Проекты внешнего аудита ИТ и безопасности
в тч PCI DSS и СУИБ

Продукт
Технологии: ИБ - Антивирусы,  ИБ - Антиспам,  ИБ - Аутентификация,  ИБ - Межсетевые экраны,  ИБ - Предотвращения утечек информации,  ИБ - Резервное копирование и хранение данных,  ИБ - Средства шифрования

Содержание

Основные оказываемые услуги ИТ-аудита:

  • от тестирования на проникновение (penetration testing, pentest)
  • до комплексных аудитов безопасности
  • услуги по управлению соответствием требованиям Payment Card Industry (PCI) Security Council — серия стандартов, относящихся к вопросам безопасности платежных карт и затрагивающих как банки, так и другие организации, принимающие и обрабатывающих платежи с использованием пластиковых карт. Включает услуги по сканированию сетевого периметра (PCI DSS ASV), аудиту на соответствие стандарту (PCI DSS QSA), внутреннему и внешнему тестированию на проникновение, анализу исходных кодов платежных приложений в рамках стандарта PA-DSS.

2017: Исследование "Института внутренних аудиторов"

За последние 2 года компании значительно чаще стали проводить оценку эффективности использования информационных технологий. Такой результат показало исследование состояния и тенденций развития внутреннего аудита в России, проведенного Некоммерческим партнерством «Институт внутренних аудиторов» совместно с компанией «КПМГ». Так, ИТ-аудиты стоят в планах на ближайшие 12 месяцев у 53% опрошенных, 47% заняты ими в настоящий момент. Согласно аналогичному исследованию 2015 года, ИТ-аудиты были актуальны лишь для 34% компаний. Оценка эффективности использования информационных технологий в планах у 42% респондентов, 45% проводят ее в настоящий момент против 26% в 2015 году.

По мнению Максима Козлова, начальника отдела ИТ-аудитов Блока внутреннего контроля и аудита, ПАО «МТС», рост заинтересованности компаний в проведении ИТ-аудитов, равно как и с заинтересованности в оценке эффективности использования ИТ, связан с несколькими факторами:

Во-первых, в настоящее время ИТ – это одна из «горячих» тем для бизнеса. Бизнес все чаще осознает, что для получения новых точек роста в традиционных отраслях требуется привлечение ИТ и систем продвинутой аналитики, которые позволяют получать наиболее полную информацию о поведенческой модели своих клиентов, чтобы получить конкурентное преимущество на рынке. Традиционными инструментами достичь таких целей все сложнее, поэтому компании, даже далекие от ИТ начинают задействовать и развивать внутри своих структур новые направления с привлечением соответствующих специалистов в области продвинутой аналитики данных (Big Data). Трансформация традиционного подхода к ведению бизнеса в сторону ИТ– мировая тенденция: сейчас эпоха информационной революции и перехода в digital-среду. Компании осознают, что главное в данном процессе не упустить момент и вовремя начать цифровую трансформацию, которая позволит в ближайшей перспективе получать дополнительный драйвер развития.

Во-вторых, развитие новых цифровых направлений внутри компаний подразумевает значительные инвестиции в оборудование, программное обеспечение (ПО), высококвалифицированных специалистов. Соответственно, интеграция бизнес-процессов компании с ИТ требует проведение комплекса мероприятий, направленных на получение менеджментом компании независимого мнения о том, как компания может успешно трансформироваться и развиваться в условиях цифровизации бизнеса. Для контроля соответствия целей компании и ее ИТ-стратегии, а также целесообразность инвестиций в ИТ требуется привлечение функции ИТ-аудита.TAdviser выпустил Карту российского рынка цифровизации строительства 25.2 т

В-третьих, отдельная специфика с точки зрения ИТ-рисков – увеличение санкционного давления со стороны западных производителей оборудования и ПО как на отдельные российские компании, так и на целые отрасли российской экономики. Адекватное и своевременное реагирование на новый тип рисков требует вовлечения функции ИТ-аудита для оценки возможных мер реагирования со стороны менеджмента ИТ.

ИТ-решения для автоматизации работы служб внутреннего аудита все больше входят в практику работы СВА. В настоящее время специализированное ПО установлено у половины служб внутреннего аудита, принявших участие в исследовании (в 2015 году эта цифра составляла 23%). Среди тех, кто не использует специализированное ПО для внутреннего аудита, 39% респондентов планируют его установить в течение ближайших двух лет.

Леонид Душатин, директор департамента внутреннего аудита, ПАО «Аэрофлот», говорит, что это свидетельствует о том, что с активным развитием цифровых технологий в основном бизнесе компаний-респондентов у руководителей служб внутреннего аудита также растет понимание необходимости внедрения систем автоматизации процессов внутреннего аудита и мониторинга рекомендаций СВА; а организация СВА должна быть адекватной уровню развития основного бизнеса компании.

