ИТ аудит и информационная безопасность

Услуги IT аудита

ИТ-аудит — это независимая проверка и подтверждение эффективности действующих процессов управления информационными технологиями (ИТ) и информационной безопасностью (ИБ). В рамках ИТ-аудита оценке и тестированию подвергаются организационно-распорядительная документация, помещения обработки и хранения критичной информации, задействованный персонал, сети передачи данных и соответствующие системы хранения данных, вычислительное и сетевое оборудование.

Скачайте анкету, заполните и отправьте на указанный в анкете адрес, чтобы получить предварительный расчёт стоимости и сроков проведения ИТ-аудита:

Процедуры ИТ-аудита проводятся с целью получения разумной или высокой степени уверенности, что процессы управления ИТ и ИБ функционируют, и выполняются в соответствии с принятыми в аудируемой организации требованиями. Как правило, ИТ-аудит включает в себя:

  • анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов информационных систем;
  • оценка текущего уровня защищённости информационных систем;
  • локализация узких мест в системе защиты и эксплуатации информационных систем;
  • оценка соответствия информационных систем существующим требованиям по эксплуатации и в области информационной безопасности;
  • выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов эксплуатации и безопасности информационных систем.

Стремительная автоматизация устаревающих методов работы существенно повышают ценность информационных технологий практически для любого вида бизнеса. Информация стала новым видом финансовых активов, которые требуют надлежащего управления. Своевременное и квалифицированное реагирование на постоянно изменяющийся ландшафт ИТ и ИБ позволит предотвратить как прямые потери, связанные с компрометацией информационных систем, так и косвенные, появляющиеся в виде затрат на устранение брешей в безопасности, возможных штрафных санкций со стороны регуляторов или вследствие имущественных взысканий по решению суда.

Международная команда экспертов Baker Tilly, имеющих многолетний опыт в области практической информационной безопасности и управления информационными технологиями, обеспечит комплексный подход в вопросах независимой оценки эффективности и безопасности информационных технологий. Услуги по ИТ-аудиту и информационной безопасности оказываются на всей территории Центральной Азии: в Кыргызской Республике (Бишкек), в Казахстане (Алматы), в Узбекистане (Ташкент), в Таджикистане (Душанбе) и в Туркменистане (Ашхабад). Результатом нашей работы является описание выявленных несоответствий, детальная методология и свидетельства их обнаружения, а также квалифицированные рекомендации по устранению идентифицированных рисков. Основной задачей является непредвзятое определение и профессиональная корректировка конкретных процессов управления информационными технологиями или безопасностью, которые и допускают образование уязвимостей и несоответствий.

Результаты ИТ аудита

Результаты аудита ИТ, представленные в виде подписанного отчёта с независимым аудиторским заключением, дают текущую оценку актуального состояния ИТ-инфраструктуры, систем, а также эффективности действий персонала и действующих процессов управления информационными технологиями (ИТ) и информационной безопасностью (ИБ).

Отчёт по ИТ-аудиту

Отчёт по ИТ-аудиту

Отчёт об ИТ-аудите — это документ, в котором оцениваются информационные системы и процессы, используемые организацией, на предмет их безопасности, надёжности и эффективности. В ходе ИТ-аудита проводится исследование систем и процессов для выявления уязвимостей или рисков, которые могут поставить под угрозу информационную безопасность или способность организации продолжать операции

Наглядное представление выявленных несоответствий действующим требованиям и критериям аудита сопровождаются описанием собранных свидетельств и доказательствами, позволяющими их воспроизвести. В отчёт включается оценка рисков по каждому из несоответствий с выводами о вероятности наступления последствий и оценкой предполагаемого ущерба, который может возникнуть в результате самого негативного развития событий.

