SOC 2. Предварительная оценка готовности и подготовка к аудиту

Мы предлагаем:

  • Аудит соответствия требованиям SOC2;
  • Анализ устойчивости, в том числе техническое нагруженное тестирование;
  • Подробный отчет о проведенном обследовании и соответствии руководящим документам;
  • Организационную и нормативную поддержку для повышения уровня соответствия требованиям.

Почему мы:

  • Более 10 дипломированных специалистов по информационной безопасности.
  • Большинство специалистов прошли сертификацию аудитора с учётом требований международных стандартов и имеют соответствующие документы.
  • Консультанты по информационной безопасности имеют разносторонний опыт во всех направлениях информационной безопасности различных отраслей.
  • Юристы с более чем 20 годами опыта работы и специальной подготовкой в сферах IT и ИБ.

Важно:

Предварительная подготовка позволяет затем в кратчайшие сроки и с первого раза получить сертификат соответствия.

SOC 2. Предварительная оценка готовности и подготовка к аудиту - услуги RTM Group
SOC 2. Предварительная оценка готовности и подготовка к аудиту - от RTM Group
Узнать стоимость?

Эксперты по аудиту SOC2

Эксперт по аудиту SOC2 Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты
Эксперт по аудиту SOC2 Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты

Для кого предназначены аудиты SOC2?

Аудиты SOC 2 нацелены на организации, которые предоставляют услуги и системы организациям-клиентам (например, облачные вычисления, программное обеспечение как услуга, платформа как услуга).

Компания-клиент может попросить обслуживающую организацию предоставить отчет по аудиту, обеспечивающего уверенность, особенно если конфиденциальные или личные данные передаются обслуживающей организации. Если организация предоставляет облачные сервисы, аудиторский отчет SOC 2 будет иметь большое значение для установления доверия с клиентами и заинтересованными сторонами. Аудит SOC 2 часто является непременным условием для сервисных организаций, чтобы сотрудничать.

Аудиты SOC 2 являются важным компонентом регулирующего надзора, программ управления поставщиками, внутреннего управления и управления рисками.

 

Что такое AICPA TSC?

В рамках аудита SOC 2 анализируется информация и свидетельства в отношении безопасности, доступности, целостности обработки данных и/или конфиденциальности персональных данных обслуживающей организации в соответствии с AICPA’s (American Institute of Certified Public Accountants — Американский институт сертифицированных бухгалтеров) TSC (Trust Services Criteria — Критерии доверительных услуг).

TSC — это признанный отраслевой стандарт для проведения аудита в сервисных организациях, таких как поставщики облачных услуг, поставщики и разработчики программного обеспечения, компании веб-маркетинга и организации финансовых услуг.

Критерии доверительных услуг делятся на 5 категорий и обслуживающие организации должны выбрать, какая из пяти (или все пять) категорий доверительных услуг требуется для снижения основных рисков для услуги или системы, которые они предоставляют:

  1. Общие критерии – когда информация и системы защищены от несанкционированного доступа, несанкционированного раскрытия информации и повреждения систем, которые могут поставить под угрозу доступность, целостность, конфиденциальность информации или систем, и повлиять на способность организации достичь своих целей. И это единственная обязательная категория трастовых услуг.
  2. Доступность – когда информация и системы доступны для работы, и использования для достижения целей организации.
  3. Целостность обработки – когда информация и системы доступны для работы, и использования для достижения целей организации.
  4. Конфиденциальность – когда информация, обозначенная как конфиденциальная, защищена для достижения целей организации.
  5. Конфиденциальность персональных данных – когда персональные данные собираются, используется, хранятся, раскрываются и удаляются для достижения целей организации.

 

TSC тесно связаны со следующими стандартами:

  1. ISO 27001 и ISO 27002 (менеджмент информационной безопасности)
  2. PCI DSS (Стандарт безопасности данных индустрии платежных карт)
  3. Стандарты безопасности HIPAA (Закон США о переносимости и подотчетности медицинского страхования)
  4. NIST SP 800-53 (контроль безопасности и конфиденциальности) и SP 800-66 (реализация правила безопасности HIPAA)
  5. DoD 8500.2 (реализация информационного обеспечения)
  6. NERC-CIP (защита критически важной инфраструктуры)

 

Что содержится в аудиторском отчете SOC2?

Аудиторский отчет SOC 2 предназначен для предоставления клиентам, руководству и пользователям сервисных организаций. Отчет отражает уверенность в пригодности и эффективности средств контроля обслуживающей организации, которые имеют отношение к безопасности, доступности, целостности обработки, конфиденциальности и/или конфиденциальности персональных данных. Отчет обычно предназначен для ограниченного использования существующими и потенциальными клиентами.

