Услуга: Аудит информационной безопасности (ИБ)

Опросный лист для оценки стоимости работ

1. Общая информация об организации и проекте

1. Полное наименование организации

Контактное лицо в организации (ФИО)

Подразделение и должность
2.
Номер телефона
Электронная почта

3. Общее количество всех сотрудников компании

4. Количество офисов (площадок компании, с

указанием центров обработки данных)
5. Какие цели стоят перед проектом по аудиту ИБ?

6. Какие задачи необходимо решить в рамках

проекта?
7. Какие временные ограничения есть по проекту?

Какие есть требования по документированию

8. результатов проекта (краткий/подробный отчет,
презентация руководству, еженедельные встречи
и тд)
2. Количество сотрудников

Общее количество сотрудников в подразделении

Компании, отвечающем за ИТ
из них кол-во сотрудников, занятых в управлении
(руководители управления/службы/отделов и их
заместители)
из них количество специалистов технической
поддержки пользователей
из них администраторов серверных операционных
систем
из них администраторов систем управления базами
данных
из них администраторов сетевого оборудования
из них администраторов бизнес-приложений
из них разработчиков программного обеспечения
из них администраторов средств защиты информации
Общее количество сотрудников в подразделении
Компании, отвечающем за ИБ
из них кол-во сотрудников. занятых в управлении
(руководители управления/службы/отделов и их
заместители)
из них администраторов средств защиты информации
3. Филиалы и представительства

Название и адрес Наименование вида Количество работников на площадке

площадки деятельности Менеджмент Исполнители Служба ИТ Служба ИБ
4. Общая информация об ИТ инфраструктуре и организации ИБ

1. Общее количество рабочих станций и

серверов

2. Используемые информационные системы и их

назначение
Какие локальные нормативные акты,
регламентирующие ИТ и ИБ, введены в
3. действие? Например политики, положения,
регламенты, инструкции (укажите их
названия)
Реализованы ли мероприятия по защите
4. персональных данных (152-ФЗ), если да, то
какие мероприятия?

5. Реализованы ли мероприятия по обеспечению

безопасности КИИ (187-ФЗ)?

6. Какие лицензии по защите информации есть у

компании (ФСТЭК, ФСБ)?
5. Внешний периметр. Перечень систем, подлежащих обследованию:

Перечень “белых“ IP с указанием Пример

Тип сервиса
сервисов

[Link]:http,https,ftp;
[Link]:http, smtp, openvpn.

1. Сетевые сервисы

[Link]: веб-сайт. Сайт-визитка.

[Link]: Веб-сервис обмена
документами между сотрудниками и
контрагентами. Присутствует
авторизация пользователей. Сервис
2. Веб-сервисы хранит конфиденциальную
информацию.
 1. “Базовое тестирование”. Позволяет получить понимание общей степени
защищенности перечисленных ресурсов и показывает, каких результатов
добьется злоумышленник в первые дни своей работы. Отчет содержит
выявленные в ходе работ уязвимости и примеры их использования.

Является лучшим выбором для компаний, в которых ранее не проводился

тест на проникновение\анализ защищенности.

2 Тест на проникновение. Работы, которые проводятся до достижения

Требуемые к поставленной цели. Цель – получить доступ в закрытую область, получить
проведению работы доступ к конфиденциальной информации. Отчет содержит описание одной
на перечисленных успешной атаки и перечень уязвимостей, которые были для этой атаки
3. внешних ресурсах задействованы.
(поставьте отметку,
где необходимо) Является лучшим выбором для компаний, которым требуется показать,
текущий уровень информационной безопасности должен быть повышен в
связи с уязвимостью целевых систем.

3. Анализ защищенности. Цель работ – выявить как можно большее число

уязвимостей на целевых системах.

Данные работы обычно проводятся для конкретных критически-значимых

ресурсов, для которых требуется обеспечить повышенный уровень
защищенности.
6. Внутренний периметр. Перечень систем, подлежащих обследованию:

Перечень IP с указанием Пример

Тип сервиса
сервисов

Внутренние сервера:
[Link]:http,https,ftp, AD;
1. Сетевые сервисы [Link]:http, smtp, DNS-server.

[Link]: веб-сайт. Сайт-визитка.

[Link]: Веб-сервис обмена документами
2. Веб-сервисы между сотрудниками и контрагентами.
Присутствует авторизация пользователей. Сервис
хранит конфиденциальную информацию.

[Link]\24 – рабочие станции сотрудников.

Типовая настройка.