Как показали результаты исследования Института внутренних аудиторов, абсолютное большинство компаний (92%) привлекают внешних специалистов в области информационных систем и технологий при проведении ИТ-аудитов (против 67% в 2015 году, 37% в 2013 году). При этом, в 40% компаний-респондентов имеются штатные аудиторы информационных технологий (ИТ-аудиторы).

Как показывает практика, для проведения ИТ-аудитов и аудитов с ИТ составляющей необходимо, чтобы в штате компании были специалисты, обладающие необходимым уровнем ИТ-компетенций. По словам Максима Козлова, ПАО «МТС», в идеале, такими людьми должны быть ИТ-аудиторы с опытом работы в сфере ИТ и/или информационной безопасности (особенно в сфере практической информационной безопасности). Без наличия соответствующих специалистов проведения качественных проектов ИТ-аудита силами только лишь сотрудников подразделения аудита, не обладающих (или имеющих только поверхностные представления о специфике ИТ) требуемым уровнем знаний и опыта работы, невозможно. Хорошо, когда в функцию приходит сотрудник, уже работающий ИТ-аудитором, при этом обладающий опытом работы в ИТ / ИБ. При этом хорошим соискателем может быть человек, имеющий достаточный уровень экспертизы в определенной технической области, но при этом обладающий также широким кругозором в ИТ и ИБ областях, живо интересующийся современными направлениями развития технологий.

Международная сертификация по ИТ-аудиту – одно из свидетельств того, что ИТ-аудитор имеет необходимый уровень компетенций и опыта в различных технических областях (управление ИТ, процессы операционного сопровождения ИТ, разработка ПО, информационная безопасность, процессы аудита информационных систем).

Максим Козлов отмечает, что для ИТ-аудитора необходимо знать основы архитектуры построения информационных систем и механизмов их развертывания, механизмы обеспечения отказоустойчивости, ключевые процессы операционной деятельности ИТ-подразделений и их метрики (например, анализ инцидентов, связанных с работой информационной системы, может предоставить информацию, на что нужно обратить внимание в ходе аудита или анализ журналов систем информационной безопасности / вирусной активности может выявить потенциального злоумышленника среди сотрудников компании), лучшие практики построения ИТ (ITIL, Cobit), которые могут быть использованы в качестве методологии оценки зрелости ключевых функций ИТ и использоваться для дальнейшего совершенствования и оптимизации ИТ. Основы информационной безопасности а также основные техники атаки и методы защиты от них также крайне важны в работе. Для ИТ-аудитора крайне важно желание саморазвиваться и узнавать что-то новое в технологиях.

Привлечение сторонних специалистов к проведению ИТ-аудитов обусловлено ростом количества используемых новых технологий и сложностью эксплуатируемых и внедряемых информационных систем в компаниях. Также для проведения узкоспециализированных проектов внутреннего аудита (например, аудит процессов разработки ПО, который может включать в себя в том числе анализ исходного кода разрабатываемой информационной системы на наличие проблем с точки зрения информационной безопасности (злонамеренное включение разработчиками ПО различных «закладок»), так и анализ качества написания кода (анализ использования неоптимальных конструкций, устаревших библиотек и т.д.) или проект по аудиту кибербезопасности компании, который может включать в себя тестирование информационных систем и сервисов компании на устойчивость к внешним атакам - «тестирование на проникновение») требуется наличие в подразделении ИТ-аудита узкоспециализированных специалистов, обладающих необходимым набором технических навыков и практического опыта. Также стоит отметить, что существуют требования различных регуляторов по проведению аудитов с ИТ-составляющей (тестирование ITGC) с участием внешних аудиторов.

2011: Политика контроля и измерения эффективности Системы Управления Информационной Безопасностью (СУИБ)

Политика контроля эффективности СУИБ, который устанавливает систему измерений и мер измерений для осуществления контроля и оценки эффективности механизмов контроля информационной безопасности на основании положений стандарта ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения.

Целями Политики контроля эффективности СУИБ являются предоставление руководству организации информации для принятие решений по совершенствованию механизмов контроля ИБ с целью минимизации рисков наиболее эффективным и экономически целесообразным способом, а также предоставление заинтересованным сторонам достоверной информации о существующих рисках ИБ, а также состоянию СУИБ, используемой для управления этими рисками.

В качестве объектов измерений выступают:

  • СУИБ в целом
  • подсистемы СУИБ, включая Систему Управления Информационными Рисками, Систему Управления Инцидентами, Систему Управления Непрерывностью Бизнеса и прочие подсистемы
  • отдельные механизмы и области контроля в области действия СУИБ, определяемые в соответствии с положениями международного стандарта ISO/IEC 27001:2005 (Приложение А)
  • политики безопасности и прочие организационно-распорядительные документы, регламентирующие вопросы обеспечения ИБ
  • процессы и процедуры обеспечения ИБ
  • программно-технические средства и комплексы средств обеспечения ИБ

Процесс измерений эффективности СУИБ реализуется в виде Программы измерений. Программа измерений определяет последовательность мероприятий по оценке механизмов контроля СУИБ (и прочих объектов измерений) путем измерения их эффективности.

