8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00
info@rtmtech.ru Контакты Поиск
RTM Group » Услуги » Информационная безопасность » Аудит информационной безопасности

Аудит информационной безопасности

Мы предлагаем:

  • анализ внутренних нормативных документов на соответствие требований регулятора;
  • обследование информационной инфраструктуры;
  • тестирование на проникновение и анализ уязвимостей (в т.ч. ПО не ниже ОУД4);
  • выявление уязвимых информационных систем;
  • разработку внутренних нормативных документов всех уровней;
  • подробный отчет о проведенном аудите и соответствии руководящим документам.
  • рекомендации по устранению и повышению надежности защиты;

Почему мы:

  • Более 10 дипломированных специалистов по информационной безопасности.
  • Большинство специалистов имеют сертификаты аудиторов от международных стандартов.
  • Консультанты по информационной безопасности имеют разносторонний опыт во всех направлениях информационной безопасности различных отраслей.

Важно:

При выявлении критичных моментов на этапе обследования консультанты по информационной безопасности немедленно сообщают об этом Заказчикам и предлагают оптимальные пути решения сложившейся ситуации.

Аудит информационной безопасности - изображение услуги
Необходимо провести аудит ИБ?
Заказать услугу

Эксперты по аудиту информационной безопасности

Эксперт по аудиту информационной безопасности Музалевский Фёдор Александрович

Музалевский Фёдор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по аудиту информационной безопасности Царев Евгений Олегович

Царев Евгений Олегович

Эксперт по информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по аудиту информационной безопасности Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по аудиту информационной безопасности Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Аудит информационной безопасности – один из ключевых инструментов, который позволяет оценить реальную защищенность активов (в том числе ИТ-активов) компании. Результаты аудита позволяют создать/улучшить существующую систему ИБ.

В общем случае аудит ИБ можно определить следующим образом: Аудит информационной безопасности – системный процесс сбора свидетельств, получение качественных и количественных оценок относительно состояния технологического или бизнес-процесса (с точки зрения ИБ), а также элементов ИТ-инфраструктуры, и их соотнесение с критериями (законами, стандартами, политиками и прочее).

В России аудитом информационной безопасности принято называть широкую категорию услуг и сервисов. В зависимости от области работ, состава информационных систем, методик и критериев аудита можно выделить десятки различных вариантов.

 

Цели аудита информационной безопасности

Основной целью аудита является получение объективной и независимой оценки состояния информационной безопасности. В дальнейшем все зависит от решаемых средствами аудита задач.

К задачам аудита ИБ можно отнести:

Задачи аудита информационной безопасности

  • Подтверждение соответствия требованиям (стандартов, регуляторов и пр.)
  • Выявление уязвимостей ИТ-инфраструктуры
  • Выявление уязвимостей в процессах (в том числе в процессе самого обеспечения ИБ)
  • Получение рекомендаций по улучшению/изменению

 

Процесс аудита информационной безопасности

Аудит ИБ может быть очным, заочным и смешанным. В любом случае эксперт получает информацию о состоянии ИБ в организации и (обрабатывая и сопоставляя ее с критерием оценки) получает свидетельства. В качестве свидетельств выступают:

Свидетельства для проведения аудита ИБ

  • скриншоты и фотографии;
  • интервью и записи сотрудников проверяемой организации;
  • внутренние документы и документы контрагентов проверяемой организации;
  • наблюдения эксперта.

В зависимости от сложности критериев и размера области оценки варьируется срок и содержание плана проведения аудита.

После получения достаточного набора свидетельств, аудитор получает оценку соответствия (количественная, например, 0.84 или качественная – «соответствует», в зависимости от критерия).

По полученным результатам в обязательном порядке выдаются рекомендации по улучшению и/или повышению оценки.

 

Варианты аудитов информационной безопасности

Исходя из определения, для проведения конкретного аудита ИБ можно выбрать разные:

Варианты аудитов информационной безопасности

  • Критерии аудита;
  • Проверяемые элементы ИТ-инфраструктуры;
  • Проверяемые процессы;
  • Варианты получения оценок (качественных или количественных);
  • Варианты собираемых свидетельств аудита;
  • Варианты процессов сбора свидетельств.

