Аудит информационной безопасности

Мы предлагаем:

  • Анализ внутренних нормативных документов на соответствие требований регулятора
  • Обследование информационной инфраструктуры
  • Тестирование на проникновение и анализ уязвимостей (в т.ч. ПО не ниже ОУД4)
  • Выявление уязвимых информационных систем
  • Разработку внутренних нормативных документов всех уровней
  • Подробный отчет о проведенном аудите и соответствии руководящим документам
  • Рекомендации по устранению и повышению надежности защиты

Почему мы:

  • Более 10 дипломированных специалистов по информационной безопасности
  • Большинство специалистов имеют сертификаты аудиторов от международных стандартов
  • Консультанты по информационной безопасности имеют разносторонний опыт во всех направлениях информационной безопасности различных отраслей

Важно:

При выявлении критичных моментов на этапе обследования консультанты по информационной безопасности немедленно сообщают об этом Заказчикам и предлагают оптимальные пути решения сложившейся ситуации.

Аудит информационной безопасности - услуги RTM Group
Аудит информационной безопасности - от RTM Group
Необходимо провести аудит ИБ?

Эксперты по аудиту информационной безопасности

Эксперт по аудиту информационной безопасности Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты
Эксперт по аудиту информационной безопасности Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по аудиту информационной безопасности Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Аудит информационной безопасности – один из ключевых инструментов, который позволяет оценить реальную защищенность активов (в том числе ИТ-активов) компании. Результаты аудита позволяют создать/улучшить существующую систему ИБ.

В общем случае аудит ИБ можно определить следующим образом: Аудит информационной безопасности – системный процесс сбора свидетельств, получение качественных и количественных оценок относительно состояния технологического или бизнес-процесса (с точки зрения ИБ), а также элементов ИТ-инфраструктуры, и их соотнесение с критериями (законами, стандартами, политиками и прочее).

В России аудитом информационной безопасности принято называть широкую категорию услуг и сервисов. В зависимости от области работ, состава информационных систем, методик и критериев аудита можно выделить десятки различных вариантов проведения аудита информационной безопасности.

 

Цели аудита информационной безопасности

Аудит ИБ – очень широкая категория услуг, соответственно цели аудитов могут существенно отличаться друг от друга. Например, целью аудита информационной безопасности может быть подтверждение соответствия деятельности компании какому-либо стандарту. По результату такого аудита может выдаваться сертификат или иной документ, например по результат аудита аккредитованным органом может выдаваться сертификат соответствия (ISO 27001).

В технических аудитах ИБ конечной целью может быть определенное действие. Например, заказчик пентеста может обозначить в качестве цели внесение изменений в информационную систему (наиболее популярная цель – создание новой учетной записи с правами администратора в контроллере домена).

Основной целью аудита является получение объективной и независимой оценки состояния информационной безопасности. В дальнейшем все зависит от решаемых средствами аудита задач.

К задачам аудита ИБ можно отнести:

Задачи аудита информационной безопасности

  • Подтверждение соответствия требованиям (стандартов, регуляторов и пр.)
  • Выявление уязвимостей ИТ-инфраструктуры
  • Выявление уязвимостей в процессах (в том числе в процессе самого обеспечения ИБ)
  • Получение рекомендаций по улучшению/изменению

 

Процесс аудита информационной безопасности

Аудит ИБ предприятия может быть очным, заочным и смешанным. В любом случае эксперт получает информацию о состоянии ИБ в организации и (обрабатывая и сопоставляя ее с критерием оценки) получает свидетельства.

В качестве свидетельств выступают:

Свидетельства для проведения аудита ИБ

  • скриншоты и фотографии
  • интервью и записи сотрудников проверяемой организации
  • внутренние документы и документы контрагентов проверяемой организации
  • наблюдения эксперта

В зависимости от сложности критериев и размера области оценки варьируется срок и содержание плана проведения аудита.

После получения достаточного набора свидетельств, аудитор получает оценку соответствия (количественная, например, 0.84 или качественная – “соответствует”, в зависимости от критерия).

По полученным результатам в обязательном порядке выдаются рекомендации по улучшению и/или повышению оценки.

 

Стандарты и виды аудита информационной безопасности

Принято разделять аудиты ИБ на экспертные аудиты и аудита по стандартам (compliance).

Экспертные аудиты ИБ как услуга разрабатываться под конкретную задачу проверяемой организации. Например, у компании произошел инцидент. По результатам внутреннего расследования, было установлено, что причиной инцидента является некорректная настройка сетевого оборудования. В таком случае может быть проведен аудит безопасности внутренней инфраструктуры, сочетающий в себе элементы тестирования на проникновение. В рамках такого аудита будут проанализированы настройки сетевого оборудования, процессы, опрошены лица участвующие в технологическом процессе и пр. Такой аудит призван выявить проблемы на одном из направлений системы обеспечения информационной безопасности.

Управление инцидентами информационной безопасности — важная задача, которая способствует повышению всего уровня защиты организации.

