Проекты внешнего аудита ИТ и безопасности
в тч PCI DSS и СУИБ

Продукт
Технологии: ИБ - Антивирусы,  ИБ - Антиспам,  ИБ - Аутентификация,  ИБ - Межсетевые экраны,  ИБ - Предотвращения утечек информации,  ИБ - Резервное копирование и хранение данных,  ИБ - Средства шифрования

Содержание

Основные оказываемые услуги ИТ-аудита:

  • от тестирования на проникновение (penetration testing, pentest)
  • до комплексных аудитов безопасности
  • услуги по управлению соответствием требованиям Payment Card Industry (PCI) Security Council — серия стандартов, относящихся к вопросам безопасности платежных карт и затрагивающих как банки, так и другие организации, принимающие и обрабатывающих платежи с использованием пластиковых карт. Включает услуги по сканированию сетевого периметра (PCI DSS ASV), аудиту на соответствие стандарту (PCI DSS QSA), внутреннему и внешнему тестированию на проникновение, анализу исходных кодов платежных приложений в рамках стандарта PA-DSS.

2017: Исследование "Института внутренних аудиторов"

За последние 2 года компании значительно чаще стали проводить оценку эффективности использования информационных технологий. Такой результат показало исследование состояния и тенденций развития внутреннего аудита в России, проведенного Некоммерческим партнерством «Институт внутренних аудиторов» совместно с компанией «КПМГ». Так, ИТ-аудиты стоят в планах на ближайшие 12 месяцев у 53% опрошенных, 47% заняты ими в настоящий момент. Согласно аналогичному исследованию 2015 года, ИТ-аудиты были актуальны лишь для 34% компаний. Оценка эффективности использования информационных технологий в планах у 42% респондентов, 45% проводят ее в настоящий момент против 26% в 2015 году.

По мнению Максима Козлова, начальника отдела ИТ-аудитов Блока внутреннего контроля и аудита, ПАО «МТС», рост заинтересованности компаний в проведении ИТ-аудитов, равно как и с заинтересованности в оценке эффективности использования ИТ, связан с несколькими факторами:

Во-первых, в настоящее время ИТ – это одна из «горячих» тем для бизнеса. Бизнес все чаще осознает, что для получения новых точек роста в традиционных отраслях требуется привлечение ИТ и систем продвинутой аналитики, которые позволяют получать наиболее полную информацию о поведенческой модели своих клиентов, чтобы получить конкурентное преимущество на рынке. Традиционными инструментами достичь таких целей все сложнее, поэтому компании, даже далекие от ИТ начинают задействовать и развивать внутри своих структур новые направления с привлечением соответствующих специалистов в области продвинутой аналитики данных (Big Data). Трансформация традиционного подхода к ведению бизнеса в сторону ИТ– мировая тенденция: сейчас эпоха информационной революции и перехода в digital-среду. Компании осознают, что главное в данном процессе не упустить момент и вовремя начать цифровую трансформацию, которая позволит в ближайшей перспективе получать дополнительный драйвер развития.

Во-вторых, развитие новых цифровых направлений внутри компаний подразумевает значительные инвестиции в оборудование, программное обеспечение (ПО), высококвалифицированных специалистов. Соответственно, интеграция бизнес-процессов компании с ИТ требует проведение комплекса мероприятий, направленных на получение менеджментом компании независимого мнения о том, как компания может успешно трансформироваться и развиваться в условиях цифровизации бизнеса. Для контроля соответствия целей компании и ее ИТ-стратегии, а также целесообразность инвестиций в ИТ требуется привлечение функции ИТ-аудита.

В-третьих, отдельная специфика с точки зрения ИТ-рисков – увеличение санкционного давления со стороны западных производителей оборудования и ПО как на отдельные российские компании, так и на целые отрасли российской экономики. Адекватное и своевременное реагирование на новый тип рисков требует вовлечения функции ИТ-аудита для оценки возможных мер реагирования со стороны менеджмента ИТ.

ИТ-решения для автоматизации работы служб внутреннего аудита все больше входят в практику работы СВА. В настоящее время специализированное ПО установлено у половины служб внутреннего аудита, принявших участие в исследовании (в 2015 году эта цифра составляла 23%). Среди тех, кто не использует специализированное ПО для внутреннего аудита, 39% респондентов планируют его установить в течение ближайших двух лет.

Леонид Душатин, директор департамента внутреннего аудита, ПАО «Аэрофлот», говорит, что это свидетельствует о том, что с активным развитием цифровых технологий в основном бизнесе компаний-респондентов у руководителей служб внутреннего аудита также растет понимание необходимости внедрения систем автоматизации процессов внутреннего аудита и мониторинга рекомендаций СВА; а организация СВА должна быть адекватной уровню развития основного бизнеса компании.

Как показали результаты исследования Института внутренних аудиторов, абсолютное большинство компаний (92%) привлекают внешних специалистов в области информационных систем и технологий при проведении ИТ-аудитов (против 67% в 2015 году, 37% в 2013 году). При этом, в 40% компаний-респондентов имеются штатные аудиторы информационных технологий (ИТ-аудиторы).

