Получить консультацию
Оставьте ваши данные и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Получить коммерческое предложение
Оставьте ваши данные, и мы с вами свяжемся!
Получить коммерческое предложение
Оставьте ваши данные, и мы с вами свяжемся!
Получить консультацию
Оставьте ваши данные, и мы с вами свяжемся!
Middle-аудит информационной безопасности
Независимая проверка процессов информационной безопасности, направленная на выявление потенциальных угроз и определения достаточности принятых мер защиты
Более 320 проектов
реализовано
реализовано
Более 250 инженеров
в команде
в команде
Более 15 лет
на рынке ИБ
на рынке ИБ
Что такое Middle-аудит?
Middle-аудит — комплексная оценка текущего уровня зрелости информационной безопасности, включающая в себя анализ процессов и мер безопасности, а также эффективность технических средств защиты (антивирусов, межсетевых экранов, сканеров уязвимостей и др.).
Зачем нужен Middle-аудит?
- Получить объективную оценку текущего уровня зрелости
- Выявить организационные пробелы и уязвимые места
- Оценить подверженность трендовым рискам ИБ
- Определить краткосрочные и долгосрочные цели развития
Этапы проведения Middle-аудита
Оценка зрелости
Определение рисков
Дорожная карта
Что делаем
Проведем обследование в соответствии с общепризнанными международными практиками
Идентифицируем трендовые риски ИБ с учетом особенностей бизнеса Компании
Построим дорожную карту развития, включающую портфель проектов на 2- 3 года с оценкой сроков и трудозатрат
Что вы получите
- Протоколы интервью
- Отчет по результатам обследования, включая мероприятия для повышения уровня ИБ Компании
- Диаграмма зрелости процессов
Отчет по результатам анализа трендовых рисков ИБ
- Дорожная карта развития ИБ с приоритизированными мероприятиями
- Проект целевого состояния функции КБ (опция)
- Краткая презентация для руководства (опция)
Этап 1
Оценка зрелости
Анализ контрольной среды (as-is)
Проведение обследования процессов и мер защиты в соответствии с общепризнанными практиками (ISO/IEC 27001, CIS18, NIST, ITIL, COBIT и др).
В рамках обследования также рассматривается контекст бизнеса компании, краткосрочные и долгосрочные цели по развитию бизнеса и ИТ-ландшафта.
В рамках обследования также рассматривается контекст бизнеса компании, краткосрочные и долгосрочные цели по развитию бизнеса и ИТ-ландшафта.
Методы обследования:
- анализ существующих артефактов (документация, схемы, скриншоты и др.);
- интервью с сотрудниками компании;
- анализ свидетельств выполнения процессов (отчёты, настройки, заявки и др.);
- анализ интерфейсов систем и средств защиты информации (СЗИ).
Процессы в отношении которых проводится аудит | Системы или сервисы, в отношении которых проводится аудит |
В базовый вариант включены: 1) управление доступом 2) управление уязвимостями 3) защита конечных точек 4) сетевая безопасность 5) восстановление после инцидентов 6) мониторинг и управление 7) инцидентами ИБ 8) организация и управление ИБ 9) управление ИТ-активами 10) защита от вредоносного ПО 11) безопасность данных + опция: 12) управление безопасностью ПО на стадиях жизненного цикла (включая практики безопасной разработки ПО) 13) управление ИБ при взаимодействии с контрагентами 14) обеспечение безопасности при управлении изменениями 15) бучение и повышение осведомленности в области ИБ безопасность ИИ-систем | 1) система управления доступом (AD DC (в части управления доступом), IDM 2) система управления заявками (управление доступом, устранение уязвимостей 3) cканер уязвимостей 4) система управления ИТ-активами 5) система реагирования SIEM/IRP 6)средство резервного копирования 7) средство АВЗ |
В базовый вариант включены 10 процессов, определённых как критически важные для комплексной защиты от большинства векторов атак. Опциональные процессы зависят от специфики деятельности компании и особенностей функционирования ИТ- и ИБ-процессов.
Оценка контрольной среды
По каждому наблюдению, выявленному в ходе обследования, определяется уровень зрелости в соответствии с моделью CMMI.
После присвоения баллов каждому контролю специалисты консолидируют данные по доменам для определения итоговой оценки зрелости ИБ.
Шкала оценки контролей
После присвоения баллов каждому контролю специалисты консолидируют данные по доменам для определения итоговой оценки зрелости ИБ.
