Аудит и консалтинг ИБ
Проведение аудита информационной безопасности (ИБ) позволяет решить следующие задачи:
1. Обследование и разработка формализованных описаний:
2. Аудит информационной безопасности (GAP-анализ, оценка соответствия) и приведение в соответствие требованиям по направлениям:
3. Анализ защищенности и тестирование на проникновение (в том числе, согласно требованиям Стандарта PCI DSS)
4. Проведение оценки влияния на бизнес, степени тяжести последствий от нарушения ИБ и классификации информации
5. Проведение оценки рисков ИБ и разработка модели угроз:
6. Определение и формализация политики и стратегии (концепции):
7. Разработка технического задания на разработку и внедрение технических средств и организационных мер защиты.
8. Разработка технического проекта и рабочей документации на технические средства защиты:
9. Внедрение и подготовка к сертификации Системы управления информационной безопасности (СУИБ) в соответствии с требованиями международного стандарта ISO 27001
10. Внедрение Системы менеджмента информационной безопасности (СМИБ) в соответствии с требованиями отраслевого стандарта СТО БР ИББС
11. Внедрение отдельных процессов ИБ (передача знаний работникам заказчика, демонстрация, наблюдение и контроль выполнения) и соответствующей документации в части руководства (governance) и управления (management) в соответствии с требованиями:
12. Внедрение отдельных процессов и соответствующей документации (регламенты, инструкции) в части обеспечения ИБ (в зависимости от применяемых технических средств защиты):
13. Выполнение работ в части управления непрерывностью бизнеса:
- повышение уровня защищенности информационных ресурсов компании;
- приведение процессов управления ИБ в соответствие с требованиями государственных и отраслевых стандартов;
- контроль уровня защищенности внедряемой информационной системы.
В рамках аудита и консалтинга ИБ специалисты АО «РНТ» предоставляют следующие услуги:
1. Обследование и разработка формализованных описаний:
- бизнес-процессов;
- банковских технологических процессов;
- информационных потоков;
- сетевой инфраструктуры;
- автоматизированных систем;
- средств защиты информации.
2. Аудит информационной безопасности (GAP-анализ, оценка соответствия) и приведение в соответствие требованиям по направлениям:
- СТО БР ИББС;
- «ФЗ-161 и Национальная Платежная Система»;
- «ФЗ-152 и защита персональных данных»;
- ISO 27001;
- ISO 22301
- COBIT
- комплексный аудит сразу по нескольким направлениям.
3. Анализ защищенности и тестирование на проникновение (в том числе, согласно требованиям Стандарта PCI DSS)
4. Проведение оценки влияния на бизнес, степени тяжести последствий от нарушения ИБ и классификации информации
5. Проведение оценки рисков ИБ и разработка модели угроз:
- определение перечня угроз ИБ;
- выявление уязвимостей активов и формализация возможных векторов атак;
- расчет значений остаточных рисков;
- разработка плана по обработке рисков;
- описание способов выявления угроз и мониторинга рисков ИБ.
6. Определение и формализация политики и стратегии (концепции):
- анализ требований внешних и внутренних заинтересованных сторон;
- формализация бизнес–целей;
- декомпозиция бизнес–целей в цели информационной безопасности;
- определение и формализация факторов влияния, необходимых для реализации целей информационной безопасности, включая:
- принципы и подходы;
- процессы;
- орг.структура, персонал и компетенции;
- информация и инфраструктура;
- культура организации.
- разработка (корректировка разработанного ранее) документа «Концепция ИБ» на основе проведенного анализа.
7. Разработка технического задания на разработку и внедрение технических средств и организационных мер защиты.
8. Разработка технического проекта и рабочей документации на технические средства защиты:
- Пояснительная записка;
- Спецификация оборудования;
- Программа и методика испытаний;
- Руководство пользователя;
- Формуляр.
9. Внедрение и подготовка к сертификации Системы управления информационной безопасности (СУИБ) в соответствии с требованиями международного стандарта ISO 27001
10. Внедрение Системы менеджмента информационной безопасности (СМИБ) в соответствии с требованиями отраслевого стандарта СТО БР ИББС
11. Внедрение отдельных процессов ИБ (передача знаний работникам заказчика, демонстрация, наблюдение и контроль выполнения) и соответствующей документации в части руководства (governance) и управления (management) в соответствии с требованиями:
- COBIT5;
- ISO27001;
- СТО БР ИББС.
12. Внедрение отдельных процессов и соответствующей документации (регламенты, инструкции) в части обеспечения ИБ (в зависимости от применяемых технических средств защиты):
- управление инвентаризацией и конфигурациями информационных активов;
- управление уязвимостями ИБ;
- управление событиями и инцидентами ИБ (построение систем управления инцидентами информационной безопасности в соответствии с требованиями ISO 27035, подготовка к внедрению систем класса SEM/SIEM, разработка правил корреляции событий и др.);
- управление доступом;
- повышение уровня осведомленности;
- противодействие компьютерному мошенничеству;
- резервного копирования и восстановления.
13. Выполнение работ в части управления непрерывностью бизнеса:
- Аудит системы управления непрерывностью бизнеса на соответствие требованиям стандарта ISO22301:2012;
- Внедрение системы управления непрерывностью бизнеса в соответствии с требованиями стандарта ISO22301:2012 и подготовка к сертификации;
- Разработка планов ОНиВД в соответствии с требованиями ЦБ РФ;
- Автоматизация процессов управления непрерывностью бизнеса.