Аудит и консалтинг ИБ

Проведение аудита информационной безопасности (ИБ) позволяет решить следующие задачи:
  • повышение уровня защищенности информационных ресурсов компании;
  • приведение процессов управления ИБ в соответствие с требованиями государственных и отраслевых стандартов;
  • контроль уровня защищенности внедряемой информационной системы.

В рамках аудита и консалтинга ИБ специалисты АО «РНТ» предоставляют следующие услуги:


1. Обследование и разработка формализованных описаний:
  • бизнес-процессов;
  • банковских технологических процессов;
  • информационных потоков;
  • сетевой инфраструктуры;
  • автоматизированных систем;
  • средств защиты информации.

2. Аудит информационной безопасности (GAP-анализ, оценка соответствия) и приведение в соответствие требованиям по направлениям:
  • СТО БР ИББС;
  • «ФЗ-161 и Национальная Платежная Система»;
  • «ФЗ-152 и защита персональных данных»;
  • ISO 27001;
  • ISO 22301
  • COBIT
  • комплексный аудит сразу по нескольким направлениям.

3. Анализ защищенности и тестирование на проникновение (в том числе, согласно требованиям Стандарта PCI DSS)

4. Проведение оценки влияния на бизнес, степени тяжести последствий от нарушения ИБ и классификации информации

5. Проведение оценки рисков ИБ и разработка модели угроз:
  • определение перечня угроз ИБ;
  • выявление уязвимостей активов и формализация возможных векторов атак;
  • расчет значений остаточных рисков;
  • разработка плана по обработке рисков;
  • описание способов выявления угроз и мониторинга рисков ИБ.

6. Определение и формализация политики и стратегии (концепции):
  • анализ требований внешних и внутренних заинтересованных сторон;
  • формализация бизнес–целей;
  • декомпозиция бизнес–целей в цели информационной безопасности;
  • определение и формализация факторов влияния, необходимых для реализации целей информационной безопасности, включая:
  • принципы и подходы;
  • процессы;
  • орг.структура, персонал и компетенции;
  • информация и инфраструктура;
  • культура организации.
  • разработка (корректировка разработанного ранее) документа «Концепция ИБ» на основе проведенного анализа.

7. Разработка технического задания на разработку и внедрение технических средств и организационных мер защиты.

8. Разработка технического проекта и рабочей документации на технические средства защиты:

  • Пояснительная записка;
  • Спецификация оборудования;
  • Программа и методика испытаний;
  • Руководство пользователя;
  • Формуляр.

9. Внедрение и подготовка к сертификации Системы управления информационной безопасности (СУИБ) в соответствии с требованиями международного стандарта ISO 27001

10. Внедрение Системы менеджмента информационной безопасности (СМИБ) в соответствии с требованиями отраслевого стандарта СТО БР ИББС

11. Внедрение отдельных процессов ИБ (передача знаний работникам заказчика, демонстрация, наблюдение и контроль выполнения) и соответствующей документации в части руководства (governance) и управления (management) в соответствии с требованиями:

  • COBIT5;
  • ISO27001;
  • СТО БР ИББС.

12. Внедрение отдельных процессов и соответствующей документации (регламенты, инструкции) в части обеспечения ИБ (в зависимости от применяемых технических средств защиты):
  • управление инвентаризацией и конфигурациями информационных активов;
  • управление уязвимостями ИБ;
  • управление событиями и инцидентами ИБ (построение систем управления инцидентами информационной безопасности в соответствии с требованиями ISO 27035, подготовка к внедрению систем класса SEM/SIEM, разработка правил корреляции событий и др.);
  • управление доступом;
  • повышение уровня осведомленности;
  • противодействие компьютерному мошенничеству;
  • резервного копирования и восстановления.

13. Выполнение работ в части управления непрерывностью бизнеса:
  • Аудит системы управления непрерывностью бизнеса на соответствие требованиям стандарта ISO22301:2012;
  • Внедрение системы управления непрерывностью бизнеса в соответствии с требованиями стандарта ISO22301:2012 и подготовка к сертификации;
  • Разработка планов ОНиВД в соответствии с требованиями ЦБ РФ;
  • Автоматизация процессов управления непрерывностью бизнеса.