Как выполнить аудит информационной безопасности
Содержание:
- Введение
- По данным портала ЗАЧЕСТНЫЙБИЗНЕСОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «АУДИТ БЕЗОПАСНОСТИ»По данным портала ЗАЧЕСТНЫЙБИЗНЕС2721207559
- Основные направления деятельности в области аудита безопасности информации
- С чего начать
- Аудит сответствия требованиям PCI DSS
- Разработка рекомендаций и презентация результатов проекта
- Что получает предприятие (заказчик) в результате аудита безопасности?
- Последние изменения
- Сбор свидетельств аудита
- Услуги по консалтингу и аудиту информационной безопасности
- Проекты
- Компетенции КРОК подтверждены международными стандартами
- Когда необходим аудит информационной безопасности
Введение
Под комплексным аудитом будем понимать следующие работы, проводимые в рамках одного проекта:
- тестирование на проникновение;
- аудит процессов ИБ;
- обследование ключевых бизнес-систем и бизнес-процессов;
- анализ конфигураций элементов ИТ-инфраструктуры;
- обследование процессов обработки ПДн и режима КТ;
- разработка рекомендаций для повышения уровня зрелости процессов ИБ.
Наверняка все помнят детские задачки из серии «из пункта А в пункт Б вышел пешеход, двигающийся со скоростью 5 км/ч, а также выехал велосипедист со скоростью 15 км/ч…»
Рисунок 1. Визуализированная детская задачка
Добавим немного переменных, присущих проекту по комплексному аудиту ИБ в крупной компании (для примера приведены числовые показатели аудита, проведенного в 2018 году):
- обследование головного офиса и 7 дочерних организаций;
- анализ 60 информационных систем, 50 средств защиты и 8 комплексных АСУ ТП;
- разработка дорожной карты мероприятий ИБ;
- 2,5 месяца и более 25 работников на проекте.
В результате получаем неформализованную задачу, которая выглядит примерно так:
Пять проектных команд выехали из пункта А в пункт Д с разной скоростью. Что нужно сделать, чтобы в соответствии с планом-графиком все команды пришли в точку Д, куда они договорились прибыть одновременно, при этом заехав по пути в филиалы Б, В и Г, сохранив нервы менеджера проекта и главного конструктора и тратя на сон более 5 часов в день.
В своей работе мы по многим направлениям используем заранее подготовленные «напоминалки», так называемые чек-листы — они помогают во многом структурировать и упорядочить проектную деятельность. Это отличный инструмент для напоминаний, позволяющий не забыть базовые вещи.
Любой проект глобально можно разделить на три основных блока:
- подготовка к проведению аудита;
- сбор свидетельств аудита и анализ полученных данных;
- разработка рекомендаций и презентация результатов.
По данным портала ЗАЧЕСТНЫЙБИЗНЕСОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «АУДИТ БЕЗОПАСНОСТИ»По данным портала ЗАЧЕСТНЫЙБИЗНЕС2721207559
О компании:
ООО «АУДИТ БЕЗОПАСНОСТИ» ИНН 2721207559, ОГРН 1142721001697 зарегистрировано 12.03.2014 в регионе Хабаровский Край по адресу: 680013, Хабаровский кр, город Хабаровск, улица Шабадина, 19а, ОФИС 515. Статус: Действующее. Размер Уставного Капитала 11 000,00 руб.
Руководителем организации является: Генеральный Директор — Дольбер Екатерина Владимировна, ИНН . У организации 3 Учредителя. Основным направлением деятельности является «деятельность по обеспечению пожарной безопасности». На 01.01.2020 в ООО «АУДИТ БЕЗОПАСНОСТИ» числится 3 сотрудника.
Рейтинг организации: Средний подробнее
Должная осмотрительность (отчет) ?
Статус: ?
Действующее
Дата регистрации: По данным портала ЗАЧЕСТНЫЙБИЗНЕС
?
По данным портала ЗАЧЕСТНЫЙБИЗНЕС
12.03.2014
Налоговый режим: ?
