8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Услуги » Информационная безопасность » SOC 2. Предварительная оценка готовности и подготовка к аудиту

SOC 2. Предварительная оценка готовности и подготовка к аудиту

Мы предлагаем:

  • Аудит соответствия требованиям SOC2;
  • Анализ устойчивости, в том числе техническое нагруженное тестирование;
  • Подробный отчет о проведенном обследовании и соответствии руководящим документам;
  • Организационную и нормативную поддержку для повышения уровня соответствия требованиям.

Почему мы:

  • Более 10 дипломированных специалистов по информационной безопасности.
  • Большинство специалистов прошли сертификацию аудитора с учётом требований международных стандартов и имеют соответствующие документы.
  • Консультанты по информационной безопасности имеют разносторонний опыт во всех направлениях информационной безопасности различных отраслей.
  • Юристы с более чем 20 годами опыта работы и специальной подготовкой в сферах IT и ИБ.

Важно:

Предварительная подготовка позволяет затем в кратчайшие сроки и с первого раза получить сертификат соответствия.

SOC 2. Предварительная оценка готовности и подготовка к аудиту - услуги RTM Group
SOC 2. Предварительная оценка готовности и подготовка к аудиту - от RTM Group
Узнать стоимость?
Перейти

Эксперты по аудиту SOC2

Эксперт по аудиту SOC2 Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по аудиту SOC2 Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты

Для кого предназначены аудиты SOC2?

Аудиты SOC 2 нацелены на организации, которые предоставляют услуги и системы организациям-клиентам (например, облачные вычисления, программное обеспечение как услуга, платформа как услуга).

Компания-клиент может попросить обслуживающую организацию предоставить отчет по аудиту, обеспечивающего уверенность, особенно если конфиденциальные или личные данные передаются обслуживающей организации. Если организация предоставляет облачные сервисы, аудиторский отчет SOC 2 будет иметь большое значение для установления доверия с клиентами и заинтересованными сторонами. Аудит SOC 2 часто является непременным условием для сервисных организаций, чтобы сотрудничать.

Аудиты SOC 2 являются важным компонентом регулирующего надзора, программ управления поставщиками, внутреннего управления и управления рисками.

 

Что такое AICPA TSC?

В рамках аудита SOC 2 анализируется информация и свидетельства в отношении безопасности, доступности, целостности обработки данных и/или конфиденциальности персональных данных обслуживающей организации в соответствии с AICPA’s (American Institute of Certified Public Accountants — Американский институт сертифицированных бухгалтеров) TSC (Trust Services Criteria — Критерии доверительных услуг).

TSC — это признанный отраслевой стандарт для проведения аудита в сервисных организациях, таких как поставщики облачных услуг, поставщики и разработчики программного обеспечения, компании веб-маркетинга и организации финансовых услуг.

Критерии доверительных услуг делятся на 5 категорий и обслуживающие организации должны выбрать, какая из пяти (или все пять) категорий доверительных услуг требуется для снижения основных рисков для услуги или системы, которые они предоставляют:

  1. Общие критерии – когда информация и системы защищены от несанкционированного доступа, несанкционированного раскрытия информации и повреждения систем, которые могут поставить под угрозу доступность, целостность, конфиденциальность информации или систем, и повлиять на способность организации достичь своих целей. И это единственная обязательная категория трастовых услуг.
  2. Доступность – когда информация и системы доступны для работы, и использования для достижения целей организации.
  3. Целостность обработки – когда информация и системы доступны для работы, и использования для достижения целей организации.
  4. Конфиденциальность – когда информация, обозначенная как конфиденциальная, защищена для достижения целей организации.
  5. Конфиденциальность персональных данных – когда персональные данные собираются, используется, хранятся, раскрываются и удаляются для достижения целей организации.

 

TSC тесно связаны со следующими стандартами:

  1. ISO 27001 и ISO 27002 (менеджмент информационной безопасности)
  2. PCI DSS (Стандарт безопасности данных индустрии платежных карт)
  3. Стандарты безопасности HIPAA (Закон США о переносимости и подотчетности медицинского страхования)
  4. NIST SP 800-53 (контроль безопасности и конфиденциальности) и SP 800-66 (реализация правила безопасности HIPAA)
  5. DoD 8500.2 (реализация информационного обеспечения)
  6. NERC-CIP (защита критически важной инфраструктуры)

 

Что содержится в аудиторском отчете SOC2?