Оценка рисков

Оценка рисков

Оценка существенных рисков, которые были выявлены в ходе аудита. После выявления риски оцениваются по выбранной методологии, при этом определяется вероятность и потенциальное влияние каждого риска на организацию, описываются сценарии возникновения конкретного риска и потенциальное воздействие на персонал, системы, помещения или инфраструктуру организации

Рекомендации

Рекомендации

Реестр рекомендаций конкретных действий, которые организация может предпринять для устранения несоответствий и повышения уровня информационной безопасности. Рекомендации могут включать внедрение новых средств контроля безопасности, изменение конфигурации, усиление существующих средств контроля или совершенствование бизнес-процессов для снижения риска нарушения безопасности.

Применение результатов ИТ аудита

По сложившейся практике линейные ИТ / ИБ руководители и топ-менеджмент организации используют результаты аудита для принятия конкретных мер по существу, для улучшения действующих и внедрения актуальных процессов в области управления ИТ и ИБ, например:

  • оценка персонала позволяет выявить высокорисковые зоны, связанные с человеческим фактором, и провести реорганизацию процессов таким образом, чтобы минимизировать или полностью исключить риски
  • реестр выявленных несоответствий, недостатков или уязвимостей представляет собой список ключевых зон, процессов и систем с указанием конкретных изъянов, и рекомендуемых способов их устранения
  • пути и способы минимизации рисков, выраженные в виде рекомендаций, позволяют выявить неявные риски, включить их в действующие методики по управлению рисками и наметить план действий по снижению рисков до приемлемого уровня
  • обоснование затрат на покупку или модернизацию оборудования и программного обеспечения зачастую проистекает из выводов и рекомендаций, изложенных в отчёте, что позволяет направить вектор бюджетного планирования в ИТ и ИБ подразделениях в сторону повышения эффективности конкретных компонентов инфраструктуры
  • обоснование инвестиций в обучение является вероятным следствием результатов оценки персонала и подтверждённой независимой оценкой необходимостью регулярного повышения квалификации как одного из важных факторов управления процессами в области информационной безопасности
  • управление TCO (Total Cost of Ownership, совокупная стоимость владения) позволяет определить рамки границ эффективности ИТ-решений с учётом объективных капитальных затрат, а также прямых и косвенных эксплуатационных расходов, возникающих в том числе из-за инцидентов информационной безопасности
  • эффективное использование систем является прямым следствием соблюдения рекомендаций, изложенных в аудиторском заключении.

Наши специалисты в области ИТ-аудита и информационной безопасности прошли профессиональную отраслевую подготовку в ведущих учебных заведениях:

  • Техасский университет TAMU (шт. Техас, США),
  • Федеральном институте управления чрезвычайными ситуациями и защите критической инфраструктуры (FEMA) при Департаменте внутренней безопасности США (US Homeland Security Dept.),
  • Академия этичного хакинга (EH Academy, шт. Орегон, США).

Ведущие специалисты Baker Tilly являются членами отраслевых объединений:

  • Институт Внутренних Аудиторов (IIA, Moscow Charter),
  • Палата судебных экспертов СУДЭКС по направлению 21.1RU «Компьютерно-техническая экспертиза»

Наши эксперты обладают подтверждающими сертификатами мирового уровня в следующих отраслях знаний:

  • специалист по управлению рисками информационной безопасности,
  • специалист по защите критической информационной инфраструктуры,
  • негосударственный судебный эксперт по специальности «Исследование информационных компьютерных средств»,
  • ведущий аудитор систем управления информационной безопасностью ISO27001,
  • ISACA CISA Certification Training Program as Certified Information System Auditor,
  • сертифицированный инженер Red Hat (RHCE)
  • и другие отраслевые сертификаты.

Компания Baker Tilly с 2017 года является партнёром Лаборатории Касперского в сфере реагирования и управления инцидентами информационной безопасности.

Услуги ИТ-аудита и оценки информационной безопасности в Центральной Азии соответствуют всем национальным требованиям, межгосударственным соглашениям и международным стандартам.