Проекты внешнего аудита ИТ и безопасности
в тч PCI DSS и СУИБ

Продукт
Технологии: ИБ - Антивирусы,  ИБ - Антиспам,  ИБ - Аутентификация,  ИБ - Межсетевые экраны,  ИБ - Предотвращения утечек информации,  ИБ - Резервное копирование и хранение данных,  ИБ - Средства шифрования

Содержание

Основные оказываемые услуги ИТ-аудита:

  • от тестирования на проникновение (penetration testing, pentest)
  • до комплексных аудитов безопасности
  • услуги по управлению соответствием требованиям Payment Card Industry (PCI) Security Council — серия стандартов, относящихся к вопросам безопасности платежных карт и затрагивающих как банки, так и другие организации, принимающие и обрабатывающих платежи с использованием пластиковых карт. Включает услуги по сканированию сетевого периметра (PCI DSS ASV), аудиту на соответствие стандарту (PCI DSS QSA), внутреннему и внешнему тестированию на проникновение, анализу исходных кодов платежных приложений в рамках стандарта PA-DSS.

2017: Исследование "Института внутренних аудиторов"

За последние 2 года компании значительно чаще стали проводить оценку эффективности использования информационных технологий. Такой результат показало исследование состояния и тенденций развития внутреннего аудита в России, проведенного Некоммерческим партнерством «Институт внутренних аудиторов» совместно с компанией «КПМГ». Так, ИТ-аудиты стоят в планах на ближайшие 12 месяцев у 53% опрошенных, 47% заняты ими в настоящий момент. Согласно аналогичному исследованию 2015 года, ИТ-аудиты были актуальны лишь для 34% компаний. Оценка эффективности использования информационных технологий в планах у 42% респондентов, 45% проводят ее в настоящий момент против 26% в 2015 году.

По мнению Максима Козлова, начальника отдела ИТ-аудитов Блока внутреннего контроля и аудита, ПАО «МТС», рост заинтересованности компаний в проведении ИТ-аудитов, равно как и с заинтересованности в оценке эффективности использования ИТ, связан с несколькими факторами:

Во-первых, в настоящее время ИТ – это одна из «горячих» тем для бизнеса. Бизнес все чаще осознает, что для получения новых точек роста в традиционных отраслях требуется привлечение ИТ и систем продвинутой аналитики, которые позволяют получать наиболее полную информацию о поведенческой модели своих клиентов, чтобы получить конкурентное преимущество на рынке. Традиционными инструментами достичь таких целей все сложнее, поэтому компании, даже далекие от ИТ начинают задействовать и развивать внутри своих структур новые направления с привлечением соответствующих специалистов в области продвинутой аналитики данных (Big Data). Трансформация традиционного подхода к ведению бизнеса в сторону ИТ– мировая тенденция: сейчас эпоха информационной революции и перехода в digital-среду. Компании осознают, что главное в данном процессе не упустить момент и вовремя начать цифровую трансформацию, которая позволит в ближайшей перспективе получать дополнительный драйвер развития.

Во-вторых, развитие новых цифровых направлений внутри компаний подразумевает значительные инвестиции в оборудование, программное обеспечение (ПО), высококвалифицированных специалистов. Соответственно, интеграция бизнес-процессов компании с ИТ требует проведение комплекса мероприятий, направленных на получение менеджментом компании независимого мнения о том, как компания может успешно трансформироваться и развиваться в условиях цифровизации бизнеса. Для контроля соответствия целей компании и ее ИТ-стратегии, а также целесообразность инвестиций в ИТ требуется привлечение функции ИТ-аудита.Российский рынок CRM-систем: оценки, тренды, крупнейшие поставщики и перспективы. Обзор TAdviser 149 т

В-третьих, отдельная специфика с точки зрения ИТ-рисков – увеличение санкционного давления со стороны западных производителей оборудования и ПО как на отдельные российские компании, так и на целые отрасли российской экономики. Адекватное и своевременное реагирование на новый тип рисков требует вовлечения функции ИТ-аудита для оценки возможных мер реагирования со стороны менеджмента ИТ.

ИТ-решения для автоматизации работы служб внутреннего аудита все больше входят в практику работы СВА. В настоящее время специализированное ПО установлено у половины служб внутреннего аудита, принявших участие в исследовании (в 2015 году эта цифра составляла 23%). Среди тех, кто не использует специализированное ПО для внутреннего аудита, 39% респондентов планируют его установить в течение ближайших двух лет.

Леонид Душатин, директор департамента внутреннего аудита, ПАО «Аэрофлот», говорит, что это свидетельствует о том, что с активным развитием цифровых технологий в основном бизнесе компаний-респондентов у руководителей служб внутреннего аудита также растет понимание необходимости внедрения систем автоматизации процессов внутреннего аудита и мониторинга рекомендаций СВА; а организация СВА должна быть адекватной уровню развития основного бизнеса компании.

Как показали результаты исследования Института внутренних аудиторов, абсолютное большинство компаний (92%) привлекают внешних специалистов в области информационных систем и технологий при проведении ИТ-аудитов (против 67% в 2015 году, 37% в 2013 году). При этом, в 40% компаний-респондентов имеются штатные аудиторы информационных технологий (ИТ-аудиторы).

