Аудит информационной безопасности — это комплексная проверка состояния защищенности ИТ-инфраструктуры компании. Это не просто сканирование на уязвимости, а глубокий экспертный анализ, который позволяет взглянуть на вашу систему глазами аудитора или проверяющего органа.
В рамках проведения аудита осуществляется:

• анализ организационно-распорядительной документации в области обработки и защиты информации;
• оценка реализованных организационных и технических мер обеспечения информационной безопасности;
• проверка конфигураций средств вычислительной техники, сетевого оборудования и программного обеспечения;
• выявление уязвимостей, обусловленных недостатками применяемых средств защиты либо некорректностью их настройки;
• тестирование реализованных механизмов разграничения доступа и регистрации событий безопасности;
• оценка осведомленности персонала в части соблюдения требований политик информационной безопасности.

Результат аудита — это не просто список проблем, а четкий план действий по их устранению и повышению уровня зрелости ИБ.

Нормативная база аудитов ИБ, стандарты и требования законодательства
Аудит выполняется относительно конкретной «линейки» — требований, которым должна соответствовать компания.
Мы проверяем инфраструктуру по трем ключевым векторам:
Международные стандарты

• ГОСТ Р ИСО/МЭК 27001-2021 (ISO/IEC 27001): Базовый стандарт для систем менеджмента информационной безопасности. Необходим компаниям, выходящим на международные рынки или работающим с иностранными партнерами.
• PCI DSS: Обязателен для всех, кто принимает оплату банковскими картами. Требования касаются шифрования трафика, защиты платежных данных и регулярного тестирования.

Законодательство Российской Федерации

• Федеральный закон № 152-ФЗ «О персональных данных»: Требует от операторов ПДн (а это почти любая компания ) защиты данных.
• Приказы ФСТЭК. Регулируют защиту в государственных информационных системах (ГИС), значимых объектах критической информационной инфраструктуры (КИИ) и АСУ ТП.

Отраслевые и корпоративные требования

• Стандарты Банка России. Для финансовых организаций и нефинансовых кредитных организаций.
• Внутренние политики компании. Проверка соответствия регламентам, принятым внутри вашей организации.

ЭТАП 1 Подготовка и сбор информации
На входе мы получаем от вас данные об инфраструктуре.
Вместе мы определяем границы проверки: что именно проверяем (весь офис или только сегмент с 1С:Бухгалтерией) и какова цель (подготовка к 152-ФЗ или общая ревизия).
Методы проведения работ:
• анализ предоставленной документации;
• анализ сайтов и мобильных приложений;
• анкетирование и интервьюирование работников.

ЭТАП 2 Анализ документации и интервьюирование
Проводится экспертиза:

• политик в отношении обработки персональных данных и политик информационной безопасности ;
• приказов о назначении ответственных лиц (за организацию обработки персональных данных, за обеспечение безопасности информации);
• инструкций пользователей информационных систем;
• регламентов резервного копирования, реагирования на инциденты, управления доступом.

На этом этапе мы проводим интервью с ключевыми сотрудниками ИТ-отдела и изучаем документацию.

ЭТАП 3 Техническое тестирование
С использованием специализированного ПО и методик мы проводим:

• инвентаризацию активов (аппаратные средства, программное обеспечение, информационные ресурсы);
• анализ конфигураций сетевого оборудования, серверов, автоматизированных рабочих мест;
• сканирование на наличие уязвимостей с использованием сертифицированных средств;
• проверку эффективности реализованных мер защиты информации (идентификация и аутентификация, регистрация событий, антивирусная защита, межсетевое экранирование).

ЭТАП 4 Анализ настроек (конфигураций) и выявление уязвимостей
С помощью специализированных инструментов или в ручном режиме анализируем конфигурации и настройки.
В результате выявляем уязвимости и ошибки в настройках.

ЭТАП 5. Подготовка отчета и формирование рекомендаций
По результатам аудита составляется документированная информация, содержащая:

• описание области и методов проведения аудита;
• перечень выявленных несоответствий и уязвимостей;
• оценку критичности выявленных недостатков;
• рекомендации по устранению несоответствий и совершенствованию системы защиты информации;
• дорожную карту реализации корректирующих действий

Наша команда объединяет специалистов с глубоким опытом в области информационной безопасности и юриспруденции

Мы реализовали множество успешных проектов для компаний различных отраслей. В области защиты персональных данных реализовано более 500 проектов

Мы работаем без лишних наценок и бюрократии, что позволяет нам предлагать конкурентные цены на наши услуги

Мы постоянно развиваемся, осваиваем новые технологии и подходы, чтобы предлагать вам самые эффективные решения

Мы не используем шаблонные решения, а разрабатываем документацию, адаптированную к специфике вашей компании

Мы не только разрабатываем документы, но и помогаем эффективно их внедрить. Вы получите ценные рекомендации по предоставлению неограниченного доступа к Политике, а также по другим аспектам работы с документами

Мы проконсультируем по вопросам персональных данных и поможем пройти проверку РКН

Мы бесплатно проанализируем Ваш сайт на соответствие требованиям законодательства и дадим рекомендации по устранению выявленных несоответствий

от 150 000 ₽

от 100 000 ₽

ОТ 300 000 ₽

Определение потребностей в услугах

Техническое обследование ИТ-инфраструктуры, анализ конфигураций оборудования

Аудит ИТ-инфраструктуры и на соответствие требованиям законодательства РФ

Обследование на соответствие ГОСТ

контакты

Екатеринбург, ул. генеральская, д. 7, офис 205

телефон

e-mail