Аудит информационной безопасности
КОНСУЛЬТАЦИЯ
Оценим уровень кибербезопасности и предложим варианты его повышения
Аудит информационной безопасности (кибербезопасности) включает в себя комплексный анализ и проверку ИТ-инфраструктуры Вашего предприятия, позволяя выявлять уязвимости и угрозы, слабости и активы с высоким риском кибербезопасности. Аудит информационной безопасности является основным методом проверки соответствия чего-либо (компании, системы, продукта и т.д.) применимым требованиям информационной безопасности.
Сертификация аудитора ИБ
Сертификация аудитора информационной безопасности - одна из самых популярных в мире: CISA, CISSP, GSE, CySA+, CAP, GSNA, GSEC, Security+, GPPA, SSCP, CSX, CCAK, Cybersecurity Audit.
Аудит информационной безопасности всегда проводится на соответствие требованиям конкретного документа или их совокупности. В качестве документа могут выступать:

  • российские, международные стандарты;
  • «лучшие практики» обеспечения информационной безопасности различных ассоциаций;
  • «лучшие практики» применения средств защиты информации различных вендоров;
  • нормативные правовые акты и методические документы федеральных органов исполнительной власти, международных организаций;
  • локальные нормативные правовые акты и методические документы организации (или группы компаний) Заказчика.

Аудит, являясь независимой оценкой, проводится в соответствии с правилами и кодексом деятельности аудитора (которые принимаются, например, при сертификации аудитора), или иными способами обеспечения независимости и непредвзятости результатов аудита.

Аудит информационной безопасности может проводиться как чисто экспертными методами, так и с помощью технических средств (сканеров безопасности, средств инвентаризации сети и множества других).
Цена экзамена на сертификацию аудитора
Цена экзамена на сертификацию аудитора информационной безопасности зависит от организации, по программе которой проходит сертификация (например, ISACA, (ISC)2, SANS), и выбранной программе сертификации и находится в пределах от $400 до $3500. Также требуются ежегодные взносы.
Основные задачи:
Оценка уровня защищённости информационных ресурсов компании.
Анализ путей проникновения в информационную инфраструктуру компании.
Анализ состава и конфигурации используемых средств защиты информации.
Оценка полноты и достаточности мер защиты информации, принимаемых поставщиками ИТ-услуг.
Оценка уровня зрелости процессов кибербезопасности компании.
Кому нужна данная услуга?
Крупные и средние коммерческие организации
Органы государственной и муниципальной власти и их подведомственные организации
Подробная информация о функциональности решения, особенностях внедрения и использования
Подробная информация о функциональности решения, особенностях внедрения и использования
В общем случае, порядок оказываемых услуг следующий:
1
Заключение NDA
заключение соглашения о неразглашении конфиденциальной информации между Исполнителем и Заказчиком
2
Определение Заказчиком ответственного лица, непосредственно с которым будет осуществляться взаимодействие
ориентировочно - руководитель подразделения ИБ или иное лицо, имеющее аналогичную квалификацию
3
Получение предварительной информации о перечне требований, анализ соответствия которым будет проводиться в ходе аудита
4
Формирование предложений по границам оказания услуг, методам аудита, средствам аудита, возможным результатам оказания услуг и срокам их получения
5
Разработка и согласование Плана оказания услуги
по требованию Заказчика
6
Осмотр объектов аудита в оговорённых границах аудита
опрос специалистов Заказчика по предмету аудита согласно Плану аудита
7
Получение доступа (например, физического, удалённого) к объектам аудита (при необходимости
при необходимости
8
Техническое обследование объектов аудита (систем, процессов, иных активов Заказчика) в оговорённых границах оказания услуг
9
Обобщение результатов, формирование выводов о соответствии объекта аудита требованиям, разработка отчёта об аудите