Аудит информационных систем и информационной безопасности
Аудит информационной безопасности необходим информационной системе, даже если она работает без нареканий.
Содержание
Оценка соответствия требованиям стандарта ГОСТ Р 57580 позволяет определить, насколько ИТ-инфраструктура и процессы информационной безопасности соответствуют обязательному уровню, установленному Банком России.
В ГОСТ Р 57580.1-2017 прописаны требования по обеспечению ИБ и указаны три уровня защиты информации: минимальный (3), стандартный (2), усиленный (1).
ГОСТ Р 57580.2-2018 устанавливает порядок проведения оценки, в том числе градацию выставляемых оценок, формулы для подсчета итоговых оценок, а также форму и порядок предоставления отчетности в ЦБ РФ.
Оценку соответствия обязаны проводить кредитные организации, некредитные финансовые организации, операторы и участники платежных систем, операционные или клиринговые центры.
Помимо требований к каждому процессу, ГОСТ определяет отдельные требования к планированию, реализации, контролю и совершенствованию указанных процессов по модели цикла Деминга (Plan-Do-Check-Act, PDCA).
Траст Технолоджиз проводит оценку соответствия, предоставляя клиенту не только итоговые показатели и рекомендации по совершенствованию системы защиты информации, а также подробный отчет по форме, определяемой ГОСТ 57580.
С 1 января 2021 года проведение оценки соответствия требованиям ГОСТ 57580 становится обязательной процедурой — согласно вступившим в силу Положениям № 672-П, № 683-П и № 684-П. К этому времени финансовые организации уже должны обеспечить необходимый уровень информационной безопасности.
- «Траст Технолоджиз» имеет лицензию ФСТЭК России на техническую защиту конфиденциальной информации».
- Мы оказываем услуги Финансовым организациям в соответствии с ГОСТ 57580
- Проводим поиск уязвимостей и анализ защиты системы, включая анализ исходного кода, учитываем социальные аспекты безопасности
- Обеспечиваем соответствие системы требованиям законодательства по защите персональных данных (ФЗ-152), подготовку к проверке регулирующих органов
- Проводим аудит безопасности процессов (ISO 27001 и другие)
- Разрабатываем решения по обеспечению информационной безопасности, обслуживаем информационные системы и процессы
Аудит информационной безопасности необходим информационной системе, даже если она работает без нареканий. Устаревшие версии, не пропатченные программы могут стать причиной проникновения в систему, и только внешний аудит выявит ее слабые места.
Определение моделей угроз и потенциальных источников опасности — первоочередная задача «Траст Технолоджиз». Опираясь на аудит, мы поможем выработать решение, устойчивое к угрозам.
Результат аудита послужит убедительным доказательством уровня ответственности и профессионализма подрядчика, обслуживающего вашу информационную систему.