Аудит информационной безопасности

Аудит информационной безопасности — это независимая экспертная оценка текущего состояния защиты информационных активов организации. Специалисты КРЕДО-С проводят детальный анализ организационных и технических мер защиты, оценивают их эффективность в контексте актуальных угроз и требований регуляторов. Результаты аудита ИБ формируют объективную картину киберрисков и позволяют выстроить обоснованную стратегию модернизации защиты.

Аудит информационной безопасности необходим организациям, работающим с персональными данными (Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»), субъектам критической информационной инфраструктуры (187-ФЗ), операторам государственных информационных систем (приказ ФСТЭК России № 17, заменяемый приказом ФСТЭК №117 от 11.04.2025), а также финансовым организациям, подлежащим оценке соответствия по ГОСТ 57580. Данные аудита критически важны при расчёте показателя защищённости информации (КЗИ) по приказу ФСТЭК №117 и при категорировании объектов КИИ.

Этапы проведения аудита информационной безопасности:

Подготовительный этап — определение целей и границ аудита, формирование экспертной группы, согласование программы и сроков проведения работ, подписание договора и соглашения о конфиденциальности.

Сбор информации — изучение организационно-распорядительной документации по ИБ, анализ архитектуры информационных систем и сетевой инфраструктуры, проведение интервью с ключевыми сотрудниками (администраторы ИБ, ИТ-специалисты, руководители подразделений), инвентаризация средств защиты информации.

Оценка рисков — идентификация угроз безопасности информации с использованием Банка данных угроз ФСТЭК (БДУ ФСТЭК), анализ уязвимостей ИТ-инфраструктуры, оценка вероятности реализации угроз и масштаба возможного ущерба, классификация рисков по уровням критичности.

Проверка соответствия — анализ выполнения требований 152-ФЗ, 187-ФЗ, приказов ФСТЭК России (№ 17/117, № 21, № 239, № 31), требований ФСБ России, отраслевых стандартов (ГОСТ Р 57580 для финансового сектора, ISO/IEC 27001). Проверка наличия лицензий ФСТЭК и ФСБ у организации.

Оценка персонала — проверка процессов управления доступом и разграничения полномочий, анализ осведомлённости сотрудников в вопросах информационной безопасности, оценка процедур реагирования на инциденты и взаимодействия с ГосСОПКА.

Подготовка отчёта — формирование детальных выводов по каждому направлению аудита, описание выявленных несоответствий и уязвимостей с классификацией по критичности, разработка конкретных рекомендаций по устранению, составление дорожной карты мероприятий с приоритизацией и оценкой бюджета.

Сопровождение внедрения — консультации по реализации рекомендаций, помощь в устранении критических недостатков, мониторинг выполнения плана мероприятий, повторная оценка эффективности принятых мер защиты информации.

КРЕДО-С проводит аудиты информационной безопасности с 1993 года. Компания имеет лицензии ФСТЭК и ФСБ России, аккредитацию ИТ-компании. Более 1 000 реализованных проектов в 36 регионах России — от малого бизнеса до крупных промышленных холдингов, оборонных предприятий и государственных организаций.

Экспертиза безопасности КРЕДО-С включает работу с объектами всех классов защищённости и категорий значимости КИИ.