8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00

Аудит информационной безопасности

Аудит информационной безопасности – один из ключевых инструментов, который позволяет оценить реальную защищенность активов (в том числе ИТ-активов) компании. Результаты аудита позволяют создать/улучшить существующую систему ИБ.

В общем случае аудит ИБ можно определить следующим образом:

Аудит информационной безопасности – системный процесс сбора свидетельств, получение качественных и количественных оценок относительно состояния технологического или бизнес-процесса (с точки зрения ИБ), а также элементов ИТ-инфраструктуры, и их соотнесение с критериями (законами, стандартами, политиками и прочее).

В России, аудитом информационной безопасности принято называть широкую категорию услуг и сервисов. В зависимости от области работ, состава информационных систем, методик и критериев аудита можно выделить десятки различных вариантов.

Аудит информационной безопасности

Эксперты по аудиту информационной безопасности

Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Царев Евгений Олегович

Царев Евгений Олегович

Управляющий

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Описание

Цели аудита информационной безопасности

Основной целью аудита является получение объективной и независимой оценки состояния информационной безопасности. В дальнейшем все зависит от решаемых средствами аудита задач.

К задачам аудита ИБ можно отнести:

Задачи аудита информационной безопасности

  • Подтверждение соответствия требованиям (стандартов, регуляторов и пр.)
  • Выявление уязвимостей ИТ-инфраструктуры
  • Выявление уязвимостей в процессах (в том числе в процессе самого обеспечения ИБ)
  • Получение рекомендаций по улучшению/изменению

Процесс аудита информационной безопасности

Аудит ИБ может быть очным, заочным и смешанным. В любом случае эксперт получает информацию о состоянии ИБ в организации и (обрабатывая и сопоставляя ее с критерием оценки) получает свидетельства. В качестве свидетельств выступают:

Свидетельства для проведения аудита ИБ

  • скриншоты и фотографии;
  • интервью и записи сотрудников проверяемой организации;
  • внутренние документы и документы контрагентов проверяемой организации;
  • наблюдения эксперта.

В зависимости от сложности критериев и размера области оценки варьируется срок и содержание плана проведения аудита.

После получения достаточного набора свидетельств, аудитор получает оценку соответствия (количественная, например 0.84 или качественная – «соответствует», в зависимости от критерия).

По полученным результатам обязательно выдаются рекомендации по улучшению и/или повышению оценки.

Варианты аудитов информационной безопасности

Исходя из определения, для проведения конкретного аудита ИБ можно выбрать разные:

Варианты аудитов информационной безопасности

  • Критерии аудита;
  • Проверяемые элементы ИТ-инфраструктуры;
  • Проверяемые процессы;
  • Варианты получения оценок (качественных или количественных);
  • Варианты собираемых свидетельств аудита;
  • Варианты процессов сбора свидетельств.

Наиболее частыми критериями для аудита являются законы, стандарты или требования регулирующих органов. Основными регуляторами в области информационной безопасности являются ФСТЭК России, ФСБ России и Банк России. Помимо этого, применяется так называемый экспертный аудит, проводимый по неформализованному критерию обобщения лучших практик.

В отдельную группу следует выделять технические аудиты (даже в том случае если проверка происходит по критерию). Дело в том, что технические аудиты требуют иных компетенций аудиторской команды. К наиболее популярным техническим аудитам относятся:

Большинство аудитов носят смешанный характер (оценивается как техническая реализация, так и документальное обеспечения деятельности). К данной категории можно отнести:

Опыт RTM Group позволяет проводить иные проверки, которые также можно отнести к вариантам аудита информационной безопасности. Например, экспертизы. Для данного варианта проверок характерно узкое применение результатов. Одним из наиболее частых применений экспертиз является их использование в судебном процессе.

    Запрос коммерческого предложения

    Преимущества RTM Group?

    • Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
    • RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
    • Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать аудит или экспертизу в сфере ИБ

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: +7 (495) 309-31-25
    Время работы: пн-пт 10:00 — 17:00 (мск)
    email: info@rtmtech.ru

      Заказать

       






      Видео по аудиту информационной безопасности

      Наши преимущества

      Нами проведено более 300 аудитов

      Сотрудники компании провели более 300 аудитов по различным критериям

      3 лицензии

      ФСТЭК России и ФСБ России

      40+

      Вариантов аудитов информационной безопасности в нашем портфеле

      Цены на услуги по аудиту информационной безопасности

      Наименование услуги Стоимость

      Консультация

      бесплатно

      Аудит ИБ в рамках любого из бизнес-процессов

      от 200 000 руб.

      Тестирование на проникновение (пентест) и анализ уязвимостей

      от 150 000 руб.

      Внесудебная экспертиза по вопросам IT и информационной безопасности

      от 20 000 руб.

      FAQ: Часто задаваемые вопросы

      По каким признакам вы можете провести аудит ИБ? Сколько это стоит и что для этого нужно?

      Добрый день.
      Проведение аудита ИБ может проводиться по регламентным методикам, например, ГОСТ 57580.2, либо по качественным требованиям, например, для ПДн — постановление правительства 1119. Сроки и стоимость зависят от выбранного критерия и области оценки (числа серверов, систем и проч.).

      Услуги для вас

      Полезные статьи

      НАМ ДОВЕРЯЮТ