ИТ комплаенс (ИТ аудит)

 

ИТ комплаенс, иначе называемый ИТ аудитом, — это совокупность специальных аудиторских мероприятий, направленных на получение независимой оценки об актуальном состоянии информационной инфраструктуры, информационной безопасности, информационных систем и бизнес-процессов организации.

ИТ комплаенс проводится на соответствие эталонным критериям аудита, которыми, в свою очередь, выступают применяемые в компании внутренние политики или внешние требования. Необходимость исполнения этих требований определяется отраслевыми законодательными нормами, а также корпоративными или международными стандартами в области информационной безопасности.

Свидетельства аудита, полученные в ходе работ по оценке инфраструктуры, систем и процессов, сопоставляются с эталонными критериями, на основании чего делаются квалифицированные выводы и составляется аудиторское заключение.

Несмотря на то, что самые обсуждаемые в прессе случаи взломов были вызваны уязвимостями в самом программном обеспечения, чаще всего виновниками хакерских атак являются «уязвимости» человеческого поведения. Свыше 80% случаев взломов информационных систем стали успешными вследствие человеческого фактора. Возможность принятия человеком ошибочных решений в конкретных ситуациях обуславливается незнанием, игнорированием или злоупотреблением установленных правил использования информационных технологий, который и были созданы для предотвращения таких случаев.

Строгое следование совершенным политикам информационной безопасности существенно повышает неуязвимость компании перед лицом актуальных кибер-угроз.
Специалисты нашей компании позволят усовершенствовать разработанные процессы управления, определить неявные риски и выработают эффективные рекомендации по их снижению до приемлемого уровня.

 

Виды ИТ аудита

 

ИТ аудит на соответствие требованиям регулятора банковской финансово-кредитной сферы.

В качестве эталона выступает полный комплекс специальных требований Центрального (Национального) Банка, выраженных в виде действующих нормативно-правовых актов, обязательных для исполнения каждым банком и другими небанковскими финансово-кредитными учреждениями.

 

ИТ аудит на соответствие специальным внутренним и внешним требованиям.

Критериями оценки при проведении этого вида аудита зачастую выступают внутренние корпоративные требования по управлению ИТ-процессами, квалификации персонала ИТ и ИБ подразделений, и информационной безопасностью, разработанные как самостоятельно, так и в результате особых условий эксплуатации критических ИТ-решений, предъявляемых отраслевым законодательством или внешним вендором.

 

ИТ аудит на соответствие лучшим мировым практикам и международным стандартам.

Здесь эталонными критериями оценки являются государственные и международные стандарты, сборники проверенных практикой рекомендаций и фреймворки международных профессиональных ассоциаций, таких как: ISACA (COBIT5), AXELOS (ITIL /ITSM) или BSI (ISO/IEC 20000). А также особые требования стандартов в области информационной безопасности: ISO/IEC 2700x, SWIFT, PCI DSS, NIST SP-800, OWASP, SANS/CIS и другие.

Заказать проведение ИТ аудита