Что включает в себя аудит информационной безопасности?

Аудит информационной безопасности включает комплексную проверку систем, процессов и политик на соответствие стандартам, выявление уязвимостей и оценку рисков. Основные этапы: подготовка (определение целей, объёма, команды и границ аудита), сбор информации (изучение инфраструктуры, журналов, политик ИБ и опрос сотрудников), анализ и тестирование (проверка уязвимостей, соответствия законам — ГОСТ, ISO, — оценка рисков), отчётность (выявление угроз, приоритизация и план исправлений).

Сколько стоит аудит ИБ?

Стоимость аудита информационной безопасности рассчитывается индивидуально в зависимости от ряда факторов: размера компании, количества устройств, состояния функции ИБ, отрасли компании и уровня зрелости процессов ИБ.

Какие критерии влияют на сроки и стоимость аудита?

Аудит проводится с учётом: размера компании, количества устройств, состояния функции ИБ, отрасли компании и уровня зрелости процессов ИБ.

Что такое технический аудит и зачем он нужен?

Технический аудит включает обследование действующих технических мер по защите информации, анализ ИТ-инфраструктуры, процессов и мер ИБ, а также выявление слабых мест и уязвимостей инфраструктуры. Он нужен для оценки текущего состояния безопасности информационной системы и повышения уровня информационной безопасности компании.

Кто готовит план проведения аудита по информационной безопасности?

План проведения аудита информационной безопасности готовится совместно с сотрудниками компании-заказчика. Перед стартом проекта исполнителем разрабатывается матрица коммуникаций со списком ответственных лиц, составом рабочих групп и проверяемых элементов.

Чем занимается аудитор ИБ?

Аудитор ИБ проводит обследование действующих технических и организационных мер по защите информации, анализирует состояние процессов обеспечения ИБ, а также документацию, регламентирующую ИТ- и ИБ-процессы компании.

Какие существуют 4 типа аудита?

В информационной безопасности выделяют 4 основных типа аудита: внутренний, внешний, активный и пассивный. Внутренний аудит проводится силами компании для самоконтроля по внутренним регламентам. Внешний аудит выполняется независимыми экспертами по договору, включает сертификацию по стандартам (ISO 27001, PCI DSS). Активный аудит имитирует атаки хакеров (пентест) для выявления уязвимостей в реальном времени. Пассивный аудит — анализ без вмешательства: сбор данных из открытых источников, документации и логов.

Аудит информационной безопасности

Главная
→
Аудит ИБ

Оперативная оценка

Обследование действующих мер по защите информации, состояния процессов обеспечения ИБ

Выявление требований

По обеспечению ИБ со стороны законодательства РФ и регуляторов

Дорожная карта

С рекомендациями по повышению уровня обеспечения ИБ и бюджетной оценкой их реализации

Что такое аудит информационной безопасности

Аудит информационной безопасности позволяет проверить текущее состояние ИТ-инфраструктуры, выявить потенциальные угрозы и имеющиеся уязвимости. Также аудит ИБ помогает выстроить или оценить существующие в организации ИБ- и ИТ-процессы, обеспечить необходимый уровень защиты чувствительной информации и получить рекомендации по защите данных. Мы основываемся на таких востребованных стандартах, как ISO/IEC 27001, CIS Controls, NIST CSF, OWASP, MITRE и нашего практического опыта обеспечения ИБ.

Аудит ИБ поможет

Выявить скрытые угрозы и аномалии до того, как ими воспользуются злоумышленники.
Определить зоны наибольшего риска.
Понять, как «лечить» на ранних стадиях, а не бороться с последствиями атак.

50%

Российских компаний подверглись киберинцидентам в 2025 г.

47%

Всех атак на российские компании в 2025 году оказались успешными и привели к нарушению деятельности.

35%

Составит рост числа успешных кибератак в 2026 г.

Этапы аудита информационной безопасности

Обследование текущего состояния процессов и мер ИБ

Оценка зрелости процессов и мер обеспечения КБ
В соответствии с общепризнанными международными практиками (ISO/IEC 27001, CIS18, NIST CSF и пр.)

Определение релевантных рисков ИБ

Определение релевантных рисков ИБ применительно к специфике деятельности Компании
(трендовые риски \ оценка рисков)

Построение дорожной карты развития ИБ

Формирование приоритизированного портфеля проектов с оценками бюджета и сроков реализации

3

5

4

6

Выявление требований к ИБ

Выявление требований для компании со стороны законодательства РФ, регуляторов ФСТЭК и ФСБ России, отраслевых регуляторов.