Наиболее частыми критериями для аудита являются законы, стандарты или требования регулирующих органов. Основными регуляторами в области информационной безопасности являются ФСТЭК России, ФСБ России и Банк России. Помимо этого, применяется так называемый экспертный аудит, проводимый по неформализованному критерию обобщения лучших практик.

В отдельную группу следует выделять технические аудиты (даже в том случае если проверка происходит по критерию). Дело в том, что технические аудиты требуют иных компетенций аудиторской команды. К наиболее популярным техническим аудитам относятся:

Большинство аудитов носят смешанный характер (оценивается как техническая реализация, так и документальное обеспечения деятельности). К данной категории можно отнести:

Опыт RTM Group позволяет проводить иные проверки, которые также можно отнести к вариантам аудита информационной безопасности. Например, экспертизы. Для данного варианта проверок характерно узкое применение результатов. Одним из наиболее частых применений экспертиз является их использование в судебном процессе.

    Нужна консультация?
    Задать вопрос

    Преимущества RTM Group?

    • Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
    • RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
    • Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать аудит или экспертизу в сфере ИБ

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email: info@rtmtech.ru




    Оглавление:

    Цели аудита ИБ Процесс аудита ИБ Варианты аудитов ИБ Преимущества RTM Group Заказать аудит ИБ Стоимость аудита ИБ


    Видео по аудиту информационной безопасности

    Почему RTM Group

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в пятерку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по аудиту информационной безопасности

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Аудит ИБ в рамках любого из бизнес-процессов

    от 200 000 руб.

    Тестирование на проникновение (пентест) и анализ уязвимостей

    Срок — от 2 недель

    Подробное описание
     

    от 150 000 руб.

    Внесудебная экспертиза по вопросам IT и информационной безопасности

    от 40 000 руб.

    Наши преимущества

    Нами проведено более 500 аудитов

    Сотрудники компании провели более 500 аудитов по различным критериям

    3 лицензии

    ФСТЭК России и ФСБ России

    45+

    Вариантов аудитов информационной безопасности в нашем портфеле

    Наши отзывы по аудиту информационной безопасности

    Отзыв о RTM Group от Алексея Д.

    10.09.2020

    Офис замечательной компании, которая оказывает услуги по информационной безопасности.

    Наши кейсы

    Купля-продажа авто при помощи ЭЦП

    Заказчик, как разработчик ПО, генерирующего неквалифицированную и простую электронные подписи (ЭП), предложил автосалонам их внедрение в систему заключения сделок купли-продажи с покупателями. Пожелания – подготовить обоснование возможности подписания ЭП и регистрации договора купли-продажи транспорта.

    Услуги для вас

    Услуга ГОСТ Р 57580: Аудит (оценка соответствия)

    ГОСТ Р 57580: Аудит (оценка соответствия)

    - Кто имеет право проводить оценку соответствия по ГОСТ 57580?
    - Исходные данные для оценки соответствия по ГОСТ Р 57580.2. Область применения, область оценки, выборка
    - Как проходит аудит (оценка соответствия) по ГОСТ 57580.2?
    - Как оформляется отчет по результатам оценки соответствия по ГОСТ 57580.2?
    - Оценка по Приказу №930 Минкомсвязи (Биометрия)
    - Почему RTM Group?
    - Цена оценки соответствия по ГОСТ Р 57580.2
    Услуга Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

    Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

    - Где содержится требование проводить оценку (анализ) уязвимостей ПО?
    - Какое ПО нужно оценивать на уязвимости по 683-П?
    - Что сказано в ГОСТ 15408-3 про анализ уязвимостей ПО?
    - Как сделать анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3?
    - Отчет по анализу уязвимостей ПО
    - Дополнительные услуги по анализу уязвимостей
    - Почему RTM Group?
    - Цена работ по анализу уязвимостей программного обеспечения
    - Заказать работы по анализу уязвимостей программного обеспечения
    Услуга Тест на проникновение (пентест) и анализ уязвимостей

    Тест на проникновение (пентест) и анализ уязвимостей

    - Что следует учесть при выполнении требования Банка России по проведению пентеста на ежегодной основе?
    - Пример технического задания на проведение пентеста по 683-П, 719-П, 757-П
    - Почему RTM Group?
    - Цена проведения пентеста

    НАМ ДОВЕРЯЮТ

    Полезные статьи

    Статья Противодействие кибертерроризму

    Противодействие кибертерроризму

    С уровнем развития информационных технологий у злоумышленников появляются пути не только для собственного обогащения преступным путём, но и возможности влияния на деятельность крупного предприятия или целой страны.