Аудиты по стандартам подразумевают работу по какому-либо критерию, например, по стандарту или набору стандартов ISO, NIST, ГОСТ и пр. Соответственно проверяющий будет опираться на стандарт информационной безопасности в полном объеме, соблюдая все процедуры и требования конкретного критерия. В этом случае методика аудита заранее определена, подавляющее большинство стандартов предусматривают методики аудитов в самих стандартах.

Наиболее популярные стандарты/критерии/РД информационной безопасности в России, которыми пользуются аудиторы, являются:

  1. ISO 27001
  2. NIST SP 800-й серии
  3. ГОСТ Р ИСО/МЭК 18045
  4. Серия положений Банка России по информационной безопасности
  5. ГОСТ 57580.х
  6. ГОСТ Р ИСО/МЭК 27007
  7. Серии документов ФСТЭК России по персональным данным и защите критической информационной инфраструктуры

Перечислять все стандарты не имеет смысла, т.к. документов много, а их актуальность сильно меняется год от года.

 

Варианты аудитов информационной безопасности

По типу исполнителя аудиты ИБ можно разделять на:

  • Внутренний
  • Внешний

Внутренний аудит, как правило проводят специалисты самого предприятия, внешний аудит – приглашенные эксперты. Таким образом, внутренний и внешний аудит в комплексе могут обеспечить всестороннюю оценку информационной безопасности.

Исходя из определения, для проведения конкретного аудита ИБ можно выбрать разные:

Варианты аудитов информационной безопасности

  • Критерии аудита
  • Проверяемые элементы ИТ-инфраструктуры (для аудита информационных систем)
  • Проверяемые процессы
  • Варианты получения оценок (качественных или количественных)
  • Варианты собираемых свидетельств аудита
  • Варианты процессов сбора свидетельств

Наиболее частыми критериями для аудита являются законы, стандарты или требования регулирующих органов. Основными регуляторами в области информационной безопасности являются ФСТЭК России, ФСБ России и Банк России. Помимо этого, применяется так называемый экспертный аудит, проводимый по неформализованному критерию обобщения лучших практик.

В отдельную группу следует выделять технические аудиты или аудиты безопасности информационных систем (даже в том случае если проверка происходит по критерию). Дело в том, что технические аудиты требуют иных компетенций аудиторской команды. К наиболее популярным техническим аудитам относятся:

Большинство аудитов носят смешанный характер (оценивается как техническая реализация, так и документальное обеспечения деятельности). К данной категории можно отнести:

Опыт RTM Group позволяет проводить иные проверки, которые также можно отнести к вариантам аудита информационной безопасности. Например, экспертизы. Для данного варианта проверок характерно узкое применение результатов. Одним из наиболее частых применений экспертиз является их использование в судебном процессе.

    Нужна консультация?

     

    Планы и программы аудита информационной безопасности

    В экспертных аудитах план может содержаться в тексте технического задания на аудит. При этом некоторые стандарты в качестве обязательного элемента требуют разработку плана аудита ИБ по заранее определенной форме. Помимо плана аудита, который, как правило, является планом одного конкретного аудита, некоторые стандарты вводят понятие программы аудита. Программа аудита, обычно, представляет собой план серии аудитов. Здесь необходимо быть внимательным, т.к. понятия плана и программы аудита могут существенно отличаться в разных стандартах.

     

    Этапы аудита информационной безопасности

    1. Инициация аудита (как правило, включает в себя разработку и подписание договора и ТЗ, в случае аудита по стандартам ссылку на конкретный стандарт)
    2. Сбор информации (проведение интервью, сбор технических данных, сбор документации по информационной безопасности и пр.)
    3. Обработка и анализ информации (этап на котором полученная информация интерпретируется аудитором для достижения цели аудита)
    4. Разработка отчета по результатам аудита (формат отчета зависит от технического задания или стандарта ИБ)

    Это стандартные этапы, которые будут пройдены по результатам любого аудита ИБ и смогут повысить уровень информационной безопасности, что является главной целью аудита.

    При этом, в зависимости от конкретного проекта, могут появиться дополнительные этапы, например:

    • Предварительное согласование отчета
    • Разработка дополнительных документов (предварительная разработка политики или регламента аудита информационной безопасности)
    • Презентация по результатам работ
    • и пр.

     

    Отчет по аудиту информационной безопасности

    Форма и содержание отчета может быть определена стандартом ИБ, например, ГОСТ 57580.2 содержит четкие требования к отчету. При этом, большинство отчетов по аудиту информационной безопасности содержат следующее:

    1. Информация о Заказчике и Исполнителе аудита
    2. Сведения об аудиторской группе
    3. Цели аудита
    4. Сроки аудита
    5. Информация о ходе аудита
    6. Информация о результатах аудита
    7. Рекомендации по результатам аудита

     

    Преимущества RTM Group?

    • Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
    • RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к “продаже” дополнительных услуг.
    • Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать аудит или экспертизу в сфере ИБ

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email: info@rtmtech.ru






    Видео по аудиту информационной безопасности

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по аудиту информационной безопасности

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Аудит ИБ в рамках любого из бизнес-процессов

    от 200 000 руб.

