Аудит информационной безопасности
Аудит информационной безопасности — один из главных составляющих оценки защищенности активов организации (в том числе ИТ-активов). Итоги и выводы аудита позволят построить или усовершенствовать действующую концепцию ИБ.
Заказать услуги по аудиту информационной безопасностиЦели аудита информационной безопасности
Целью аудита является подтверждение соответствия деятельности организации какому-либо стандарту. По итогу аудита выдается документ, например сертификат соответствия.
В технических аудитах информационной безопасности главной целью может являться конкретное мероприятие. Например, заказчик может позиционировать в качестве конечной цели изменения (преобразование, улучшение и т.п.) в информационной системе.
Главная цель аудита — получение реальной и независимой оценки системы информационной безопасности организации.
Задачи аудита ИБ
Подтверждение соответствия требованиям стандартов;
- Установление уязвимостей инфраструктуры информационных технологий;
- Установление уязвимостей в процессах защиты информации;
- Получение рекомендаций по повышению качества или развития уровня информационной безопасности.
Стандарты и виды
Аудиты информационной безопасности разделяются на аудиты по стандартам (compliance) и экспертные аудиты.
Аудиты, предполагающие работу по стандарту или набору стандартов (ISO, NIST, ГОСТ и пр.), проводятся полностью основываясь на стандартах информационной безопасности, следуя всем требованиям и регламентам. В этом случае технология аудита заранее известна, значительная часть стандартов уже предусматривает методики аудитов.
Экспертные аудиты разрабатываются под определенную задачу организации. Может быть выполнен аудит внутренней инфраструктуры, включающий тестирование на проникновение. Такой аудит направлен на обнаружение недостатка в системе защиты информации.
Этапы аудита информационной безопасности
- Начальный этап аудита (подготовка и согласование договора);
- Получение информации (проведение интервью, сбор технических свидетельств, получение организационно-распорядительной документации по информационной безопасности и др.);
- Анализ информации (этап, где собранная информация обрабатывается аудитором);
- Подготовка отчета по итогам аудита.
Иногда, могут появиться дополнительные этапы, например:
- Предварительное согласование отчета;
- Процесс разработки документов (разработка Положения или Инструкции в направлении информационной безопасности);
- Презентация;
- Другое.
Боев Андрей Валерьевич
Аналитик по безопасности программного обеспечения
Профессиональный опыт в сфере информационной безопасности с 2009 года
Компетентные специалисты
Опыт, закрепленный большим количеством проведенных пентестов и подготовка наших специалистов — дают гарантию в корректности отчетов.
Конкурентные цены
Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.
Объективная оценка
Как независимая компания, мы дадим объективную оценку информационной безопасности предприятия.
Стоимость по аудиту информационной безопасности
| Услуга | Стоимость |
|---|---|
Консультация |
бесплатно |
Тестирование на проникновение внешнего периметра корпоративной информационной системыЧерный ящик, до 10 сетевых хостов, без логики веб-приложений. Срок проведения 2 недели. |
от 150 000 руб. |
Свяжитесь с нами
Напишите нам! Расскажите о Вашей задаче и наш специалист свяжется с Вами.
Услуги для Вас
Оценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3
Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3
ПодробнееПентест (pentest)
Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак
ПодробнееПентест (pentest) сайта и веб-приложений
Тестирование на проникновение сайта и веб-приложений
Подробнее