По данным портала ЗАЧЕСТНЫЙБИЗНЕС
Упрощенная система налогообложения (УСН) (на 01.01.2020)
Среднесписочная численность работников: ?
01.01.2020 – 3 ↓ -0 (3 на 01.01.2019 г.)
Фонд оплаты труда / Средняя заработная плата Доступно в Премиум Доступе ?
Среднемесячная заработная плата в организации ниже среднемесячной заработной платы в регионе Хабаровский край. Подробнее…
ОГРН ? |
1142721001697 присвоен: 12.03.2014 |
ИНН ? |
2721207559 |
КПП ? |
272101001 |
ОКПО ? |
48348296 |
ОКТМО ? |
08701000001 |
Реквизиты для договора
?
…Скачать
Проверить блокировку cчетов
?
Контактная информация -,+7… Посмотреть
?
Отзывы об организации
?: 0 Написать отзыв
Юридический адрес: ?
По данным портала ЗАЧЕСТНЫЙБИЗНЕС
680013, Хабаровский кр, город Хабаровск, улица Шабадина, 19а, ОФИС 515
получен 12.03.2014
зарегистрировано по данному адресу:
По данным портала ЗАЧЕСТНЫЙБИЗНЕС
По данным портала ЗАЧЕСТНЫЙБИЗНЕС
Руководитель Юридического Лица ?По данным портала ЗАЧЕСТНЫЙБИЗНЕС
Генеральный ДиректорПо данным портала ЗАЧЕСТНЫЙБИЗНЕС
Дольбер Екатерина Владимировна
ИНН ? |
По данным портала ЗАЧЕСТНЫЙБИЗНЕС |
действует с | По данным портала ЗАЧЕСТНЫЙБИЗНЕС 15.11.2016 |
Учредители ? ()
Уставный капитал: По данным портала ЗАЧЕСТНЫЙБИЗНЕС
11 000,00 руб.
45.45% |
Дольбер Евгений Михайлович 5 000,00руб., 12.03.2014 , ИНН |
45.45% |
Дольбер Михаил Янкелевич 5 000,00руб., 12.03.2014 , ИНН |
9.09% |
Дольбер Екатерина Владимирвна 1 000,00руб., 23.07.2018 , ИНН |
Основной вид деятельности: ?По данным портала ЗАЧЕСТНЫЙБИЗНЕС
84.25.1 деятельность по обеспечению пожарной безопасности
Дополнительные виды деятельности:
Единый Реестр Проверок (Ген. Прокуратуры РФ) ?
Реестр недобросовестных поставщиков: ?
По данным портала ЗАЧЕСТНЫЙБИЗНЕС
не числится.
Данные реестра субъектов МСП: ?
Критерий организации |
По данным портала ЗАЧЕСТНЫЙБИЗНЕС Микропредприятие |
Налоговый орган ?
По данным портала ЗАЧЕСТНЫЙБИЗНЕС
Инспекция Федеральной Налоговой Службы По Центральному Району Г.хабаровска
Дата постановки на учет: По данным портала ЗАЧЕСТНЫЙБИЗНЕС
12.03.2014
Регистрация во внебюджетных фондах
Фонд | Рег. номер | Дата регистрации |
---|---|---|
ПФР ? |
037001024992 |
По данным портала ЗАЧЕСТНЫЙБИЗНЕС 25.03.2014 |
ФСС ? |
270716569527071 |
По данным портала ЗАЧЕСТНЫЙБИЗНЕС 17.03.2014 |
Уплаченные страховые взносы за 2018 год (По данным ФНС):
— на обязательное социальное страхование на случай временной нетрудоспособности и в связи с материнством: 1 740,00 руб.
— на обязательное пенсионное страхование, зачисляемые в Пенсионный фонд Российской Федерации: 16 260,00 руб.
— на обязательное медицинское страхование работающего населения, зачисляемые в бюджет Федерального фонда обязательного медицинского страхования: 0,00 руб. ↓ -0 млн.