    Тестирование на проникновение (пентест) и анализ уязвимостей

    Срок — от 2 недель

    Подробное описание
     

    от 150 000 руб.

    Внесудебная экспертиза по вопросам IT и информационной безопасности

    от 90 000 руб.

    Полный аудит соответствия требований 683-П и проведение оценки по ГОСТ Р 57580

    Срок – от 16 недель

    от 800 000 руб.

    Полный аудит соответствия требованиям 757-П и проведение оценки по ГОСТ Р 57580

    Срок – от 18 недель

    от 1 000 000 руб.

    Оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (локальное решение)

    Срок – от 10 недель

    от 700 000 руб.

    Для ОПС, ОПДС: Аудит соответствия общим требованиям 719-П (без ОУД4)

    Возможно проведения аудита соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, проведение финального этапа аудита общих требований 719-П.
    Срок – от 10 недель

    Подробное описание
     

    от 300 000 руб.

    Аудит системы защиты персональных данных на соответствие 152-ФЗ

    Анализ документации
    Анализ защищённости систем, используемых для обработки ПДн
    Оценка готовности к инспекции Роскомнадзора

    Подробное описание
     

    от 150 000 руб.

    Пентест внутренних ресурсов (удаленно)

    Срок – от 4 недель

    от 300 000 руб.

    Пентест сайта

    Срок – от 5 рабочих дней

    от 200 000 руб.

    Пентест web-приложения

    Срок – от 5 рабочих дней

    от 200 000 руб.

    Аудит программного кода

    от 100 000 руб.

    Оценка соответствия программного обеспечения по ОУД4 в соответствии с ГОСТ 15408-3-2013

    Срок — от 8 недель

    Подробное описание
     

    от 512 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    Нами проведено более 800 аудитов

    Сотрудники компании провели более 700 аудитов по различным критериям

    3 лицензии

    ФСТЭК России и ФСБ России

    60+

    Вариантов аудитов информационной безопасности в нашем портфеле

    Услуги для вас

    Продукты и решения для вас

    Нам доверяют

    Полезные статьи

    FAQ: Часто задаваемые вопросы

    По каким признакам вы можете провести аудит ИБ? Сколько это стоит и что для этого нужно?

    Добрый день.
    Проведение аудита ИБ может проводиться по регламентным методикам, например, ГОСТ 57580.2, либо по качественным требованиям, например, для ПДн – постановление правительства 1119. Сроки и стоимость зависят от выбранного критерия и области оценки (числа серверов, систем и проч.).

    Что такое технический аудит и зачем он нужен?

    Технический аудит – специальная независимая экспертиза, которая проводится путем осуществления плановых, а так же тематических проверок.
    Технический аудит проводится с целью выявления несоответствия руководящим документам, как в ходе подготовки к проверкам со стороны регулятора, так и для повышения уровня состояния информационной безопасности.
    Иными словами технический аудит, это часть общего аудита, и проводится он в какой то определенной части информационной инфраструктуры.
    Во время проведения технического аудита проверяются все лицензии, сверяются все нормативные и распорядительные документы, а также эксплуатационные журналы. Проводится анализ информационной инфраструктуры на возможные уязвимости.

    Кто готовит план проведения аудита по информационной безопасности?

    То, как планируется деятельность аудитора зависит от критерия аудита. Если в качестве критерия используется стандарт, то самим стандартом может быть предусмотрена обязанность аудитора подготовить план аудита и предоставить его проверяемой организации для ознакомления. Если аудит носит экспертный характер (такой аудит не опирается на какой-либо стандарт, либо использует стандарт только в какой-то части), то в этом случае план аудита разрабатываться на этапе подписания договора или согласования Технического задания.

    Здравствуйте! Очень нравится материал, который вы публикуете. Я учащийся 2 курса магистратуры в университете и часто использую ваши статья в учебной деятельности. Хотел у вас спросить, не могли бы вы подсказать как составить программу внешнего аудита ИБ (может у вас есть какой-нибудь шаблон)? В этом семестре дали такое задание, но очень сложно разобраться. Заранее спасибо

    Денис, здравствуйте.

    Спасибо за положительную характеристику нашей работы.

    Относительно программы внешнего аудита рекомендую ознакомиться с положениями ГОСТ 57580.2-2018, в котором указаны требования к проведению аудита.

    Если более крупными мазками, то программа должна включать:

    – цели аудита
    – объект оценки (инфраструктура, приложение, персонал)
    – область оценки (перечень критериев или мер, по которым проводится оценка)
    – состав участников со стороны проверяющей и проверяемой организаций
    – календарный план аудита (часто им ограничиваются, что в корне неверно)
    – требования к отчету.

    Календарный план должен быть разбит по формам взаимодействия (интервью, наблюдение, получение скриншотов по email и т.д.), вовлекаемым сотрудникам, элементам объекта оценки. Разбивать по области оценки (сегодня смотрим АВЗ, завтра документы) считаю непродуктивным.