Существует два типа аудитов и отчетов SOC2:

  1. Тип 1 – аудит и отчет, выполненные в указанную дату.
  2. Тип 2 – аудит и отчет, выполненные за определенный период, обычно не менее шести месяцев.

Отчет об аудите SOC2 включает:

  1. Заключение о результатах аудита.
  2. Утверждение руководства проверяемой организации.
  3. Подробное описание системы или услуги.
  4. Подробная информация о выбранных категориях трастовых услуг.
  5. Тесты средств контроля и результаты тестирования.
  6. Необязательная дополнительная информация, которую организация хочет добавить в отчет.

Отчет об аудите SOC2 также указывает, соответствует ли обслуживающая организация требованиям AICPA TSC.

    Нужна консультация?

    Кто может проводить аудит SOC?

    Аудит SOC может проводить только независимый CPA (сертифицированный общественный бухгалтер) или бухгалтерская организация.

    Аудиторы SOC регулируются и должны придерживаться определенных профессиональных стандартов, установленных AICPA. От них также требуется следовать конкретным указаниям, связанным с планированием, выполнением и надзором аудиторских процедур. Члены AICPA также должны пройти экспертную оценку, чтобы убедиться, что их аудиты проводятся в соответствии с принятыми стандартами аудита.

    Организации CPA могут нанимать профессионалов, не имеющих отношения к CPA, с соответствующими навыками в области информационных технологий и безопасности для участия в подготовке к аудиту SOC, но окончательный отчет должен быть предоставлен и выпущен CPA. Успешный аудит SOC, проведенный CPA, позволяет обслуживающей организации использовать логотип AICPA на своем веб-сайте.

     

    Предварительная оценка готовности к аудиту SOC 2 и устранение недостатков

    Подготовка к аудиту SOC 2 любой организации заключается в следующем:

    1. Оценка готовности
      Оценивается состояние готовности к SOC 2, включая тип услуги, которую организация предлагает, категории услуг доверия, применимые к этой услуге, и меры безопасности, относящиеся к предоставлению услуги. Помимо прочего, изучаются и анализируются процессы, и процедуры организации, файлы конфигурации системных настроек, снимки экрана, подписанные документы и организационная структура.
    2. Исправление недостатков
      После выявления недостатков, предоставляются рекомендации по устранению их.  По необходимости определяется объем аудита, составляется описание системы или услуги, проводится оценка рисков, выбор средств контроля, определяются измерения и показатели эффективности контроля или интеграция требований SOC2 в существующую в организации СУИБ, соответствующую ISO 27001 (систему управления информационной безопасностью).
    3. Тестирование и отчетность
      Проведение необходимого тестирования и составление отчетности.

     

    Почему RTM Group?

    • Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
    • RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к “продаже” дополнительных услуг.
    • Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать услуги по аудиту SOC2

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email:






    Видео по аудиту SOC2

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по аудиту SOC2

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Предварительная оценка готовности к аудиту SOC 2

    Оценка состояния готовности к SOC 2;
    Рекомендации для исправления недостатков;
    Тестирование и отчетность.

    Подробное описание
     

    от 750 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    3 лицензии

    ФСТЭК России и ФСБ России

    2800+ аудитов и экспертиз

    Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

    Каждый 5-й российский банк - наш клиент

    Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

    100% удовлетворенность заказчиков

    Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

    Продукты и решения для вас

    Нам доверяют

    FAQ: Часто задаваемые вопросы

    Проконсультируйте, пожалуйста: Расчетный центр (частная компания), выставляет квитанции на оплату коммунальных услуг и принимает платежи по этим квитанциям. На безналичный прием денежных средств заключены договоры с разными банками (кредитные организации), то есть транзакции обрабатывает банк.
    Требуется ли расчетному центру в этом случае получать сертификат PCI DSS?

    Все организации, которые хранят или передают данные хотя бы одной банковской карты и хотят работать с международными платежными системами, должны следовать этому стандарту. Делать это нужно:

    • сервисам для приема онлайн-платежей по пластиковым картам
    • банкам и финансовым организациям
    • приложениям, которые работают с данными держателей карт
    • крупным интернет-магазинам
    • платежным сервисам

    Из Вашего описания, как я понял, не фигурируют данные банковских карт, а именно CV2 (секретный код на обороте карты). Вы принимаете только электронные сообщения – распоряжения о переводе. Соответственно данные банковских карт обрабатывает Банк, а не Ваша организация.