Коды статистики
ОКАТО ? |
08401375000 |
ОКОГУ ? |
4210014 |
ОКОПФ ? |
12300 |
ОКФС ? |
16 |
Финансовая отчетность ООО «АУДИТ БЕЗОПАСНОСТИ» ?
?
Финансовый анализ отчетности за 2019 год
Коэффициент текущей ликвидности:
>2
Коэффициент капитализации:
Рентабельность продаж (ROS):
-0 Подробный анализ…
В качестве Поставщика: , на сумму |
В качестве Заказчика: , на сумму |
По данным портала ЗАЧЕСТНЫЙБИЗНЕС
Судебные дела ООО «АУДИТ БЕЗОПАСНОСТИ» ?
найдено по ИНН: По данным портала ЗАЧЕСТНЫЙБИЗНЕС |
найдено по наименованию (возможны совпадения): По данным портала ЗАЧЕСТНЫЙБИЗНЕС |
По данным портала ЗАЧЕСТНЫЙБИЗНЕС
Исполнительные производства ООО «АУДИТ БЕЗОПАСНОСТИ»
?
найдено по наименованию и адресу (возможны совпадения): По данным портала ЗАЧЕСТНЫЙБИЗНЕС |
По данным портала ЗАЧЕСТНЫЙБИЗНЕС
Лента изменений ООО «АУДИТ БЕЗОПАСНОСТИ»
?
Не является участником проекта ЗАЧЕСТНЫЙБИЗНЕС ?
Основные направления деятельности в области аудита безопасности информации
Основные направления аудита информационной безопасности детализируются на следующие: аттестацию; контроль защищенности информации; специальные исследования технических средств и проектирование объектов в защищенном исполнении.
- Аттестация объектов информатизации по требованиям безопасности информации:
- аттестация автоматизированных систем, средств связи, обработки и передачи информации;
- аттестация помещений, предназначенных для ведения конфиденциальных переговоров;
- аттестация технических средств, установленных в выделенных помещениях.
- Контроль защищенности информации ограниченного доступа:
- выявление технических каналов утечки информации и способов несанкционированного доступа к ней;
- контроль эффективности применяемых средств защиты информации.
- Специальные исследования технических средств на наличие побочных электромагнитных излучений и наводок (ПЭМИН):
- персональные ЭВМ, средства связи и обработки информации;
- локальные вычислительные системы;
- оформления результатов исследований в соответствии с требованиями Гостехкомиссии России.
- Проектирование объектов в защищенном исполнении:
- разработка концепции информационной безопасности;
- проектирование автоматизированных систем, средств связи, обработки и передачи информации в защищенном исполнении;
- проектирование помещений, предназначенных для ведения конфиденциальных переговоров.
С чего начать
Правда в том, что никто не любит аудиты. Само слово вызывает образ неожиданной проверки, в результате которой всех критикуют за слабые места в безопасности. Но если вы человек, ответственный за ИТ, то, в случае успешной атаки, именно на вас будет лежать груз ответственности. Поэтому именно вам следует настаивать на регулярном тестировании.
Многие предприятия, например, в сфере связи и телекоммуникаций, обязаны иметь внешних аудиторов для подтверждения соблюдения нормативных актов и контроля спецоборудования, такого как (система технических средств для обеспечения функций оперативно-розыскных мероприятий), но это не означает, что при отсутствии обязательных требований, аудитом следует пренебрегать. Но порой даже сам выбор аудиторской компании может стать проблемой.
Аудит сответствия требованиям PCI DSS
Рынок аудита PCI DSS крайне специфичен. Этот рынок имеет одну простую закономерность: кто первый пришел, тот и победил.
Все компании в СНГ, обладающие статусом PCI QSA и играющие сколь-либо существенную роль на этом рынке, являются интеграторами. Исключение одно – Digital Security. Аналогия с аудитами защищенности ИС здесь полная – банки (а именно они были и являются главными потребителями данной услуги) заинтересованы в проектах «под ключ», когда аудитор и интегратор – это одна компания. На Западе это не так, а в СНГ именно так.
