Услуги IT аудита в Кыргызстане
ИТ-аудит — это независимая проверка и подтверждение эффективности действующих процессов управления информационными технологиями (ИТ) и информационной безопасностью (ИБ). В рамках ИТ-аудита оценке и тестированию подвергаются организационно-распорядительная документация, помещения обработки и хранения критичной информации, задействованный персонал, сети передачи данных и соответствующие системы хранения данных, вычислительное и сетевое оборудование.
Скачайте анкету, заполните и отправьте на указанный в анкете адрес, чтобы получить предварительный расчёт стоимости и сроков проведения ИТ-аудита:
Процедуры ИТ-аудита проводятся с целью получения разумной или высокой степени уверенности, что процессы управления ИТ и ИБ функционируют, и выполняются в соответствии с принятыми в аудируемой организации требованиями. Как правило, ИТ-аудит включает в себя:
- анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов информационных систем;
- оценка текущего уровня защищённости информационных систем;
- локализация узких мест в системе защиты и эксплуатации информационных систем;
- оценка соответствия информационных систем существующим требованиям по эксплуатации и в области информационной безопасности;
- выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов эксплуатации и безопасности информационных систем.
Стремительная автоматизация устаревающих методов работы существенно повышают ценность информационных технологий практически для любого вида бизнеса. Информация стала новым видом финансовых активов, которые требуют надлежащего управления. Своевременное и квалифицированное реагирование на постоянно изменяющийся ландшафт ИТ и ИБ позволит предотвратить как прямые потери, связанные с компрометацией информационных систем, так и косвенные, появляющиеся в виде затрат на устранение брешей в безопасности, возможных штрафных санкций со стороны регуляторов или вследствие имущественных взысканий по решению суда.
Международная команда экспертов Baker Tilly, имеющих многолетний опыт в области практической информационной безопасности и управления информационными технологиями, обеспечит комплексный подход в вопросах независимой оценки эффективности и безопасности информационных технологий. Услуги по ИТ-аудиту и информационной безопасности оказываются на всей территории Центральной Азии: в Кыргызской Республике (Бишкек), в Казахстане (Алматы), в Узбекистане (Ташкент), в Таджикистане (Душанбе) и в Туркменистане (Ашхабад). Результатом нашей работы является описание выявленных несоответствий, детальная методология и свидетельства их обнаружения, а также квалифицированные рекомендации по устранению идентифицированных рисков. Основной задачей является непредвзятое определение и профессиональная корректировка конкретных процессов управления информационными технологиями или безопасностью, которые и допускают образование уязвимостей и несоответствий.
Результаты ИТ аудита
Результаты аудита ИТ, представленные в виде подписанного отчёта с независимым аудиторским заключением, дают текущую оценку актуального состояния ИТ-инфраструктуры, систем, а также эффективности действий персонала и действующих процессов управления информационными технологиями (ИТ) и информационной безопасностью (ИБ).
Отчёт по ИТ-аудиту
Отчёт об ИТ-аудите — это документ, в котором оцениваются информационные системы и процессы, используемые организацией, на предмет их безопасности, надёжности и эффективности. В ходе ИТ-аудита проводится исследование систем и процессов для выявления уязвимостей или рисков, которые могут поставить под угрозу информационную безопасность или способность организации продолжать операции
Наглядное представление выявленных несоответствий действующим требованиям и критериям аудита сопровождаются описанием собранных свидетельств и доказательствами, позволяющими их воспроизвести. В отчёт включается оценка рисков по каждому из несоответствий с выводами о вероятности наступления последствий и оценкой предполагаемого ущерба, который может возникнуть в результате самого негативного развития событий.
Оценка рисков
Оценка существенных рисков, которые были выявлены в ходе аудита. После выявления риски оцениваются по выбранной методологии, при этом определяется вероятность и потенциальное влияние каждого риска на организацию, описываются сценарии возникновения конкретного риска и потенциальное воздействие на персонал, системы, помещения или инфраструктуру организации
Рекомендации
Реестр рекомендаций конкретных действий, которые организация может предпринять для устранения несоответствий и повышения уровня информационной безопасности. Рекомендации могут включать внедрение новых средств контроля безопасности, изменение конфигурации, усиление существующих средств контроля или совершенствование бизнес-процессов для снижения риска нарушения безопасности.
Применение результатов ИТ аудита
По сложившейся практике линейные ИТ / ИБ руководители и топ-менеджмент организации используют результаты аудита для принятия конкретных мер по существу, для улучшения действующих и внедрения актуальных процессов в области управления ИТ и ИБ, например:
- оценка персонала позволяет выявить высокорисковые зоны, связанные с человеческим фактором, и провести реорганизацию процессов таким образом, чтобы минимизировать или полностью исключить риски
- реестр выявленных несоответствий, недостатков или уязвимостей представляет собой список ключевых зон, процессов и систем с указанием конкретных изъянов, и рекомендуемых способов их устранения
- пути и способы минимизации рисков, выраженные в виде рекомендаций, позволяют выявить неявные риски, включить их в действующие методики по управлению рисками и наметить план действий по снижению рисков до приемлемого уровня
- обоснование затрат на покупку или модернизацию оборудования и программного обеспечения зачастую проистекает из выводов и рекомендаций, изложенных в отчёте, что позволяет направить вектор бюджетного планирования в ИТ и ИБ подразделениях в сторону повышения эффективности конкретных компонентов инфраструктуры
- обоснование инвестиций в обучение является вероятным следствием результатов оценки персонала и подтверждённой независимой оценкой необходимостью регулярного повышения квалификации как одного из важных факторов управления процессами в области информационной безопасности
- управление TCO (Total Cost of Ownership, совокупная стоимость владения) позволяет определить рамки границ эффективности ИТ-решений с учётом объективных капитальных затрат, а также прямых и косвенных эксплуатационных расходов, возникающих в том числе из-за инцидентов информационной безопасности
- эффективное использование систем является прямым следствием соблюдения рекомендаций, изложенных в аудиторском заключении.
Наши специалисты в области ИТ-аудита и информационной безопасности прошли профессиональную отраслевую подготовку в ведущих учебных заведениях:
- Техасский университет TAMU (шт. Техас, США),
- Федеральном институте управления чрезвычайными ситуациями и защите критической инфраструктуры (FEMA) при Департаменте внутренней безопасности США (US Homeland Security Dept.),
- Академия этичного хакинга (EH Academy, шт. Орегон, США).
Ведущие специалисты Baker Tilly являются членами отраслевых объединений:
- Институт Внутренних Аудиторов (IIA, Moscow Charter),
- Палата судебных экспертов СУДЭКС по направлению 21.1RU «Компьютерно-техническая экспертиза»
Наши эксперты обладают подтверждающими сертификатами мирового уровня в следующих отраслях знаний:
- специалист по управлению рисками информационной безопасности,
- специалист по защите критической информационной инфраструктуры,
- негосударственный судебный эксперт по специальности «Исследование информационных компьютерных средств»,
- ведущий аудитор систем управления информационной безопасностью ISO27001,
- ISACA CISA Certification Training Program as Certified Information System Auditor,
- сертифицированный инженер Red Hat (RHCE)
- и другие отраслевые сертификаты.
Компания Baker Tilly с 2017 года является партнёром Лаборатории Касперского в сфере реагирования и управления инцидентами информационной безопасности.
Услуги ИТ-аудита и оценки информационной безопасности в Кыргызской Республике соответствуют всем национальным требованиям, межгосударственным соглашениям и международным стандартам.