Целями оценки механизмов контроля СУИБ являются:

  • Выявления неэффективных механизмов контроля, не соответствующих установленным в организации требованиям и критериям эффективности
  • Оценки возврата инвестиций в СУИБ
  • Определение способов повышения эффективности СУИБ и усовершенствования механизмов контроля

Основным критерием оценки механизмов контроля СУИБ является обеспечиваемый этими механизмами контроля возврат инвестиций, определяемый как уменьшение прогнозируемых среднегодовых потерь организации в результате инцидентов ИБ. Методика измерения экономической эффективности СУИБ базируется на оценке рисков, являющейся отправной точкой для выбора и оценки механизмов контроля, а результаты измерений, в свою очередь, используются для оценке рисков.

Эффективно реализованная в соответствии программа измерений позволит укрепить доверие заинтересованных сторон (клиентов, партнеров, контрагентов, регулирующих органов, акционеров и т.д.) к результатам измерений и оценки существующих рисков ИБ, а также обеспечить реализацию процесса непрерывного совершенствования СУИБ и отслеживать прогресс в достижении целей информационной безопасности на основе накопленных результатов измерений.

Смотрите также



ПРОЕКТЫ (468) ИНТЕГРАТОРЫ (135) РЕШЕНИЕ НА БАЗЕ (2)
СМ. ТАКЖЕ (503) ОТРАСЛИ (36) ГЕОГРАФИЯ

ЗаказчикИнтеграторГодПроект
- Медицинский центр МЧС России - Всероссийский центр экстренной и радиационной медицины имени А.М.Никифорова (ВЦЭРМ)
HIMSS2021.08Описание проекта
- VK Tech (ранее VK Цифровые технологии, ВК Цифровые технологии и Mail.ru Цифровые технологии)
Card Security (Кард Сек)2021.07Описание проекта
- Ростелеком - Центры обработки данных (Ростелеком-ЦОД, РТК-ЦОД)
Без привлечения консультанта или нет данных2021.07Описание проекта
- Тывасвязьинформ
Солар (ранее Ростелеком-Солар)2021.07Описание проекта
- GS Labs (Цифра)
Без привлечения консультанта или нет данных2021.07Описание проекта
- АльфаСтрахование СГ
Русский Регистр-Бизнес Экселенс2021.07Описание проекта
- Voxys (Воксис), ранее Инфо-контент
Инфосистемы Джет2021.07Описание проекта
- Москва Карго
Международная ассоциация воздушного транспорта (IATA)2021.07Описание проекта
- 1С-Рарус
DNV2021.06Описание проекта
- Систематика, ООО
Национальный аттестационный центр (НАЦ)2021.06Описание проекта
- Доброфлот
Softline (Софтлайн)2021.05Описание проекта
- Шереметьево Хэндлинг
Международная ассоциация воздушного транспорта (IATA)2021.05Описание проекта
- СберЗдоровье (ранее DocDoc, ДокДок)
Национальный аттестационный центр (НАЦ)2021.05Описание проекта
- Вологодская областная энергетическая компания (ВОЭК)
Инфосистемы Джет2021.05Описание проекта
- ОТП Банк
ДиалогНаука2021.04Описание проекта
- Ростелеком Контакт-центр МЦ НТТ Московский центр новых технологий и телекоммуникаций
Международный институт сертификации контактных центров (ICCCI)2021.04Описание проекта
- ТЭК-Торг
BI.Zone (Безопасная Информационная Зона, Бизон)2021.04Описание проекта
- DataSpace (ДатаСпейс Партнерс)
ДиалогНаука2021.04Описание проекта
- Металлоинвест УК
Бюро Веритас Сертификейшн Русь2021.03Описание проекта
- Атон Инвестиционная компания
Акстел-Безопасность (Axxtel)2021.03Описание проекта
- SimbirSoft (СимбирСофт)
Без привлечения консультанта или нет данных2021.03Описание проекта
- Август Производство и реализация пестицидов
Информзащита2021.03Описание проекта
- Национальный совет по туризму Катара
Global Inter Certification (GIC)2021.02Описание проекта
- KFC
BI.Zone (Безопасная Информационная Зона, Бизон)2021.02Описание проекта
- Cloud.ru (Облачные технологии) ранее SberCloud
TUV Austria2021.02Описание проекта
- 1С-КСУ
DNV2021.01Описание проекта
- Технологии Будущего
Без привлечения консультанта или нет данных2021.01Описание проекта
- Микрон (Mikron)
Bureau Veritas2021.01Описание проекта
- GreenMDC (Грин ЭмДиСи)
Без привлечения консультанта или нет данных2021.01Описание проекта
- Softline (Софтлайн)
PECB MS (PECB Management Systems)2021.01Описание проекта

<< < 1 2 3 4 5 6 7 8 > >>


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  UserGate, Юзергейт (ранее Entensys) (3, 4)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  UserGate, Юзергейт (ранее Entensys) (1, 2)
  Другие (0, 0)