Поэтому банковский сектор поделен между компанией «Информзащита», которая сильно опережает конкурентов, и компанией «Инфосистемы Джет», за ними (возможно, с небольшим отрывом) идут все остальные. Причем сам аудит на соответствие PCI DSS как услуга интеграторов не интересует. Им интересна именно интеграция. Второй класс заказчиков по PCI DSS – это небольшие процессинги и платежные шлюзы. Они неинтересны интеграторам, так как таким заказчикам нужны только консалтинг и аудит, а на интеграции здесь ничего не заработаешь. Здесь лидируют Digital Security и «Информзащита». Остальные QSA- компании проигрывают с большим отрывом.
Итак, по общему числу проектов в год абсолютный лидер – «Информзащита», второе место ориентировочно делят «Инфосистемы Джет» и Digital Security, далее еще ряд старых QSA, а остальные новые QSA-компании (2011 года «изготовления») идут с большим отставанием.
Российские компании, которые получили статус в 2011 году (это был последний всплеск интереса к получению статуса QSA), за эти два года выполнили примерно 1–2 проекта и получили полностью убыточное направление бизнеса. Дело в том, что к концу 2010 года рынок был полностью сформирован, поделен, предельно конкурентен и начал впадать в фазу стагнации.
Этот рынок принадлежит компаниям, получившим статус в 2007–2008 годах, и перспектив для успешного выхода на него у новых игроков нет. Все банки давно поделены между интеграторами, первыми получившими статус, и новых банков на рынке не появляется. Новых небольших процессингов и платежных шлюзов, которые нуждаются в сертификации, сейчас крайне мало, и они или по недоразумению попадают к одному из многочисленных QSA-интеграторов (коих сейчас около 10), или к Digital Security, которая объективно наиболее привлекательна для этого класса заказчиков по целому ряду причин – начиная от того, что DSec не является интегратором, и заканчивая активной пропагандой PCI DSS (организованный в 2009 году и на сегодня единственный по теме PCI DSS в СНГ информационный портал PCIDSS.RU, опять же единственная на сегодня в СНГ ежегодная конференция PCI DSS Russia). Кстати, полное отсутствие какой-либо рекламы или пропаганды PCI DSS со стороны других QSA после 2010 года также подтверждает факт стагнации этого рынка – все основные события на нем отгремели как раз до 2010–2011 годов, когда раздел рынка был окончательно завершен. Например, «Информзащита» прекратила поддерживать свой портал по PCI DSS как раз в начале 2011 года.
Также важно отметить, что привязка заказчика к аудитору крайне сильна и случаи перехода к другому аудитору очень редки, поэтому новым игрокам закрепиться на этом рынке практически невозможно. Кроме того, сам рынок услуг по PCI DSS весьма невелик (если исключить из него интеграцию) и делится более чем на дюжину действующих в РФ QSA-аудиторов (включая ряд зарубежных компаний)
Так что рынок для новых игроков закрыт.
Выводы
Основной драйвер рынка – требования Visa и MasterCard.
Основные игроки рынка (по числу проектов) – «Информзащита» (с традиционно большим отрывом), «Инфосистемы Джет», Digital Security.
Разработка рекомендаций и презентация результатов проекта
Аналитический этап, в рамках которого разрозненные данные структурируются, обрабатываются и оцениваются. Проектной командой осуществляется разработка рекомендаций и визуализация полученных результатов и итогов проекта.
Подготовьте к отчетным документам отдельную справку для руководства. Включите в документ краткую информацию о проведенном аудите, ключевых недостатках и точках роста.
Согласуйте формат проведения нормоконтроля отчетной документации. Вычитка (нормоконтроль) сотен страниц занимает большое количество времени. Чтобы этот процесс не затягивал общий ход работ, мы используем следующий подход (заранее согласованный с заказчиком): верстка и устранение «подчеркнутого красным» первого драфта отчета и последующая полная вычитка с корректировкой синтаксиса финального согласованного отчета.