Как показывает практика, для проведения ИТ-аудитов и аудитов с ИТ составляющей необходимо, чтобы в штате компании были специалисты, обладающие необходимым уровнем ИТ-компетенций. По словам Максима Козлова, ПАО «МТС», в идеале, такими людьми должны быть ИТ-аудиторы с опытом работы в сфере ИТ и/или информационной безопасности (особенно в сфере практической информационной безопасности). Без наличия соответствующих специалистов проведения качественных проектов ИТ-аудита силами только лишь сотрудников подразделения аудита, не обладающих (или имеющих только поверхностные представления о специфике ИТ) требуемым уровнем знаний и опыта работы, невозможно. Хорошо, когда в функцию приходит сотрудник, уже работающий ИТ-аудитором, при этом обладающий опытом работы в ИТ / ИБ. При этом хорошим соискателем может быть человек, имеющий достаточный уровень экспертизы в определенной технической области, но при этом обладающий также широким кругозором в ИТ и ИБ областях, живо интересующийся современными направлениями развития технологий.

Международная сертификация по ИТ-аудиту – одно из свидетельств того, что ИТ-аудитор имеет необходимый уровень компетенций и опыта в различных технических областях (управление ИТ, процессы операционного сопровождения ИТ, разработка ПО, информационная безопасность, процессы аудита информационных систем).

Максим Козлов отмечает, что для ИТ-аудитора необходимо знать основы архитектуры построения информационных систем и механизмов их развертывания, механизмы обеспечения отказоустойчивости, ключевые процессы операционной деятельности ИТ-подразделений и их метрики (например, анализ инцидентов, связанных с работой информационной системы, может предоставить информацию, на что нужно обратить внимание в ходе аудита или анализ журналов систем информационной безопасности / вирусной активности может выявить потенциального злоумышленника среди сотрудников компании), лучшие практики построения ИТ (ITIL, Cobit), которые могут быть использованы в качестве методологии оценки зрелости ключевых функций ИТ и использоваться для дальнейшего совершенствования и оптимизации ИТ. Основы информационной безопасности а также основные техники атаки и методы защиты от них также крайне важны в работе. Для ИТ-аудитора крайне важно желание саморазвиваться и узнавать что-то новое в технологиях.

Привлечение сторонних специалистов к проведению ИТ-аудитов обусловлено ростом количества используемых новых технологий и сложностью эксплуатируемых и внедряемых информационных систем в компаниях. Также для проведения узкоспециализированных проектов внутреннего аудита (например, аудит процессов разработки ПО, который может включать в себя в том числе анализ исходного кода разрабатываемой информационной системы на наличие проблем с точки зрения информационной безопасности (злонамеренное включение разработчиками ПО различных «закладок»), так и анализ качества написания кода (анализ использования неоптимальных конструкций, устаревших библиотек и т.д.) или проект по аудиту кибербезопасности компании, который может включать в себя тестирование информационных систем и сервисов компании на устойчивость к внешним атакам - «тестирование на проникновение») требуется наличие в подразделении ИТ-аудита узкоспециализированных специалистов, обладающих необходимым набором технических навыков и практического опыта. Также стоит отметить, что существуют требования различных регуляторов по проведению аудитов с ИТ-составляющей (тестирование ITGC) с участием внешних аудиторов.

2011: Политика контроля и измерения эффективности Системы Управления Информационной Безопасностью (СУИБ)

Политика контроля эффективности СУИБ, который устанавливает систему измерений и мер измерений для осуществления контроля и оценки эффективности механизмов контроля информационной безопасности на основании положений стандарта ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения.

Целями Политики контроля эффективности СУИБ являются предоставление руководству организации информации для принятие решений по совершенствованию механизмов контроля ИБ с целью минимизации рисков наиболее эффективным и экономически целесообразным способом, а также предоставление заинтересованным сторонам достоверной информации о существующих рисках ИБ, а также состоянию СУИБ, используемой для управления этими рисками.

В качестве объектов измерений выступают:

  • СУИБ в целом
  • подсистемы СУИБ, включая Систему Управления Информационными Рисками, Систему Управления Инцидентами, Систему Управления Непрерывностью Бизнеса и прочие подсистемы
  • отдельные механизмы и области контроля в области действия СУИБ, определяемые в соответствии с положениями международного стандарта ISO/IEC 27001:2005 (Приложение А)
  • политики безопасности и прочие организационно-распорядительные документы, регламентирующие вопросы обеспечения ИБ
  • процессы и процедуры обеспечения ИБ
  • программно-технические средства и комплексы средств обеспечения ИБ

Процесс измерений эффективности СУИБ реализуется в виде Программы измерений. Программа измерений определяет последовательность мероприятий по оценке механизмов контроля СУИБ (и прочих объектов измерений) путем измерения их эффективности.

