Для планомерного и устойчивого развития бизнеса необходима безопасная среда. Актуальные угрозы ИБ, рост числа утечек конфиденциальной информации, увеличение количества целевых компьютерных атак ставят под угрозу доходы предприятий.
Экспертный или практический аудит информационных систем
Эксперты по аудиту информационных систем
Гончаров Андрей Михайлович
Юрист в области информационной безопасности
Опыт: Профессиональный опыт в области IT-права с 2015 года
Задать вопрос эксперту: Гончаров Андрей Михайлович Все экспертыМузалевский Федор Александрович
Ведущий эксперт компьютерно-технического направления
Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»
Задать вопрос эксперту: Музалевский Федор Александрович Все экспертыКобец Дмитрий Андреевич
Эксперт в сфере информационной безопасности
Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года
Задать вопрос эксперту: Кобец Дмитрий Андреевич Все экспертыЦель аудита ИС
Чтобы организация могла быть уверена в том, что её критичные информационные системы не находятся под угрозой, необходимо проводить регулярный аудит безопасности информационных систем.
Данная услуга будет интересна организациям, планирующим в скором времени совершенствование своей системы защиты, а также организациям, желающим выявить структурные недостатки ИС в разрезе информационной безопасности.
Этапы проведения аудита информационных систем
Аудит ИС состоит их нескольких последовательных неотъемлемых этапов:
- Определение области оценки
Команда аудиторов и представители заказчика совместно определяют перечень защищаемой информации. К ним могут быть отнесены любые данные, при наличии достаточных оснований – существовании законодательных требований к защите таких данных (персональные данные, информация о клиентских платежах), их ценности для бизнеса (коммерческая тайна), репутационных и финансовых рисков в случае их утечки (внутренние документы, средства рабочей связи между сотрудниками). - Определение защищаемой инфраструктуры
После определения перечня защищаемой информации необходимо выделить аппаратные и программные средства, задействованные в обработке такой информации. Определяется состав рабочих мест, серверного и сетевого оборудования, внешних интерфейсов, устройств вывода и иных объектов, влияющих на поверхность возможной атаки.
- Исследование реализованных процессов защиты
Относительно выделенной инфраструктуры исследуются применяемые меры защиты информации (функционирующие средства защиты, регулярные мероприятия и т.п.). Оценивается их состав, полнота, эффективность, область покрытия. Исходя из актуальных рисков, выявленных на первом и втором этапе, формируются выводы о достаточности реализованных мер защиты. - Формирование отчётных документов
Ход работ, результаты исследования, а также рекомендуемые меры по совершенствованию отражаются в отчёте по итогам аудита информационных систем.
Какие виды аудита ИС можно выделить?
Анализ состояния информационных систем затрагивает их аппаратные и программные средства, каналы связи с другими системами, интерфейсы, обрабатываемые чувствительные данные.
Аудит включает в себя комплексное исследование всех элементов информационной системы.
Критерии и содержание аудита во многом зависят от задач, которые ставит перед собой клиент.
Оценка соответствия нормативным требованиям
Если компания хочет удостовериться, соответствует ли её инфраструктура всем применимым требованиям законодательства или положениям отдельных отраслевых стандартов, то аудит будет иметь довольно чёткую структуру.
Область применения оценки соответствия устанавливается нормативным актом, также на основании него выделяются критерии оценки, вырабатывается методика проведения аудита.
Такие проекты ставят своей целью оценку юридических рисков в случае проверки регулятора, поэтому их влияние на состояние практической безопасности весьма ограничено.
Экспертное исследование
В ходе данного аудита в качестве нормативной базы не применяются отечественные или зарубежные нормативные акты.
Исследуется вся критичная информационная инфраструктура заказчика, оценивается её общая стойкость к различным популярным сценариям атак.
Стоит отметить отличие тестирования на проникновение от подобного аудита.
- Первое не имеет цели выявить глубокие проблемы системы защиты, не исследует подробно процессы информационной безопасности.
- Второе же направлено на широкое изучение элементов информационных систем и связанных с ней объектов, процессов.
Данные такого аудита могут помочь при формировании долгосрочной стратегии развития информатизации и защиты данных.
Почему RTM Group?
- Большой опыт в составлении программ обучения и методик обучения, разработке документации по внутреннему обучению персонала в направлении ИБ;
- Широкая номенклатура смежных услуг позволит развивать работы по совершенствованию системы безопасности при наличии такой потребности;
- Высокое качество услуг, консультационная поддержка по завершении проекта.
- Мы обладаем лицензиями:
- Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
- Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
- Лицензия ФСБ России на работу со средствами криптозащиты
Заказать услуги по аудиту информационных систем
Для уточнения стоимости и сроков звоните или пишите нам:
Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email: info@rtmtech.ru
Заказать услуги по аудиту информационных систем
Почему RTM Group
Цены на услуги по аудиту информационных систем
Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.
Наименование услуги | Стоимость |
---|---|
Консультация |
Бесплатно |
Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету. |
Наши преимущества
2800+ аудитов и экспертиз
Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз
3 лицензии
ФСТЭК России и ФСБ России
Более 60 проектов по защите информации ограниченного доступа
Уже выполнены нашими экспертами