Проведите внутреннюю презентацию результатов проекта. Презентуйте результаты работ проектной команде — это позволит лучше подготовиться к ответам на возможные вопросы бизнеса.
Храните все материалы, собранные в рамках работ, в одном месте. Зачастую заказчики просят нас структурировать запрошенные в рамках аудита свидетельства (например, по процессам ИБ/технологиям/др.) и предоставить их вместе с результатами работ для внутреннего хранения.
Что получает предприятие (заказчик) в результате аудита безопасности?
Итог подобной проверки излагается заказчику в виде отчета. Это, по сути, полноценный документ, за подлинность которого отвечает исполнитель. Данный отчет разделен на несколько составляющих:
- Вверху изложены границы, которые были оговорены между заказчиком и исполнителем перед проведением аудита. Далее идет описание конструкции АС предприятия. При этом средства и методика, применяемые при проведении аудита зачастую также подробно описаны;
- Потом указываются, имеющиеся бреши и недостатки в ИБ предприятия, которые были выявлены исполнителем в ходе аудита;
- Также подчеркивается степень их опасности для предприятия;
- Исполнитель рекомендует, как можно модернизировать систему ИБ;
- В конце аудитор излагает свои рекомендации в отношении того, какие меры должны быть предприняты в первую очередь.
Следует сказать, что аудит информационной безопасности это лишь начальный этап в создании полноценной, усовершенствованной системы ИБ предприятия. На его основе должен быть создан план, согласно которому будет проведена модернизация системы и устранение всех, имеющихся изъянов.
Для улучшения степени ИБ необходимо провести следующее:
- Приобретение нового более совершенного оборудования;
- Привлечение на работу профессионалов в данном направлении;
- Создание документации, способной улучшить ИБ (инструкции, правила, регламенты и т.д.).
Видео по теме основы информационной безопасности:
https://vk.com/video_ext.php
Насколько часто необходимо проводить аудит зависит от изменений в структуре предприятия (открытие новых филиалов компании, внедрение новейших ИС, усовершенствование программного обеспечения и т.д.). На практике подобную внешнюю проверку желательно проводить ежегодно. Внутреннему же аудиту стоит подвергать ИБ раз в три месяца.
Документы по теме
Авторское право
Что такое евразийский патент на изобретение?
207Михаил Королёв22.04.2018
Авторское право
Как самостоятельно зарегистрировать товарный знак или бренд: Подробная инструкция
716Михаил Королёв20.09.2017
Авторское право
Что такое и зачем нужен аудит информационной безопасности на предприятии?
553Михаил Королёв15.09.2017
Авторское право
Авторские права в интернете как объект защиты
958Михаил Королёв23.03.2017
Последние изменения
28.07.2020
Доля учредителя Дзвинко Роман Валерьевич в уставном капитале изменена с 401 283 455 руб. на 254 313 178 720 руб.
Доля учредителя Пащенко Вячеслав Валентинович в уставном капитале изменена с 325 221 337 руб. на 204 493 028 300 руб.
Уставный капитал изменен с 8 126 612 911 руб. на 380 934 272 450 руб.
27.07.2020
Новая госзакупка в роли поставщика, контракт № 2079124431177104743,
контрагент:
Минкомсвязь России
21.07.2020
Новая госзакупка в роли поставщика, контракт № 3948148318177104743,
контрагент:
Минкомсвязь России
20.07.2020
Новая лицензия № 175984 от 27.07.2015, вид деятельности: Телематические услуги связи. Срок действия 27.07.2021
Новая лицензия № 416666 от 27.07.2015, вид деятельности: Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации. Срок действия 27.07.2021
Удалены сведения о лицензии № 130398 1 от 27.07.2015, вид деятельности: ТЕЛЕМАТИЧЕСКИЕ УСЛУГИ СВЯЗИ
Сбор свидетельств аудита
Как говорит один наш коллега, «консультант должен жить у заказчика, должен жить его проблемами». С точки зрения работы с большим количеством людей и объемом собираемой информации, сбор свидетельств аудита — это самый длительный и сложный этап, в рамках которого участники проекта буквально живут на площадке и общаются с профильными специалистами.