Аудиторский отчет SOC 2 предназначен для предоставления клиентам, руководству и пользователям сервисных организаций. Отчет отражает уверенность в пригодности и эффективности средств контроля обслуживающей организации, которые имеют отношение к безопасности, доступности, целостности обработки, конфиденциальности и/или конфиденциальности персональных данных. Отчет обычно предназначен для ограниченного использования существующими и потенциальными клиентами.

Существует два типа аудитов и отчетов SOC2:

  1. Тип 1 – аудит и отчет, выполненные в указанную дату.
  2. Тип 2 – аудит и отчет, выполненные за определенный период, обычно не менее шести месяцев.

Отчет об аудите SOC2 включает:

  1. Заключение о результатах аудита.
  2. Утверждение руководства проверяемой организации.
  3. Подробное описание системы или услуги.
  4. Подробная информация о выбранных категориях трастовых услуг.
  5. Тесты средств контроля и результаты тестирования.
  6. Необязательная дополнительная информация, которую организация хочет добавить в отчет.

Отчет об аудите SOC2 также указывает, соответствует ли обслуживающая организация требованиям AICPA TSC.

    Нужна консультация?
    Задать вопрос

    Кто может проводить аудит SOC?

    Аудит SOC может проводить только независимый CPA (сертифицированный общественный бухгалтер) или бухгалтерская организация.

    Аудиторы SOC регулируются и должны придерживаться определенных профессиональных стандартов, установленных AICPA. От них также требуется следовать конкретным указаниям, связанным с планированием, выполнением и надзором аудиторских процедур. Члены AICPA также должны пройти экспертную оценку, чтобы убедиться, что их аудиты проводятся в соответствии с принятыми стандартами аудита.

    Организации CPA могут нанимать профессионалов, не имеющих отношения к CPA, с соответствующими навыками в области информационных технологий и безопасности для участия в подготовке к аудиту SOC, но окончательный отчет должен быть предоставлен и выпущен CPA. Успешный аудит SOC, проведенный CPA, позволяет обслуживающей организации использовать логотип AICPA на своем веб-сайте.

     

    Предварительная оценка готовности к аудиту SOC 2 и устранение недостатков

    Подготовка к аудиту SOC 2 любой организации заключается в следующем:

    1. Оценка готовности
      Оценивается состояние готовности к SOC 2, включая тип услуги, которую организация предлагает, категории услуг доверия, применимые к этой услуге, и меры безопасности, относящиеся к предоставлению услуги. Помимо прочего, изучаются и анализируются процессы, и процедуры организации, файлы конфигурации системных настроек, снимки экрана, подписанные документы и организационная структура.
    2. Исправление недостатков
      После выявления недостатков, предоставляются рекомендации по устранению их.  По необходимости определяется объем аудита, составляется описание системы или услуги, проводится оценка рисков, выбор средств контроля, определяются измерения и показатели эффективности контроля или интеграция требований SOC2 в существующую в организации СУИБ, соответствующую ISO 27001 (систему управления информационной безопасностью).
    3. Тестирование и отчетность
      Проведение необходимого тестирования и составление отчетности.

     

    Почему RTM Group?

    • Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
    • RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
    • Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать услуги по аудиту SOC2

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email:




    Оглавление:

    Для кого предназначен аудит SOC2 Что такое AICPA TSC? Что содержится в отчете SOC2? Кто может проводить аудит SOC? Предварительная оценка SOC 2 Почему RTM Group? Заказать предварительную оценку SOC 2


    Видео по аудиту SOC2

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по аудиту SOC2

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Предварительная оценка готовности к аудиту SOC 2

    Оценка состояния готовности к SOC 2;
    Рекомендации для исправления недостатков;
    Тестирование и отчетность.

    Подробное описание
     

    от 750 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    3 лицензии

    ФСТЭК России и ФСБ России

    2800+ аудитов и экспертиз

    Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

    Каждый 4-й российский банк - наш клиент

    Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

    100% удовлетворенность заказчиков

    Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

    Продукты и решения для вас

    Anti-DDoS и WAF

    Anti-DDoS и WAF

    Anti-DDoS — это набор инструментов и технологий, предназначенных для защиты серверов, сетей и веб-приложений от DDoS-атак. Их задача — отличить легитимный трафик от вредоносного, блокируя последний и обеспечивая стабильную работу ресурса. WAF — это программное или аппаратное решение, которое анализирует входящий и исходящий трафик веб-приложения. Его задача — выявлять и блокировать подозрительные запросы, предотвращая попытки атак, таких как SQL-инъекции, XSS (межсайтовый скриптинг), атаки на сеансы и другие.
    Security Awareness

    Security Awareness

    Security Awareness — это категория продуктов и решений, направленных на формирование киберграмотности и повышение осведомленности сотрудников о потенциальных угрозах. Человеческий фактор остаётся одним из ключевых векторов атак, поскольку ошибки, невнимательность или недостаток знаний могут привести к утечке данных, успешным фишинговым атакам и другим инцидентам.