Как показывает практика, для проведения ИТ-аудитов и аудитов с ИТ составляющей необходимо, чтобы в штате компании были специалисты, обладающие необходимым уровнем ИТ-компетенций. По словам Максима Козлова, ПАО «МТС», в идеале, такими людьми должны быть ИТ-аудиторы с опытом работы в сфере ИТ и/или информационной безопасности (особенно в сфере практической информационной безопасности). Без наличия соответствующих специалистов проведения качественных проектов ИТ-аудита силами только лишь сотрудников подразделения аудита, не обладающих (или имеющих только поверхностные представления о специфике ИТ) требуемым уровнем знаний и опыта работы, невозможно. Хорошо, когда в функцию приходит сотрудник, уже работающий ИТ-аудитором, при этом обладающий опытом работы в ИТ / ИБ. При этом хорошим соискателем может быть человек, имеющий достаточный уровень экспертизы в определенной технической области, но при этом обладающий также широким кругозором в ИТ и ИБ областях, живо интересующийся современными направлениями развития технологий.

Международная сертификация по ИТ-аудиту – одно из свидетельств того, что ИТ-аудитор имеет необходимый уровень компетенций и опыта в различных технических областях (управление ИТ, процессы операционного сопровождения ИТ, разработка ПО, информационная безопасность, процессы аудита информационных систем).

Максим Козлов отмечает, что для ИТ-аудитора необходимо знать основы архитектуры построения информационных систем и механизмов их развертывания, механизмы обеспечения отказоустойчивости, ключевые процессы операционной деятельности ИТ-подразделений и их метрики (например, анализ инцидентов, связанных с работой информационной системы, может предоставить информацию, на что нужно обратить внимание в ходе аудита или анализ журналов систем информационной безопасности / вирусной активности может выявить потенциального злоумышленника среди сотрудников компании), лучшие практики построения ИТ (ITIL, Cobit), которые могут быть использованы в качестве методологии оценки зрелости ключевых функций ИТ и использоваться для дальнейшего совершенствования и оптимизации ИТ. Основы информационной безопасности а также основные техники атаки и методы защиты от них также крайне важны в работе. Для ИТ-аудитора крайне важно желание саморазвиваться и узнавать что-то новое в технологиях.

Привлечение сторонних специалистов к проведению ИТ-аудитов обусловлено ростом количества используемых новых технологий и сложностью эксплуатируемых и внедряемых информационных систем в компаниях. Также для проведения узкоспециализированных проектов внутреннего аудита (например, аудит процессов разработки ПО, который может включать в себя в том числе анализ исходного кода разрабатываемой информационной системы на наличие проблем с точки зрения информационной безопасности (злонамеренное включение разработчиками ПО различных «закладок»), так и анализ качества написания кода (анализ использования неоптимальных конструкций, устаревших библиотек и т.д.) или проект по аудиту кибербезопасности компании, который может включать в себя тестирование информационных систем и сервисов компании на устойчивость к внешним атакам - «тестирование на проникновение») требуется наличие в подразделении ИТ-аудита узкоспециализированных специалистов, обладающих необходимым набором технических навыков и практического опыта. Также стоит отметить, что существуют требования различных регуляторов по проведению аудитов с ИТ-составляющей (тестирование ITGC) с участием внешних аудиторов.

2011: Политика контроля и измерения эффективности Системы Управления Информационной Безопасностью (СУИБ)

Политика контроля эффективности СУИБ, который устанавливает систему измерений и мер измерений для осуществления контроля и оценки эффективности механизмов контроля информационной безопасности на основании положений стандарта ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения.

Целями Политики контроля эффективности СУИБ являются предоставление руководству организации информации для принятие решений по совершенствованию механизмов контроля ИБ с целью минимизации рисков наиболее эффективным и экономически целесообразным способом, а также предоставление заинтересованным сторонам достоверной информации о существующих рисках ИБ, а также состоянию СУИБ, используемой для управления этими рисками.

В качестве объектов измерений выступают:

  • СУИБ в целом
  • подсистемы СУИБ, включая Систему Управления Информационными Рисками, Систему Управления Инцидентами, Систему Управления Непрерывностью Бизнеса и прочие подсистемы
  • отдельные механизмы и области контроля в области действия СУИБ, определяемые в соответствии с положениями международного стандарта ISO/IEC 27001:2005 (Приложение А)
  • политики безопасности и прочие организационно-распорядительные документы, регламентирующие вопросы обеспечения ИБ
  • процессы и процедуры обеспечения ИБ
  • программно-технические средства и комплексы средств обеспечения ИБ

Процесс измерений эффективности СУИБ реализуется в виде Программы измерений. Программа измерений определяет последовательность мероприятий по оценке механизмов контроля СУИБ (и прочих объектов измерений) путем измерения их эффективности.