Распечатайте несколько экземпляров NDA, подписанных с заказчиком, и возьмите их с собой. Зачастую представители заказчика отказываются общаться, не будучи уверенными в том, что все формальности соблюдены.
Не аудит, а обследование. Позиционируйте проведение работ как обследование процессов обеспечения ИБ, слово «аудит» зачастую заставляет нервничать интервьюируемых работников.
Записывайте сразу в ноутбук. В бумажных записях больше минусов, чем плюсов (затруднен поиск информации, нет под рукой уже полученной ранее информации и пр.), к тому же, записанное на бумаге все равно придется позже оцифровывать.
Не используйте диктофон при сборе информации. На оцифровку материала придется потратить уйму времени, а интервьюируемые при виде диктофона зачастую чувствуют себя неуютно.
Используйте принцип одного окна при запросе информации. Мы используем схему, когда руководитель каждой команды в конце рабочего дня формирует для администратора проекта перечень запрашиваемой информации. Администратор обобщает эти данные в единый файл и ведет его совместно с заказчиком — отслеживает сроки получения информации, в случае необходимости эскалирует на руководство.
Выделяйте час рабочего дня ежедневно на формирование кратких отчетов о проведенных встречах и их согласование. Такой документ содержит в себе ключевые тезисы проведенного интервью, минимизирует риск того, что часть информации была упущена или неправильно интерпретирована.
Сообщайте о критических уязвимостях сразу. В рамках проекта мы готовим еженедельную справку о найденных критических недостатках, которые рекомендуем устранить немедленно.
Валидируйте собираемую информацию частями. Мы рекомендуем заранее, еще до предоставления отчетной документации, согласовывать с заказчиком отдельные разделы отчета — например, описание процессов ИБ или лист оценки защищенности ИС. Чем раньше промежуточные результаты будут согласованы, тем меньше вероятность, что полученный результат не попадет в ожидания заказчика.
Договоритесь о периодических перерывах для оформления полученной информации. Мы стараемся использовать следующую схему: 2-3 дня интервью — 1 день паузы. Данное время позволит структурировать полученную информацию, выделить пробелы при сборе информации.
Проводите еженедельные статусные встречи с участием руководителей команд и представителями заказчика.
Услуги по консалтингу и аудиту информационной безопасности
Направлены на обследование текущего состояния ИБ, оценку процессов ИБ, анализ угроз ИБ, оценку рисков ИБ в соответствии с предъявляемыми требованиями, формирование рекомендаций по совершенствованию ИБ и планов по их достижению.
Позволяет определить слабые места системы и спланировать дальнейшее развитие с учетом актуальных угроз и потребностей бизнеса. Консалтинг в сфере телекоммуникаций направлен на создание эффективной, надежной сети и решает задачи сокращения эксплуатационных расходов и расходов на передачу данных, улучшает производительность сети, повышает качество передачи данных, уменьшает риски отказа оборудования и ускоряет решение проблем.
Задает долгосрочный вектор развития ИБ, основные принципы, цели и задачи ИБ для каждого из горизонтов планирования: краткосрочного, среднесрочного и долгосрочного, а также планов по их достижению.
Позволяет провести комплексные работы по приведению деятельности в соответствие с требованиями как одного из так и нескольких групп требований: № 152-ФЗ «О персональных данных», № 161-ФЗ «О национальной платежной системе», № 98-ФЗ «О коммерческой тайне», ISO/IEC 27001:2013, ГОСТ Р 27001:2006, ISO/IEC 22301:2012, СТО БР ИББС, PCI DSS и др.