    Менеджер паролей

    Менеджер паролей

    Программное обеспечение класса PMS (Password Management System) или корпоративный менеджер паролей. Программы предназначены для централизованного хранения и организации доступа к паролям для систем и сервисов, используемых компанией или организацией.
    Многофакторная аутентификация

    Многофакторная аутентификация

    Пароли уже не обеспечивают достаточного уровня безопасности, поскольку их можно украсть, подобрать или перехватить. Именно поэтому многие компании и сервисы внедряют многофакторную аутентификацию (MFA), позволяющую значительно усложнить несанкционированный доступ к учётным записям.
    МФУ и печатная техника

    МФУ и печатная техника

    МФУ (многофункциональные устройства) и печатная техника — это оборудование для работы с документами. МФУ объединяют функции принтера, сканера, копира и иногда факса, обеспечивая универсальное решение для офисных и домашних задач. Печатная техника включает принтеры, плоттеры и специализированные устройства для различных видов печати, от текстов до графики.
    Офисный пакет

    Офисный пакет

    Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.
    ПК (АРМ)

    ПК (АРМ)

    ПК (АРМ) предназначен для оснащения рабочих мест сотрудников. Может быть исполнен в различных форм-факторах: моноблок, Compact, Desktop, Tower.
    Сервер

    Сервер

    Сервер — это устройство, которое хранит данные и даёт доступ к ним большому числу клиентов.
    Системы защиты информации

    Системы защиты информации

    Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.
    СХД

    СХД

    Система хранения данных (СХД) — специализированная инфраструктура для централизованного хранения и управления информацией в компьютерных сетях.
    Удаленный доступ и управление конфигурациями устройств

    Удаленный доступ и управление конфигурациями устройств

    UEM (Unified Endpoint Management) – это системы, которые позволяют компаниям предоставлять для своих сотрудников доступ к работе с любого устройства и удаленно управлять этими устройствами.
    DLP

    DLP

    DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.
    SIEM

    SIEM

    SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

    Межсетевые экраны

    Межсетевые экраны

    Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.
    Управление уязвимостями

    Управление уязвимостями

    Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

    Антивирусы

    Антивирусы

    Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.
    Цифровая криминалистика

    Цифровая криминалистика
    Операционные системы

    Операционные системы

    Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.

    Информационная безопасность

    Информационная безопасность

    Нам доверяют

    Полезные статьи

    Статья PCI DSS: краткая история, определение, требования, уровни

    PCI DSS: краткая история, определение, требования, уровни

    Основные требования стандарта PCI DSS, его основное назначение, уровни сертификата и многое другое. От экспертов RTM Group.
    Статья QSA Аудит: что это, зачем нужен и кто его проводит?

    QSA Аудит: что это, зачем нужен и кто его проводит?

    Рассказываем о том, что такое QSA аудит, кто и как его проводит, какие у него требования. Также рассматриваем возможные альтернативы.

    FAQ: Часто задаваемые вопросы

    Проконсультируйте, пожалуйста: Расчетный центр (частная компания), выставляет квитанции на оплату коммунальных услуг и принимает платежи по этим квитанциям. На безналичный прием денежных средств заключены договоры с разными банками (кредитные организации), то есть транзакции обрабатывает банк.
    Требуется ли расчетному центру в этом случае получать сертификат PCI DSS?

    Все организации, которые хранят или передают данные хотя бы одной банковской карты и хотят работать с международными платежными системами, должны следовать этому стандарту. Делать это нужно:

    • сервисам для приема онлайн-платежей по пластиковым картам
    • банкам и финансовым организациям
    • приложениям, которые работают с данными держателей карт
    • крупным интернет-магазинам
    • платежным сервисам

    Из Вашего описания, как я понял, не фигурируют данные банковских карт, а именно CV2 (секретный код на обороте карты). Вы принимаете только электронные сообщения — распоряжения о переводе. Соответственно данные банковских карт обрабатывает Банк, а не Ваша организация.