    Статья Доктрина информационной безопасности Российской Федерации

    Доктрина информационной безопасности Российской Федерации

    Доктрина информационной безопасности России – это изложение систем официальных взглядов на место Российской Федерации в современном мире информационных технологий, на угрозы суверенитету страны, а также средств, которые используются для выстраивания взаимодействия между государствами в цифровом обществе.

    Статья Кража денежных средств с банковского счета

    Кража денежных средств с банковского счета

    В эпоху информатизации и автоматизации большинства бизнес-процессов возникает огромное количество угроз информационной безопасности, которые могут привести, в том числе к краже денежных средств с банковских счетов.
    Статья Специалисты по обеспечению информационной и программной безопасности систем

    Специалисты по обеспечению информационной и программной безопасности систем

    Специалисты по информационной безопасности являются основным эшелоном защиты Компании от воздействия вредоносного кода, несанкционированного доступа в информационную инфраструктуру, а также преступных посягательств посредством социальной инженерии и иных методов воздействия на сотрудников Компании.

    Статья Защита конфиденциальной информации (сведений конфиденциального характера)

    Защита конфиденциальной информации (сведений конфиденциального характера)

    Для любой организации, независимо от вида деятельности, одной из важнейших сфер бизнес интереса является защита конфиденциальной информации.

    Статья Судебная экспертиза в 2022 году

    Судебная экспертиза в 2022 году

    — Происхождение судебных экспертиз
    — Какие задачи решает судебная экспертиза?
    — Классификация судебных экспертиз
    — Экспертиза в уголовном, гражданском и арбитражном процессах
    — Судебно-медицинская экспертиза (СМЭ)
    — Технико-криминалистическая экспертиза документов
    — Судебная строительно-техническая экспертиза (ССТЭ)
    — Судебная компьютерно-техническая экспертиза
    — Автотехническая экспертиза
    — Экономические экспертизы
    Статья Информационные опасности и угрозы

    Информационные опасности и угрозы

    О том, что такое информационные опасности, откуда они берутся и как с ними бороться. Раскрываем основные моменты.
    Статья Что такое базовая модель угроз ФСТЭК?

    Что такое базовая модель угроз ФСТЭК?

    Моделирование угроз, реальное предназначение модели угроз, основные документы по теме. Описание процесса разработки.

    FAQ: Часто задаваемые вопросы

    По каким признакам вы можете провести аудит ИБ? Сколько это стоит и что для этого нужно?

    Добрый день.
    Проведение аудита ИБ может проводиться по регламентным методикам, например, ГОСТ 57580.2, либо по качественным требованиям, например, для ПДн — постановление правительства 1119. Сроки и стоимость зависят от выбранного критерия и области оценки (числа серверов, систем и проч.).

    Что такое технический аудит и зачем он нужен?

    Технический аудит – специальная независимая экспертиза, которая проводится путем осуществления плановых, а так же тематических проверок.
    Технический аудит проводится с целью выявления несоответствия руководящим документам, как в ходе подготовки к проверкам со стороны регулятора, так и для повышения уровня состояния информационной безопасности.
    Иными словами технический аудит, это часть общего аудита, и проводится он в какой то определенной части информационной инфраструктуры.
    Во время проведения технического аудита проверяются все лицензии, сверяются все нормативные и распорядительные документы, а также эксплуатационные журналы. Проводится анализ информационной инфраструктуры на возможные уязвимости.

    Мы используем файлы cookie. Продолжив работу с сайтом, вы соглашаетесь с политикой конфиденциальности.