Комплексные решения КРОК для управления ИБ соответствуют требованиям международного стандарта ISO/IEC 27001:2013 и российского стандарта ГОСТ Р ИСО/МЭК 27001:2006.
Внедрение процессов управления рисками информационной безопасности осуществляется в соответствии с требованиями стандартов ISO 31000:2009, ISO/IEC 27005:2011 и рекомендациями NIST 800-30. Внедрение процессов управления инцидентами информационной безопасности основывается на рекомендациях стандартов: ISO/IEC 27035:2011, NIST 800-61, NIST 800-86, NIST 800-92.
Проекты
Консалтинг в области соответствия требованиям 161-ФЗ
Московская городская избирательная комиссия
Обследование ИС на соответствие ФЗ «О защите персональных данных»
Компетенции КРОК подтверждены международными стандартами
Система управления информационной безопасностью
Собственная разработка КРОК сертифицирована по стандартам ISO/IEC 27001:2013 и ГОСТ Р ИСО/МЭК 27001 — 2006. Компания КРОК первой в России и СНГ сертифицировала свою СУИБ по стандарту ISO/IEC, а при его обновлении также с учетом измененных требований. С 2016 года действие стандарта ISO/IEC 27001:2013 СУИБ КРОК распространяется и на услуги по аутсорсингу ЦОД и Виртуального дата-центра.
Лицензии регулирующих органов
Целый набор лицензий ФСТЭК и ФСБ в области защиты информации позволяет компании КРОК создавать и обслуживать шифровальные системы, обеспечивать безопасность конфиденциальной информации, в том числе и для защиты государственной тайны.
Партнерская программа BSI
КРОК участвует в Программе ассоциированных консультантов (Associate Consultant Programme) Британского института стандартов. Это обеспечивает квалификацию специалистов КРОК и подтверждает соответствие внедряемых ими систем менеджмента целому ряду международных стандартов: ISO 27001 («Информационная безопасность»), ISO 22301 («Непрерывность бизнеса»), ISO 20000-1 («Управление ИТ-сервисами»)
Квалификация специалистов
Эксперты направления информационной безопасности КРОК обладают множеством международных сертификатов: Lead Auditor (BSI), SANS GIAC, CISA (ISACA), CISM (ISACA) и CISSP (ISC2). Сотрудники КРОК сертифицированы для осуществления аудита на соответствие требованиям стандарта Банка России по обеспечению информационной безопасности организаций банковской системы РФ, 161-ФЗ «О национальной платежной системе» и его подзаконных актов.
Когда необходим аудит информационной безопасности
При современном развитии информационных технологий, они стали неотъемлемой частью функционирования любого более, менее крупного предприятия. Есть несколько вариантов необходимости проведения аудита информационной безопасности. Из них, можно выделить, следующие:
- Если предприятие нуждается в профессиональной оценке того, насколько действенны и надежны средства, используемые им для сохранности ценной информации, от которой зависит вся работа предприятия;
- Применяемые в компании средства защиты данных нуждаются в систематизации. Их нужно проинспектировать и упорядочить;
- Также подобный аудит может понадобиться, если на предприятии собираются разработать и установить инновационную систему защиты данных;
- Аудит информационной безопасности потребуется для модернизации системы ИБ и приведение к такому состоянию, которое требуется в соответствии с действующим законодательством (независимо отечественным или международным);
- В случае, если система дала сбой аудит понадобиться для выяснения всех обстоятельств и причин такого сбоя;
- Такая проверка может потребоваться, если руководство решило модернизировать существующую на предприятии систему информационной безопасности, и на это требуются инвестиции. Она понадобиться для того, чтобы обосновать перед потенциальными инвесторами необходимость вкладывать деньги.
Зачастую, аудит проводится по инициативе менеджмента компании. Также он может быть проведен по требованию отдела внутреннего контроля и профильных отделов (ИБ и автоматизации). Кроме того, такая проверка устраивается по распоряжению различных регулирующих государственных структур и страховых компаний.