Целями оценки механизмов контроля СУИБ являются:

  • Выявления неэффективных механизмов контроля, не соответствующих установленным в организации требованиям и критериям эффективности
  • Оценки возврата инвестиций в СУИБ
  • Определение способов повышения эффективности СУИБ и усовершенствования механизмов контроля

Основным критерием оценки механизмов контроля СУИБ является обеспечиваемый этими механизмами контроля возврат инвестиций, определяемый как уменьшение прогнозируемых среднегодовых потерь организации в результате инцидентов ИБ. Методика измерения экономической эффективности СУИБ базируется на оценке рисков, являющейся отправной точкой для выбора и оценки механизмов контроля, а результаты измерений, в свою очередь, используются для оценке рисков.

Эффективно реализованная в соответствии программа измерений позволит укрепить доверие заинтересованных сторон (клиентов, партнеров, контрагентов, регулирующих органов, акционеров и т.д.) к результатам измерений и оценки существующих рисков ИБ, а также обеспечить реализацию процесса непрерывного совершенствования СУИБ и отслеживать прогресс в достижении целей информационной безопасности на основе накопленных результатов измерений.

Смотрите также



ПРОЕКТЫ (468) ИНТЕГРАТОРЫ (135) РЕШЕНИЕ НА БАЗЕ (2)
СМ. ТАКЖЕ (503) ОТРАСЛИ (36) ГЕОГРАФИЯ

ЗаказчикИнтеграторГодПроект
- Икс-Игрек-Зет Автоматизация
Bureau Veritas2022.03Описание проекта
- Яндекс.Облако (Yandex.Cloud)
Deiteriy (Дейтерий)2022.03Описание проекта
- RockITSoft, Рокитсофт (ранее Croc Code, Крок Регион)
Русский Эксперт2022.03Описание проекта
- Азот, Кемерово
НПП СпецТек (Spectec)2022.03Описание проекта
- Росдортехнология ФГБУ
Союзэкспертиза, МДТ Цифра2022.03Описание проекта
- Аккую АЭС (Аккую Нуклеар, Akkuyu Nukleer Anonim Sirketi)
ДиалогНаука2022.02Описание проекта
- Иркутская нефтяная компания (ИНК)
Инфосистемы Джет2022.02Описание проекта
- АльфаСтрахование СГ
IT Expert (ИТ Эксперт) Москва2022.02Описание проекта
- DataLine (ДатаЛайн)
BSI Management Systems CIS (Би-Эс-Ай Эм-Эс Си-Ай-Эс, Би-Эс-Ай Менеджмент Системс Си-Ай-Эс)2022.01Описание проекта
- Москва Карго
Ассоциация защиты перевозимых грузов TAPA (Transported Asset Protection Association)2022.01Описание проекта
- DataLine (ДатаЛайн)
Cloud Security Alliance (CSA)2021.12Описание проекта
- Алроса АК
Ramax Group (Рамакс Интернейшнл)2021.12Описание проекта
- Калужский государственный университет им. К.Э.Циолковского
X-Com (Икс ком)2021.12Описание проекта
- Varonis Systems
KPMG International2021.12Описание проекта
- Крок Облачные сервисы
Card Security (Кард Сек), Национальный аттестационный центр (НАЦ)2021.12Описание проекта
- Т1 Консалтинг (Т1 Инновации)
Det Norske Veritas2021.12Описание проекта
- Челябинвестбанк (Челябинский инвестиционный банк)
Инфосистемы Джет2021.12Описание проекта
- DataLine (ДатаЛайн)
Card Security (Кард Сек)2021.12Описание проекта
- Сервье Рус (Servier Rus)
Без привлечения консультанта или нет данных2021.12Описание проекта
- DataLine (ДатаЛайн)
Uptime Institute2021.12Описание проекта
- CTI (СиТиАй) Communications. Technology. Innovations.
BSI Management Systems CIS (Би-Эс-Ай Эм-Эс Си-Ай-Эс, Би-Эс-Ай Менеджмент Системс Си-Ай-Эс)2021.11Описание проекта
- СКС электрон брокер
Национальный аттестационный центр (НАЦ)2021.11Описание проекта
- АйТи-Консалтинг
DNV GL Software2021.10Описание проекта
- DataSpace (ДатаСпейс Партнерс)
TUV Austria2021.10Описание проекта
- Мир Бизнес Банк (МБ Банк)
Солар (ранее Ростелеком-Солар)2021.10Описание проекта
- URent (Юрент)
Бастион (bastion-tech.ru)2021.10Описание проекта
- БКС - Инвестиционный Банк
Крок2021.10Описание проекта
- Voxys (Воксис), ранее Инфо-контент
Международный институт сертификации контактных центров (ICCCI)2021.10Описание проекта
- LanCloud (ЛанКлауд)
Card Security (Кард Сек)2021.09Описание проекта
- Медицинский центр МЧС России - Всероссийский центр экстренной и радиационной медицины имени А.М.Никифорова (ВЦЭРМ)
HIMSS2021.08Описание проекта

<< < 1 2 3 4 5 6 7 8 > >>


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  UserGate, Юзергейт (ранее Entensys) (3, 4)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  UserGate, Юзергейт (ранее Entensys) (1, 2)
  Другие (0, 0)