Шкала оценки контролей
Балл
Уровень
Описание
0,00
Отсутствует
Не формализовано и не реализовано на практике
0,15
Начальный
Формализовано, но не реализовано на практике
0,99
«Идеальный»
Формализовано и реализовано в полном объёме
0,80
Управляемый
Формализовано и реализовано почти в полном объёме
0,65
Оптимизирующий
Не формализовано, реализовано почти в полном объёме
0,50
Определённый
Формализовано, реализовано не в полном объёме
0,30
Повторяемый
Не формализовано, реализовано не в полном объёме
Определение векторов развития ИБ
По результатам обследования, наши специалисты сформируют краткосрочные и долгосрочные мероприятия по развитию ИБ, включая:
Операционные мероприятия | Проектные мероприятия |
Краткосрочные задачи для повышения уровня ИБ с указанием сроков и ответственных. | Долгосрочные проекты, детализированные до уровня управляемых шагов с реалистичными сроками. На их основе формируется дорожная карта развития ИБ. |
Этап 2
Выявление трендовых рисков ИБ
Что такое трендовые риски ИБ?
Трендовые риски ИБ — категория рисков, которые возникают или существенно изменяются под влиянием внешних факторов. В отличие от «классических» рисков, трендовые характеризуются высокой динамикой роста, сменой векторов атак и появлением новых уязвимостей.
По результатам обследования наши специалисты проведут анализ трендовых рисков с учётом контекста бизнеса компании, текущего уровня зрелости ИБ, а также особенностей ИТ-инфраструктуры.
По результатам обследования наши специалисты проведут анализ трендовых рисков с учётом контекста бизнеса компании, текущего уровня зрелости ИБ, а также особенностей ИТ-инфраструктуры.
Источники информации о трендовых рисках:
-
Исследования по трендам ИБ
Positive Technologies, BI.ZONE, IBM, ENISA, Gartner и др -
Базы данных угроз и уязвимостей
CAPEC, OWASP, ФСТЭК и др. -
Методологии и фреймворки
MITRE ATT&CK и др.
Этап 3
Дорожная карта развития
Приоритизация проектов
Для каждого проекта по развитию ИБ определяется приоритет реализации на основании следующих критериев:
- Уровень влияния на риск
- Скорость внедрения
- Стоимость внедрения
- Количество связанных рисков
Формирование дорожной карты
Формализация портфеля проектов с учетом влияния на трендовые риски ИБ, оценку бюджета и сроков реализации на 2 – 3 года.
Проект целевого состояния (опция)
Процессная модель
Разработка целевой структуры процессов, документации и ключевых артефактов по ИБ с учетом контекста бизнеса компании и дорожной карты развития ИБ.
Результаты работ:
Состав и структура документации по ИБ, сформированные с учетом реальных условий работы компании. Это позволит понять, какие документы нужны, в каком порядке их разрабатывать и как они соотносятся между собой, не тратя ресурсы на избыточные артефакты.
Результаты работ:
Состав и структура документации по ИБ, сформированные с учетом реальных условий работы компании. Это позволит понять, какие документы нужны, в каком порядке их разрабатывать и как они соотносятся между собой, не тратя ресурсы на избыточные артефакты.
Определение целевого уровня зрелости ИБ
Профилирование компании с учетом ее контекста и особенностей реализации бизнес-процессов на основании следующих критериев: обработка чувствительной информации, масштаб инфраструктуры, распределенность филиальной сети, маркетинговая связь с головным предприятием. Целевой уровень зрелости определяется на основании контекста компании, особенностей ИТ-ландшафта с привязкой к трендовым рискам ИБ.
Результаты работ:
Целевой уровень зрелости, подкрепленный приоритетами из дорожной карты развития. Это позволит понять, каким должен быть результат развития ИБ через 2 – 3 года и оценить разрыв между текущим и желаемым состоянием.
Кадровый дизайн
Определение организационной структуры и ресурсного плана по 10 кадровым направлениям кибербезопасности с учетом планов по развитию, закрепленных в дорожной карте.
Результаты работ:
Кадровая модель, определяющая минимальное количество работников функции ИБ на основании расчета эквивалента полной занятости (FTE). Это позволит избежать как дефицита ресурсов при реализации дорожной карты, так и избыточных затрат на персонал.
Пример ключевых критериев, влияющих на численность функции ИБ и уровень компетенций персонала
Результаты работ:
Кадровая модель, определяющая минимальное количество работников функции ИБ на основании расчета эквивалента полной занятости (FTE). Это позволит избежать как дефицита ресурсов при реализации дорожной карты, так и избыточных затрат на персонал.
Пример ключевых критериев, влияющих на численность функции ИБ и уровень компетенций персонала
Пример распределения ресурсов ИБ с учетом эквивалента полной занятости FTE
Ландшафт средств защиты информации (СЗИ)
Определение целевого состава СЗИ в разрезе каждого процесса ИБ с учетом мероприятий, определенных в дорожной карте развития ИБ.
Результаты работ:
Состав технических средств защиты, который учитывает текущий ИТ-ландшафт, приоритеты дорожной карты и применимые трендовые риски ИБ. Ландшафт СЗИ помогает компании планировать закупки: понимать какой инструмент влияет на снижение трендовых рисков ИБ и не тратить ресурсы, не соответствующие зрелости процессов.