Разработка матрицы коммуникаций со списком ответственных лиц, составом рабочих групп и проверяемых элементов.

Организационные вопросы

Обследование действующих технических и организационных мер по защите информации, состояния процессов обеспечения ИБ, а также анализ документации, регламентирующей ИТ- и ИБ-процессы компании.

Сбор и анализ данных

1

2

Выявление критичных систем

Обследование ИТ-инфраструктуры, процессов и мер информационной безопасности.

Разработка заключения и рекомендаций по повышению уровня обеспечения ИБ и бюджетная оценка их реализации.

Отчет и дорожная карта

Презентация текущего состояния ИБ и рекомендаций для повышения уровня защищенности инфраструктуры.

Презентация для руководства

Виды аудита информационной безопасности

Концепция

Аудит зрелости базовых процессов КБ и приоритизация мероприятий по их развитию

Комплексная оценка (аудит) «кибериммунитета» компании:

от людей и технологий до управленческих процессов

Проектирование целевого состояния функции КБ с учетом ключевых рисков, включая аудит и формирование плана по развитию процессов и мер КБ, обоснование бюджетного и ресурсного планирования

Размер компании

Малые и средние компании

Средние и крупные компании

Количество устройств

до 1000 ПК

от 1000 ПК

Состояние ИБ

Держится на энтузиазме ИТ-специалистов / отдел ИБ только создан,

либо

Старт с нуля (либо почти с нуля)

Есть выделенный специалист ИБ / небольшой отдел при этом:

Компания не уверена в собственном «киберздоровье»

проводятся фрагментарные проверки безопасности, которые не дают полной картины возможных аномалий и проблем с защите

Не учитывает приоритеты и потребности бизнеса

либо

Выглядит как «лоскутное одеяло» – инструменты и правила частично есть, а единой стратегии, понятных приоритетов и утверждённого бюджета – нет

либо

"Переросли" комплаенс и отсутствует понимание, куда двигаться дальше;

Когда выбрать

Требуется определить пошаговый план развития КБ

При этом получены бюджет на безопасность и/или концептуальное согласование со стороны собственника

Требуется:

1. провести диагностику ключевых направлений безопасности: люди, процессы, технологии, комплаенс, бренд

2. определить пошаговый план развития КБ и пошаговый план внедрения наиболее критичных гигиенических мер КБ

Требуется:

1. определить пошаговый план развития КБ

2. определить наиболее значимые для Бизнеса активы

2. описать целевое состояние направления ИБ

3. обосновать и запланировать бюджет на ИБ

Состав работ

1. Оценка текущего состояния кибербезопасности

2. Исследование трендовых угроз (тактик и техник) и статистики

3. Дорожная карта разавития КБ

1. Чекап системы менеджмента

2. Комплаенс чекап

3. Технический чекап

4. Чекап периметра (тестирование на проникновение)

5. Чекап персонала

6. Чекап бренда

7. Консолидация результатов

1. Оценка текущего состояния кибербезопасности

2. Исследование трендовых угроз (тактик и техник) и статистики + количественная оценка рисков

3. Дорожная карта разавития КБ + определение целевого состояния кибербезопасности

Выгоды для Бизнеса

1. Прозрачная траектория развития на 2-3 года с прогнозируемым бюджетом

2. Концентрация ресурсов на наиболее значимых проектах КБ

1. Повышение устойчивости к типовым атакам злоумышленников

2. Стратегическая связка "быстрых побед" и долгосрочного развития

1. Самые важные для Бизнеса активы под защитой

2. Бюджет на КБ обоснован и запланирован.

3. Обеспечена устойчивость развития КБ за счет стратегического планирования

Рассматриваемые киберугрозы

Трендовые риски.

Источники трендов: Gartner, PT, F6, Anti-Malware, ENISA и пр.

Трендовые риски.

Источники трендов: Gartner, PT, F6, Anti-Malware, ENISA и пр.

Трендовые риски.

Источники трендов: Gartner, PT, F6, Anti-Malware, ENISA и пр.

