ИТ аудит и информационная безопасность

 

Стремительная автоматизация устаревающих методов работы существенно повышают ценность информационных технологий практически для любого вида бизнеса. Информация стала новым видом финансовых активов, которые требуют надлежащего управления. Своевременное и квалифицированное реагирование на постоянно изменяющийся ландшафт ИТ и ИБ позволит предотвратить как прямые потери, связанные с компрометацией информационных систем, так и косвенные, появляющиеся в виде затрат на устранение брешей в безопасности, возможных штрафных санкций со стороны регуляторов или вследствие имущественных взысканий по решению суда.

Международная команда экспертов Baker Tilly, имеющих многолетний опыт в области практической информационной безопасности и управления информационными технологиями, обеспечит комплексный подход в вопросах независимой оценки эффективности и безопасности информационных технологий. Услуги по ИТ-аудиту и информационной безопасности оказываются на всей территории Центральной Азии: в Кыргызской Республике (Бишкек), в Казахстане (Алматы), в Узбекистане (Ташкент), в Таджикистане (Душанбе) и в Туркменистане (Ашхабад). Результатом нашей работы является описание выявленных несоответствий, детальная методология и свидетельства их обнаружения, а также квалифицированные рекомендации по устранению идентифицированных рисков. Основной задачей является непредвзятое определение и профессиональная корректировка конкретных процессов управления информационными технологиями или безопасностью, которые и допускают образование уязвимостей и несоответствий.

Наша компания оказывает следующие услуги: 

Результаты ИТ аудита

Результаты аудита ИТ, представленные в виде подписанного отчёта с независимым аудиторским заключением, дают текущую оценку актуального состояния ИТ-инфраструктуры, систем, а также эффективности действий персонала и действующих процессов управления ИТ и ИБ.

Наглядное представление выявленных несоответствий действующим требованиям и критериям аудита сопровождаются описанием собранных свидетельств и доказательствами, позволяющими их воспроизвести. В отчёт включается оценка рисков по каждому из несоответствий с выводами о вероятности наступления последствий и оценкой предполагаемого ущерба, который может возникнуть в результате самого негативного развития событий.

 

IT audit types

IT audit types

Применение результатов ИТ аудита

По сложившейся практике линейные ИТ / ИБ руководители и топ-менеджмент организации используют результаты аудита для принятия конкретных мер по существу, для улучшения действующих и внедрения актуальных процессов в области управления ИТ и ИБ, например:

  • оценка персонала позволяет выявить высокорисковые зоны, связанные с человеческим фактором, и провести реорганизацию процессов таким образом, чтобы минимизировать или полностью исключить риски
  • реестр выявленных несоответствий, недостатков или уязвимостей представляет собой список ключевых зон, процессов и систем с указанием конкретных изъянов, и рекомендуемых способов их устранения
  • пути и способы минимизации рисков, выраженные в виде рекомендаций, позволяют выявить неявные риски, включить их в действующие методики по управлению рисками и наметить план действий по снижению рисков до приемлемого уровня
  • обоснование затрат на покупку или модернизацию оборудования и программного обеспечения зачастую проистекает из выводов и рекомендаций, изложенных в отчёте, что позволяет направить вектор бюджетного планирования в ИТ и ИБ подразделениях в сторону повышения эффективности конкретных компонентов инфраструктуры
  • обоснование инвестиций в обучение является вероятным следствием результатов оценки персонала и подтверждённой независимой оценкой необходимостью регулярного повышения квалификации как одного из важных факторов управления процессами в области информационной безопасности
  • управление TCO (Total Cost of Ownership, совокупная стоимость владения) позволяет определить рамки границ эффективности ИТ-решений с учётом объективных капитальных затрат, а также прямых и косвенных эксплуатационных расходов, возникающих в том числе из-за инцидентов информационной безопасности
  • эффективное использование систем является прямым следствием соблюдения рекомендаций, изложенных в аудиторском заключении.

Наши специалисты в области ИТ-аудита и информационной безопасности прошли профессиональную отраслевую подготовку в ведущих учебных заведениях:

  • Техасский университет TAMU (шт. Техас, США),
  • Федеральном институте управления чрезвычайными ситуациями и защите критической инфраструктуры (FEMA) при Департаменте внутренней безопасности США (US Homeland Security Dept.),
  • Академия этичного хакинга (EH Academy, шт. Орегон, США).

Ведущие специалисты Baker Tilly являются членами отраслевых объединений:

  • Институт Внутренних Аудиторов (IIA, Moscow Charter),
  • Палата судебных экспертов СУДЭКС по направлению 21.1RU «Компьютерно-техническая экспертиза»

Наши эксперты обладают подтверждающими сертификатами мирового уровня в следующих отраслях знаний:

  • специалист по управлению рисками информационной безопасности,
  • специалист по защите критической информационной инфраструктуры,
  • негосударственный судебный эксперт по специальности «Исследование информационных компьютерных средств»,
  • ведущий аудитор систем управления информационной безопасностью ISO27001,
  • ISACA CISA Certification Training Program as Certified Information System Auditor,
  • сертифицированный инженер Red Hat (RHCE)
  • и другие отраслевые сертификаты.

Компания Baker Tilly с 2017 года является партнёром Лаборатории Касперского в сфере реагирования и управления инцидентами информационной безопасности.

Услуги ИТ-аудита и оценки информационной безопасности в Кыргызской Республике соответствуют всем национальным требованиям, межгосударственным соглашениям и международным стандартам.  

ИТ-аудит в Кыргызстане, Казахстане, Узбекистане, Таджикистане