Рабочие станции
3.
пользователей.
 1. “Базовое тестирование”. Позволяет получить понимание общей
степени защищенности перечисленных ресурсов и показывает, каких
результатов добьется злоумышленник в первые дни своей работы.
Отчет содержит выявленные в ходе работ уязвимости и примеры их
использования.

Является лучшим выбором для компаний, в которых ранее не

проводился тест на проникновение\анализ защищенности.

2 Тест на проникновение. Работы, которые проводятся до

достижения поставленной цели. Цель – получить доступ в закрытую
Требуемые к проведению
область, получить доступ к конфиденциальной информации. Отчет
работы на перечисленных
внутренних ресурсах содержит описание одной успешной атаки и перечень уязвимостей,
3.
которые были для этой атаки задействованы.
(поставьте отметку, где
необходимо)
Является лучшим выбором для компаний, которым требуется
показать, текущий уровень информационной безопасности должен
быть повышен в связи с уязвимостью целевых систем.

3. Анализ защищенности. Цель работ – выявить как можно большее

число уязвимостей на целевых системах.
Данные работы обычно проводятся для конкретных критически-
значимых ресурсов, для которых требуется обеспечить повышенный
уровень защищенности.
7. Дополнительные вопросы.

№ Вопрос Ответ Пояснения

Возможно ли организовать Целью данного вопроса является выяснение

VPN туннель для возможности снижения накладных расходов
исполнителей до исполнителя (снижение стоимости проекта
внутренней сети? для Заказчика), вследствие проведения работ
удаленно. Для проведения работ клиент
1. может создать туннель (туннели) до
площадок, на которых находятся
обследуемые системы.
Необходимо указать, возможно ли это, либо
возможно частично (тогда указать в каком
объеме).

Укажите расположение Если до всех обследуемых систем нет

объектов, на которых возможности создать удаленный доступ
планируется проведение исполнителей, необходимо указать
2.
внутреннего теста на территориальное расположение объектов с
проникновение. привязкой по количеству, либо перечню IP из
п.3.
8. Тест на проникновение с использованием социальной инженерии.

№ Вопрос Ответ Пояснения

Укажите к-во человек, Стоимость работ рассчитывается по

которые входят в область количеству человек. Зачастую, есть
тестирования с необходимость во включении в
1. применением методов область обследования топ-
социальной инженерии? менеджмента, персонала службы help-
desk, и выборочного контроля
обычных сотрудников.

Укажите Необходимо указать в каком офисе

2. месторасположение офисов, находится сколько человек из области
в которых находятся обследования.
сотрудники из пункта выше.
 Какие тесты социальной 1. Безадресные рассылки Пункты 1-5 выполняются удаленно.
инженерии должны быть писем, с вредоносными Пункт 6 требует выезда аудиторов в
проведены (поставьте ссылками. офисы компании и проведении атак
отметку, где необходимо) “на-месте”.
2 Адресные фишинговые
рассылки писем, с
вредоносными ссылками.

3. Безадресные рассылки
писем, с вредоносным
3. вложением.

4. Адресные фишинговые
рассылки писем, с
вредоносным вложением.

5. Звонки из службы
техподдержки.

6. Атаки через “забытые”

флеш-накопители

Какие политики есть в Указать есть ли такие политики, и

организации, связанные с если они есть, приложить их к анкете
4. предотвращением действий (если не возможно приложить,
с использованием указать краткое содержание).
социальной инженерии?
9. Информация о технических средствах защиты организации

№ Вопрос Ответ Пояснения

Используется ли в Да Укажите какой: Примеры WAF: Imperva SecureSphere,

1. организации WAF (Web Citrix NetScaller, DenyAll rWeb,
Application Firewall) Нет SourceFire 3D, F5 ASM, Barracuda и др.

Используется ли в Да Укажите какой: Примеры IPS: CheckPoint IPS, StoneSoft

2. организации IPS (Intrusion IPS, Cisco IPS, McAfee IPS, Fortinet IPS,
Prevention System) Нет Palo Alto Networks IPS и др.

Используется потоковый Да Укажите какой:

3. антивирус?
Нет

Используется ли фильтр Да Укажите какой:

4. спама?
Нет

Используется ли средство Да Укажите какой: Примеры SIEM: HP-Q1 Labs, HP-ArcSight,

5. мониторинга и корреляции Splunk, McAfee, EMC-RSA, Tenable,
событий (SIEM)? Нет Symantec и д.р.
10.Если вы хотите сообщить какие-либо дополнительные сведения, либо добавить комментарии,
пожалуйста, сделайте это в поле ниже.