Аудит информационной безопасности

Опросный лист
Часть 1 - Информация о проекте

Заказчик

Адрес

Цели заполнения опросного листа:

Данный опросный лист служит основой для разработки Исполнителем коммерческого предложения на выполнение работ по аудиту информационной безопасности. От полноты и достоверности информации, указанной в
опросном листе, напрямую зависит соответствие коммерческого предложения ожиданиям и требованиям Заказчика.

ПОСТАНОВКА ЗАДАЧИ

Полное наименование Организации

Если в область проекта входят несколько юридических
1 лиц, в т.ч. когда самостоятельными юридическими лицами
являются филиалы, необходимо указать все юридические
лица и их статус в общей иерархии Организации).

Наименование работ Да/Нет Комментарии

Аудит на соответствие основным требованиям

российского законодательства по ИБ и оценка текущего
состояния ИБ в организации
Аудит на соответствие основным требованиям
международных стандартов по ИБ и оценка текущего
состояния ИБ в организации

Глубокий аудит на соответствие требованиям

законодательства РФ по защите ПДн (152-ФЗ,
Постановление Правительства РФ №1119, Приказ
ФСТЭК России №21 и др.)

Глубокий аудит на соответствие требованиям Приказа

ФСТЭК России №17

Глубокий аудит на соответствие требованиям

международных стандартов по ИБ (ISO 27001, ISO
27002, PCI DSS)

Анализ бизнес-процессов и выявление каналов утечки

В выполнении каких работ по информационной защищаемой информации
2 безопасности Вы заинтересованы?
Классификация информационных активов по степени
критичности

Определение угроз безопасности информации

Оценка рисков информационной безопасности

Технологический аудит (проведение инструментальных

проверок и анализ уязвимостей)

Анализ конфигураций активного сетевого оборудования

и сетевых средств защиты информации

Подготовка внутренней организационно-

распорядительной документации по ИБ

Другое (опишите):

ОЖИДАЕМЫЕ РЕЗУЛЬТАТЫ ПРОЕКТА

Результат Да/Нет Комментарии

Проведена общая оценка состояния ИБ, подготовлен

отчет об аудите ИБ, в котором описаны выявленные
недостатки

Подготовлен отчет об аудите, включающий заполненый

подробный Check-list требований законодательства по
обработке и защите персональных данных, в котором
подробно описаны выявленные недостатки

Подготовлен отчет об аудите, включающий заполненый

подробный Check-list требований Приказа ФСТЭК
России №17, в котором подробно описаны выявленные
недостатки

Подготовлен отчет об аудите, включающий заполненый

подробный Check-list требований международных
стандартов по ИБ, в котором подробно описаны
выявленные недостатки

Проведена классификация информационных активов по

двум степеням критичности (критично/ не критично,
или требует защиты/не требует защиты)

Проведена классификация информационных активов по

нескольким степеням критичности

Проанализированы бизнес-процессы, выявлены и

описаны возможные каналы утечки защищаемой
информации

Проанализированы и подробно описаны бизнес-

процессы (в табличной форме), выявлены и описаны
возможные каналы утечки защищаемой информации

Какие РЕЗУЛЬТАТЫ Вы ожидаете получить по окончанию

3 работ по проекту?
 Проведен иструментальный анализ защищенности с
применением сетевого сканера, выявлены уязвимости в
системном и прикладном ПО, сформирован отчет по
результатам сканирования

Какие РЕЗУЛЬТАТЫ Вы ожидаете получить по окончанию Проведен анализ конфигураций активного сетевого
3 работ по проекту? оборудования и сетевых средств защиты информации,
описаны выявленные недостатки в части обеспечения
ИБ и несоответствия лучшим практикам
производителей

Подготовлена организационно-распорядительная
документация по защите и обработке ПДн (включая
модель угроз безопасности ПДн)
Подготовлена высокоуровневая организационно-
распорядительная документация по ИБ (концепция,
стратегия, политики)
Подготовлена документация, описывающая процессы и
процедуры в части обеспечения ИБ (частные политики,
регламенты, положения и т.п.)
Определены основные угрозы информационной
безопасности, харрактерные для Заказчика
Определены основные угрозы информационной
безопасности, харрактерные для Заказчика и проведена
оценка актуальности данных угроз в соответствии с
методикой ФСТЭК России
Проведена качественная оценка рисков ИБ, разработан
отчет об оценке рисков
Проведена количественная оценка рисков ИБ,
разработан отчет об оценке рисков
Даны рекомендации по устранению выявленных в
результате аудита недостатков
Предложены конкретные мероприятия и решения,
позволяющие устранить выявленные по результатам
аудита недостатки, подготовлен пошаговый план
мероприятий по устранению недостатков
Даны рекомендации по устранению или минимизации
выявленных рисков ИБ

Предложены конкретные мероприятия и решения,

позволяющие устраненить или минимизировать
выявленные риски ИБ подготовлен пошаговый план
мероприятий.

Другое (опишите):
СОСТАВ И ГРАНИЦЫ ПРОЕКТА

Укажите предполагаемую область проведения работ.

Пример:
1. ООО "Фирма-ЮЛ" - аппарат управления;
4 2. ООО "Фирма-ФЛ" - главный офис;
3. ООО "ФИрма-консалтинг" - научный центр;
4. ООО "Фирма-ЮЛ", ООО "Фирма-ФЛ" - call-центр.