+

Оценка рисков на основе: ISO/IEC 27005, Open FAIR™ Risk Analysis, Mitre ATT&CK

Результат

1. Протоколы интервью по оценке текущего состояния КБ

2. Отчет по итогам оценки зрелости процессов КБ с детальными рекомендациями по развитию каждого процесса КБ

3. Дорожная карта развития КБ, выстроенная с учетом трендовых угроз и рекомендаций по развитию

1. Протоколы интервью и инструментальных исследований по итогам оценки текущего состояния КБ

2. Отчет по итогам киберчекапа с детальными рекомендациями по развитию КБ:

2.1 по процессам и мерам КБ

2.2 по соответствию применимому законодательству

2.3 по безопасности конфигураций ключевых средств защиты

2.4 по защите периметра

2.5 по обучению и повышению осведомленности в области КБ

2.6 по защите от цифровых рисков для бренда

3. План внедрения наиболее критичных гигиенических мер КБ

4. Дорожная карта развития КБ, выстроенная с учетом трендовых угроз и рекомендаций по развитию

1.1. Протоколы интервью по оценке текущего состояния КБ

1.2. Протоколы интервью по итогам обследования бизнес-процессов (этапы, связанные активы, недопустимые события)

2.1. Отчет по итогам оценки зрелости процессов КБ с детальными рекомендациями по развитию каждого процесса КБ

2.2. Отчет по результатам оценки рисков (дашборды, реестр активов, результаты оценки контролей и агентов угроз, оценка рисков, план обработки рисков)

3.1. Дорожная карта развития КБ, выстроенная с учетом связанных и оцененных рисков ИБ

3.2. Проект целевого состояния функции КБ (организационная структура и ресурсный план по 10 кадровым направлениям КБ)

4. Презентация для руководства с краткими результатами

Срок

~ 1-2 месяца

~ 2-4 недели

~ 2-3 месяца

Стоимость

от 800 тыс. р.

от 1 млн. р.

от 1,7 млн. р.

Подробнее

Виды аудита информационной безопасности

МИДЛ АУДИТ КИБЕРЗРЕЛОСТИ

Аудит зрелости базовых процессов КБ и
приоритизация мероприятий по их развитию

от 800 тыс. р.

Размер компании

Малые и средние компании, до 1000 ПК

Отрасли

Любые компании

Состояние ИБ

Держится на энтузиазме ИТ-специалистов / отдел ИБ только создан,

либо

Старт с нуля (либо почти с нуля)

Когда выбрать

Требуется определить пошаговый план развития КБ

При этом получены бюджет на безопасность и/или концептуальное согласование со стороны собственника

Состав работ

1. Оценка текущего состояния кибербезопасности

2. Исследование трендовых угроз (тактик и техник) и статистики

3. Дорожная карта разавития КБ

Выгоды для Бизнеса

1. Прозрачная траектория развития на 2-3 года с прогнозируемым бюджетом

2. Концентрация ресурсов на наиболее значимых проектах КБ"

Рассматриваемые киберугрозы

Трендовые риски.

Источники трендов: Gartner, PT, F6, Anti-Malware, ENISA и пр.

Результат

1. Протоколы интервью по оценке текущего состояния КБ

2. Отчет по итогам оценки зрелости процессов КБ с детальными рекомендациями по развитию каждого процесса КБ

3. Дорожная карта развития КБ, выстроенная с учетом трендовых угроз и рекомендаций по развитию

Сроки реализации

~ 1-2 месяца

Подробне

КИБЕРЧЕКАП

Комплексная оценка (аудит) «кибериммунитета» компании:
от людей и технологий до управленческих процессов

от 1 млн. р.

Размер компании

Ритейл, e-commerce

Финансы (за исключением топ-50)

ИТ-компании (провайдеры, разработка и пр.)

Логистика, грузоперевозки

Любые компании, которые предоставляют услуги B2C

Состояние ИБ

Есть выделенный специалист ИБ / небольшой отдел при этом:

Компания не уверена в собственном «киберздоровье»

проводятся фрагментарные проверки безопасности, которые не дают полной картины возможных аномалий и проблем с защите

Когда выбрать

Требуется:

1. провести диагностику ключевых направлений безопасности: люди, процессы, технологии, комплаенс, бренд

2. определить пошаговый план развития КБ и пошаговый план внедрения наиболее критичных гигиенических мер КБ

Состав работ

1. Чекап системы менеджмента

2. Комплаенс чекап

3. Технический чекап

4. Чекап периметра (тестирование на проникновение)

5. Чекап персонала

6. Чекап бренда

7. Консолидация результатов

Выгоды для Бизнеса

1. Повышение устойчивости к типовым атакам злоумышленников

2. Стратегическая связка ""быстрых побед"" и долгосрочного развития

Рассматриваемые киберугрозы

Трендовые риски.

