России и Банк России. Помимо этого, применяется так называемый экспертный аудит, проводимый по неформализованному критерию обобщения лучших практик.

В отдельную группу следует выделять технические аудиты (даже в том случае если проверка происходит по критерию). Дело в том, что технические аудиты требуют иных компетенций аудиторской команды. К наиболее популярным техническим аудитам относятся:

Большинство аудитов носят смешанный характер (оценивается как техническая реализация, так и документальное обеспечения деятельности). К данной категории можно отнести:

Опыт RTM Group позволяет проводить иные проверки, которые также можно отнести к вариантам аудита информационной безопасности. Например, экспертизы. Для данного варианта проверок характерно узкое применение результатов. Одним из наиболее частых применений экспертиз является их использование в судебном процессе.

    Нужна консультация?

    Преимущества RTM Group?

    • Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
    • RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
    • Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать аудит или экспертизу в сфере ИБ

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email: info@rtmtech.ru






    Видео по аудиту информационной безопасности

    Почему RTM Group

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в пятерку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по аудиту информационной безопасности

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Аудит ИБ в рамках любого из бизнес-процессов

    от 200 000 руб.

    Тестирование на проникновение (пентест) и анализ уязвимостей

    Срок — от 2 недель

    Подробное описание
     

    от 150 000 руб.

    Внесудебная экспертиза по вопросам IT и информационной безопасности

    от 40 000 руб.

    Наши преимущества

    Нами проведено более 500 аудитов

    Сотрудники компании провели более 500 аудитов по различным критериям

    3 лицензии

    ФСТЭК России и ФСБ России

    45+

    Вариантов аудитов информационной безопасности в нашем портфеле

    Услуги для вас

    НАМ ДОВЕРЯЮТ

    Полезные статьи

    FAQ: Часто задаваемые вопросы

    По каким признакам вы можете провести аудит ИБ? Сколько это стоит и что для этого нужно?

    Добрый день.
    Проведение аудита ИБ может проводиться по регламентным методикам, например, ГОСТ 57580.2, либо по качественным требованиям, например, для ПДн — постановление правительства 1119. Сроки и стоимость зависят от выбранного критерия и области оценки (числа серверов, систем и проч.).

    Что такое технический аудит и зачем он нужен?

    Технический аудит – специальная независимая экспертиза, которая проводится путем осуществления плановых, а так же тематических проверок.
    Технический аудит проводится с целью выявления несоответствия руководящим документам, как в ходе подготовки к проверкам со стороны регулятора, так и для повышения уровня состояния информационной безопасности.
    Иными словами технический аудит, это часть общего аудита, и проводится он в какой то определенной части информационной инфраструктуры.
    Во время проведения технического аудита проверяются все лицензии, сверяются все нормативные и распорядительные документы, а также эксплуатационные журналы. Проводится анализ информационной инфраструктуры на возможные уязвимости.

    Мы используем файлы cookie. Продолжив работу с сайтом, вы соглашаетесь с политикой конфиденциальности.