Укажите информационные системы, входящие в область

работ (как правило, являются наиболее критичными
системами для организации).
Пример:
5 1. 1С:Предприятие;
2. SAP ERP;
3. СRM-система;
4. Система электронного документооборота;
5. Lotus Domino

Есть ли ограничения по выполнению работ, если есть то

какие?
Примеры ограничений:
1. Ограничения по объектам (например, обследуется 2
объекта из 10 типовых, но отчетная документация
пишется по всем 10);
2. Ограничения по способу обследования объектов
(например, из 5 обследуемых объектов в 2 обследование
проводится удаленно посредством телефонных звонков и
обмена опросными формами).
6 3. Ограничения по бизнес-процессам (например, не
требуется обследовать процесс связи с общественностью
так как в рамкох данного процесса не обрабатываются
защищаемые данные;
4. Во время выполнения работ:
а) возможен переезд с одной физической площадки на
другую;
б) возможна смена юридического лица организации;
в) возможна реструктуризация организации;
г) возможно изменение организационно-штатной
структуры.
 Аудит информационной безопасности

Опросный лист
Часть 2 - Структура ИТ и ИБ

ВЫПОЛНЕННЫЕ РАБОТЫ ПО ИБ

Какими лицензиями регулирующих органов в области

защиты информации (ФСБ России и ФСТЭК России) обладает
1 Организация?
Если в область проекта входят несколько юридических лиц,
указать какому юридическому лицу какая выдана лицензия.

Проводились ли ранее аудиты информационной

2 безопасности (собственными силами либо с привлечением
3-й стороны)? Когда?

Внедрен ли в Организации режим коммерческой тайны?

3 Если в область проекта входят несколько юридических лиц,
дать ответ по каждому юридическому лицу.

СТРУКТУРА ИТ И ИБ-ПОДРАЗДЕЛЕНИЙ
Наименование подразденекия Число работников Основные задачи подразделения

Опишите структуру подразделения отвечающего за

соблюдение режима информационной безопасности и
эксплуатацию системы защиты информации
Пример:
1. Управление информационной безопасности - 12 чел.
1.1. Отдел контроля ИБ - 4 чел.
4 1.2. Отдел администрирования средств защиты
информации - 5 чел.
1.3. Отдел криптографической защиты - 3 чел.
2. Управление внутренней безопасности - 6 чел.
2.1. Отдел внутренней безопасности - 4 чел.
2.2. Информационно-аналитический отдел - 2 чел.
3. Управление экономической безопасности - 3 чел.

Опишите структуру ИТ-подразделения

Пример:
1. Департамент ИТ- 38 чел.
1.1. Управление сопровождения систем - 10 чел.
1.1.1.Отдел сопровождения аналитических систем - 5 чел.
1.1.2. Отдел сопровождения корпоративных систем - 5 чел.
1.2. Управление системногои сетевого администрирования
5 - 21 чел.
1.2.1. Отдел администрирования серверов - 5 чел.
1.2.2. Отдел систем управления базами данных - 4 чел.
1.2.3. Отдел системного программного обеспечения - 6 чел
1.2.4. Отдел сетевого администрирования - 6 чел..
1.3. Управление интеграционных решений - 7 чел.
1.3.1. Отдел развития информационных систем - 3 чел.
1.3.2. Отдел интеграции - 4 чел.
 Аудит информационной безопасности

Опросный лист
Часть 3 - Описание физических площадок

ФИЗИЧЕСКИЕ ПЛОЩАДКИ, ВХОДЯЩИЕ В ОБЛАСТЬ ПРОЕКТА

Количество Используемое программное

Тип объекта Кол-во
серверного обеспечение для обработки
№ п/п (в соответствии с п. 4 на Фактический адрес объекта сотрудников
листе "Общие данные) оборудования на площадке персональных данных + основные
на площадке информационные системы

2
3
4
5
6
7
8

▼Пример заполнения▼

1С: Зарплата и управление персоналом

Клиенты 2000
1 ООО "Фирма-ЮЛ" - г. Москва, ул. Таганская площадь, д. 11 120 MS Outlook
Аппарат управления 7.стр 1 Клиент-банк ПАО "ВТБ 24"
Такском

г. Санкт-Петербург, ул. Тимирязева, д. Клиенты 2000

3 30
ООО "Фирма-ЮЛ", ООО 2. MS Outlook
2
"Фирма-ФЛ" - call-центр Клиенты 2000
г. Вологда, ул. Тимирязева, д. 3. 2 20
Lotus Domino
MS Outlook
ООО "Фирма-консалтинг" -
3 п. Домодедово, ул. Складская, стр. 185. 3 5 MS Office
научный центр
Наука 5.0
1С: Зарплата и управление персоналом
4 ООО "Фирма-ФЛ" - главный г. Москва, ул. Таганская площадь, д. 0 30 Клиенты 2000
офис 7.стр 2
MS Outlook
 Аудит информационной безопасности

Перечень сокращений

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ
№ п/п Сокращение Расшифровка
1 ИБ Информационная безопасность
2 ИТ Информационные технологии
3 ПДн Персональные данные

4 ФСБ России Федеральная служба безопасности Российской Федерации

5 ФСТЭК России Федеральная служба по техническому и экспортному контролю Российской Федерации