Источники трендов: Gartner, PT, F6, Anti-Malware, ENISA и пр.

Результат

1. Протоколы интервью и инструментальных исследований по итогам оценки текущего состояния КБ

2. Отчет по итогам киберчекапа с детальными рекомендациями по развитию КБ:

2.1 по процессам и мерам КБ

2.2 по соответствию применимому законодательству

2.3 по безопасности конфигураций ключевых средств защиты

2.4 по защите периметра

2.5 по обучению и повышению осведомленности в области КБ

2.6 по защите от цифровых рисков для бренда

3. План внедрения наиболее критичных гигиенических мер КБ

4. Дорожная карта развития КБ, выстроенная с учетом трендовых угроз и рекомендаций по развитию

Сроки реализации

~ 2-4 недели

Подробнее

КИБЕРБЕЗОПАСНОСТЬ КАК БИЗНЕС-ФУНКЦИЯ
Оценка зрелости и рисков информационной безопасности

Проектирование целевого состояния функции КБ с учетом ключевых рисков, включая аудит и формирование плана по развитию процессов и мер КБ, обоснование бюджетного и ресурсного планирования

от 1,7 млн. р.

Размер компании

Средние и крупные компании, от 1000 ПК

Отрасли

Любые компании, за исключением госсектора

Состояние ИБ

Не учитывает приоритеты и потребности бизнеса

либо

Выглядит как «лоскутное одеяло» – инструменты и правила частично есть, а единой стратегии, понятных приоритетов и утверждённого бюджета – нет

либо

"Переросли"" комплаенс и отсутствует понимание, куда двигаться дальше;"

Когда выбрать

Требуется:

1. определить пошаговый план развития КБ

2. определить наиболее значимые для Бизнеса активы

2. описать целевое состояние направления ИБ

3. обосновать и запланировать бюджет на ИБ

Состав работ

1. Оценка текущего состояния кибербезопасности

2. Исследование трендовых угроз (тактик и техник) и статистики + количественная оценка рисков

3. Дорожная карта разавития КБ + определение целевого состояния кибербезопасности

Выгоды для Бизнеса

1. Самые важные для Бизнеса активы под защитой

2. Бюджет на КБ обоснован и запланирован.

3. Обеспечена устойчивость развития КБ за счет стратегического планирования

Рассматриваемые киберугрозы

Трендовые риски.

Источники трендов: Gartner, PT, F6, Anti-Malware, ENISA и пр.

+

Оценка рисков на основе: ISO/IEC 27005, Open FAIR™ Risk Analysis, Mitre ATT&CK

Результат

1.1. Протоколы интервью по оценке текущего состояния КБ

1.2. Протоколы интервью по итогам обследования бизнес-процессов (этапы, связанные активы, недопустимые события)

2.1. Отчет по итогам оценки зрелости процессов КБ с детальными рекомендациями по развитию каждого процесса КБ

2.2. Отчет по результатам оценки рисков (дашборды, реестр активов, результаты оценки контролей и агентов угроз, оценка рисков, план обработки рисков)

3.1. Дорожная карта развития КБ, выстроенная с учетом связанных и оцененных рисков ИБ

3.2. Проект целевого состояния функции КБ (организационная структура и ресурсный план по 10 кадровым направлениям КБ)

4. Презентация для руководства с краткими результатами

Сроки реализации

~ 2-3 месяца

Подробнее

Наши специалисты

Елизавета Маркова

Профессиональный опыт в области ИБ с 2017 года
Алексей Чуриков

Профессиональный опыт в области ИБ с 2013 года
Дмитрий Третьяков

Профессиональный опыт в области ИБ с 1997 года
Евгений Завричко

Профессиональный опыт в области ИБ с 2012года

Преимущества аудита ИБ от Infosecurity

Экспертиза

Экономия ресурсов

Скорость и гибкость

Оперативно проведем анализ текущего состояния информационной безопасности, независимо от масштабов работ. Адаптируем проект исходя из ваших пожеланий.

Предоставим отчет с исчерпывающими рекомендациями по повышению уровня ИБ, а также дорожную карту с оценкой бюджета для их реализации.

Проекты в компаниях топ-10 из различных сфер: финансы, ИТ, ритейл, промышленность, телеком и пр.

Берем на себя все обязательства по проекту. Вам не потребуется привлекать сторонних специалистов по информационной безопасности.

Помощь в развитии