Целями оценки механизмов контроля СУИБ являются:

  • Выявления неэффективных механизмов контроля, не соответствующих установленным в организации требованиям и критериям эффективности
  • Оценки возврата инвестиций в СУИБ
  • Определение способов повышения эффективности СУИБ и усовершенствования механизмов контроля

Основным критерием оценки механизмов контроля СУИБ является обеспечиваемый этими механизмами контроля возврат инвестиций, определяемый как уменьшение прогнозируемых среднегодовых потерь организации в результате инцидентов ИБ. Методика измерения экономической эффективности СУИБ базируется на оценке рисков, являющейся отправной точкой для выбора и оценки механизмов контроля, а результаты измерений, в свою очередь, используются для оценке рисков.

Эффективно реализованная в соответствии программа измерений позволит укрепить доверие заинтересованных сторон (клиентов, партнеров, контрагентов, регулирующих органов, акционеров и т.д.) к результатам измерений и оценки существующих рисков ИБ, а также обеспечить реализацию процесса непрерывного совершенствования СУИБ и отслеживать прогресс в достижении целей информационной безопасности на основе накопленных результатов измерений.

Смотрите также



ПРОЕКТЫ (283) ИНТЕГРАТОРЫ (75) РЕШЕНИЕ НА БАЗЕ (2)
СМ. ТАКЖЕ (293) ОТРАСЛИ (29) ГЕОГРАФИЯ

ЗаказчикИнтеграторГодПроект
- Мобильные ТелеСистемы (МТС)
Национальный аттестационный центр (НАЦ)2018.06Описание проекта
- 1С-Рарус
DNV2018.06Описание проекта
- БорАВТО
ALP Group (КТ-АЛП, АЛП-ИС)2018.06Описание проекта
- Qualiteam Software Limited
Информзащита2018.05Описание проекта
- ЭЛВИС-НеоТек
Центр сертификации продукции и систем менеджмента в сфере наноиндустрии (АНО Наносертифика)2018.04Описание проекта
- Росморпорт ФГУП
ДиалогНаука2018.04Описание проекта
- Санкт-Петербургский государственный архитектурно-строительный университет (СПбГАСУ)
Softline (Софтлайн)2018.04Описание проекта
- Энергобанк
ICL Системные технологии (АйСиЭл СТ)2018.03Описание проекта
- НПФ Сбербанка
Без привлечения консультанта или нет данных2018.02Описание проекта
- Ингосстрах
Информзащита2018.02Описание проекта
- Банк Далена
BSS-Security (БСС-Безопасность)2018.02Описание проекта
- Linxdatacenter (Связь ВСД)
Digital Security (Диджитал Секьюрити)2018.02Описание проекта
- Ангстрем
Без привлечения консультанта или нет данных2017.12Описание проекта
- Свисс Кроно (Swiss Krono)
Алан-ИТ2017.11Описание проекта
- Пермцветмет
Softline (Софтлайн)2017.11Описание проекта
- Экспобанк
Центр Финансовых Технологий (ЦФТ)2017.11Описание проекта
- Крок
Digital Compliance2017.10Описание проекта
- МедиаДата
Deiteriy (Дейтерий)2017.09Описание проекта
- Christian Dior (Кристиан Диор)
ALP Group (КТ-АЛП, АЛП-ИС)2017.09Описание проекта
- Ростелеком
Информзащита2017.09Описание проекта
- Open Trading Network (OTN Foundation)
Digital Security (Диджитал Секьюрити)2017.09Описание проекта
- ВТБ - Внешторгбанк
ДиалогНаука2017.07Описание проекта
- Медицинский центр управления делами Мэра и правительства Москвы, ГУП
Антивирусные Решения (ARinteg, АРинтег)2017.07Описание проекта
- Бостонский Институт Эстетической Медицины (БИЭМ)
Антивирусные Решения (ARinteg, АРинтег)2017.07Описание проекта
- Деснол Софт (Итилиум)
DNV GL Business Assurance2017.06Описание проекта
- Биллинговые системы ЗАО
Deiteriy (Дейтерий)2017.05Описание проекта
- Мобильные ТелеСистемы (МТС)
Инфосистемы Джет2017.05Описание проекта
- Альфа-банк Россия
ДиалогНаука2017.04Описание проекта
- Западно-Сибирский металлургический комбинат (ЕВРАЗ ЗСМК)
Уральский центр систем безопасности (УЦСБ)2017.04Описание проекта
- Assist (Ассист)
SRC Security Research and Consulting2017.04Описание проекта

<< < 1 2 3 4 5 6 7 8 > >>


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2015 год
2016 год
2017 год
Текущий год

  Лаборатория Касперского (32, 338)
  ESET (ИСЕТ Софтвеа) (34, 246)
  Доктор Веб (Dr.Web) (23, 106)
  Symantec (26, 11)
  Blue Coat Systems (10, 11)
  Другие (318, 98)

  ESET (ИСЕТ Софтвеа) (4, 16)
  Лаборатория Касперского (7, 14)
  Доктор Веб (Dr.Web) (7, 12)
  Fortinet (1, 2)
  Entensys (1, 1)
  Другие (4, 4)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2015 год
2016 год
2017 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2015 год
2016 год
2017 год
Текущий год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2015 год
2016 год
2017 год
Текущий год