Результаты работ:
Состав технических средств защиты, который учитывает текущий ИТ-ландшафт, приоритеты дорожной карты и применимые трендовые риски ИБ. Ландшафт СЗИ помогает компании планировать закупки: понимать какой инструмент влияет на снижение трендовых рисков ИБ и не тратить ресурсы, не соответствующие зрелости процессов.
Бесплатная консультация
У Вас остались вопросы?
Оставьте заявку и мы свяжемся с вами в ближайшее время.
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности. Не является публичной офертой.
Почему нам можно доверять
Сертификаты Infosecurity
FAQ
Аудит информационной безопасности включает комплексную проверку систем, процессов и политик на соответствие стандартам, выявление уязвимостей и оценку рисков. Он охватывает этапы подготовки, сбора данных (анализ документации, интервью, сканирование), анализа угроз, тестирования (например, пентест) и формирования отчета с рекомендациями.
Основные этапы:
Основные этапы:
- Подготовка: Определение целей, объема, команды и границ аудита.
- Сбор информации: Изучение инфраструктуры, журналов, политик ИБ и опрос сотрудников.
- Анализ и тестирование: Проверка уязвимостей, соответствия законам (ГОСТ, ISO), оценка рисков (вероятность, воздействие).
- Отчетность: Выявление угроз, приоритизация и план исправлений.
Цена аудита Киберчекап сделана максимально гибкой без экономии на качестве итоговых работ. Вы выбираете для себя только необходимые виды аудитов. Стоимость услуг начинается от 350 000 рублей
Киберзащита — это комплекс мер, технологий и процессов для защиты компьютерных систем, сетей, данных и устройство от киберугроз, таких как хакерские атаки, вирусы и фишинг. Благодаря таким мерам обеспечивается безопасность, конфиденциальность и доступность информации
В информационной безопасности выделяют 4 основных типа аудита: внутренний, внешний, активный и пассивный.
Внутренний аудит
Проводится силами компании для самоконтроля по внутренним регламентам. Фокус на регулярной проверке процессов и политик ИБ.
Внешний аудит
Выполняется независимыми экспертами по договору для объективной оценки. Включает сертификацию по стандартам (ISO 27001, PCI DSS).
Активный аудит
Имитирует атаки хакеров (пентест) для выявления уязвимостей в реальном времени.
Пассивный аудит
Анализ без вмешательства: сбор данных из открытых источников, документации и логов. Оценивает риски без тестирования систем.
Внутренний аудит
Проводится силами компании для самоконтроля по внутренним регламентам. Фокус на регулярной проверке процессов и политик ИБ.
Внешний аудит
Выполняется независимыми экспертами по договору для объективной оценки. Включает сертификацию по стандартам (ISO 27001, PCI DSS).
Активный аудит
Имитирует атаки хакеров (пентест) для выявления уязвимостей в реальном времени.
Пассивный аудит
Анализ без вмешательства: сбор данных из открытых источников, документации и логов. Оценивает риски без тестирования систем.
Угрозы кибербезопасности классифицируют по источнику (внешние/внутренние), цели (данные, ПО, оборудование) и типу воздействия.
Основные виды
DDoS-атаки: Перегрузка серверов трафиком для отключения сервисов.
Вредоносное ПО (вирусы, трояны, ransomware, черви): Кража, шифрование или уничтожение данных.
Фишинг и социальная инженерия: Обман для получения паролей/данных через email, звонки (вишинг) или подделки.
Эксплойты и уязвимости: Использование дыр в ПО/оборудовании для взлома (MitM, ботнеты).
Классификация
Основные виды
DDoS-атаки: Перегрузка серверов трафиком для отключения сервисов.
Вредоносное ПО (вирусы, трояны, ransomware, черви): Кража, шифрование или уничтожение данных.
Фишинг и социальная инженерия: Обман для получения паролей/данных через email, звонки (вишинг) или подделки.
Эксплойты и уязвимости: Использование дыр в ПО/оборудовании для взлома (MitM, ботнеты).
Классификация
Тип угроз | Примеры | Последствия |
Внешние | Хакеры, DDoS, фишинг | Утечка данных, downtime |
Внутренние | Сотрудники, подрядчики | Саботаж, случайные ошибки |
Физические | Кража носителей, природные катастрофы | Потеря оборудования |
СетевыеMitM | DNS-спуфинг | Перехват трафика |
Комплексный аудит информационной безопасности — это всесторонняя независимая проверка состояния ИБ, объединяющая анализ процессов, систем, документации, рисков и тестирование на проникновение (пентест). Он выявляет уязвимости, оценивает соответствие стандартам (ГОСТ, ISO 27001) и дает рекомендации по устранению угроз.