КРЕДО-С
CREDOS:AUDIT/Аудит и оценка

Аудит информационной безопасности

Регулятор приходит не предупреждая. Аудит ИБ показывает, что он увидит — и что нужно исправить до его визита.

Для кого: Организации перед проверкой регулятора, при смене CISO, перед внедрением SOC

ФСТЭКФСБГОСТ 57580
2–6 недель
Сроки проведения
Услуга «Аудит информационной безопасности» от компании КРЕДО-С — лицензиата ФСТЭК и ФСБ России. Регулятор приходит не предупреждая. Аудит ИБ показывает, что он увидит — и что нужно исправить до его визита. Категория: Аудит и оценка. Подразделение: Отдел информационной безопасности. КРЕДО-С — аккредитованная ИТ-компания с 1993 года, реализовала более 1000 проектов в 36 регионах России. Лицензии ФСТЭК и ФСБ. Сайт: soc.credos.ru

Описание услуги

Проверка ФСТЭК или Роскомнадзора застаёт организацию врасплох: предписания, штрафы, требование устранить нарушения в сжатые сроки. CREDOS:AUDIT выявляет все расхождения с требованиями регуляторов до проверки — и даёт конкретный план исправления с приоритетами и оценкой бюджета.

Аудит необходим при подготовке к проверкам ФСТЭК, Роскомнадзора, ФСБ — и при плановой смене CISO или внедрении SOC. Охватывает требования 152-ФЗ, 187-ФЗ, приказов ФСТЭК № 17/117, № 21, № 239, ГОСТ 57580. Результаты используются для расчёта показателя КЗИ по приказу ФСТЭК №117.

Как проходит аудит:

Подготовка — определяем границы, формируем группу, подписываем NDA. Сроки согласуются заранее.

Сбор данных — изучаем документацию по ИБ, интервьюируем администраторов и руководителей, инвентаризируем средства защиты, анализируем архитектуру сетей и систем.

Оценка рисков — идентифицируем угрозы по БДУ ФСТЭК, анализируем уязвимости сканерами, оцениваем вероятность реализации и масштаб ущерба, расставляем приоритеты по критичности.

GAP-анализ — сравниваем текущее состояние с требованиями 152-ФЗ, 187-ФЗ, приказов ФСТЭК и ФСБ, ГОСТ 57580. Фиксируем каждое несоответствие.

Отчёт и дорожная карта — описываем несоответствия с классификацией по критичности, даём конкретные рекомендации, составляем план с приоритетами, сроками и оценкой бюджета.

Сопровождение — консультируем при реализации рекомендаций, помогаем устранить критические недостатки, при необходимости проводим повторную оценку.

КРЕДО-С имеет лицензии ФСТЭК и ФСБ России, аттестат на право проведения аттестационных испытаний. Более 1 000 реализованных проектов в 36 регионах — от малого бизнеса до оборонных предприятий и субъектов КИИ.

Как проходит работа

1

Подготовка

Определяем границы аудита, формируем рабочую группу, подписываем NDA. Согласовываем расписание интервью и технологические окна для сканирования.

2

Сбор информации

Изучаем документацию по ИБ, интервьюируем администраторов и руководителей, инвентаризируем средства защиты, анализируем сетевую архитектуру и схему взаимодействия систем.

3

Оценка рисков

Идентифицируем угрозы по БДУ ФСТЭК, анализируем уязвимости сертифицированными сканерами, оцениваем вероятность реализации и масштаб ущерба, расставляем приоритеты по критичности.

4

Проверка соответствия

GAP-анализ: сравниваем текущее состояние с требованиями 152-ФЗ, 187-ФЗ, приказов ФСТЭК №17/117, №21, №239, ГОСТ Р 57580. Фиксируем каждое несоответствие с обоснованием.

5

Оценка персонала

Проверяем управление доступом и матрицу привилегий, тестируем осведомлённость сотрудников в вопросах ИБ. Инсайдерские риски — отдельный раздел отчёта.

6

Отчёт и дорожная карта

Описываем несоответствия с классификацией по критичности. Конкретные рекомендации — не общие фразы, а ТЗ для устранения с приоритетами, сроками и оценкой бюджета.

7

Поддержка при внедрении

Консультируем при реализации рекомендаций, помогаем устранить критические недостатки, при необходимости выбираем и внедряем сертифицированные СЗИ.

8

Контроль результатов

Повторная оценка после устранения выявленных нарушений, подтверждение соответствия, финальный отчёт. Используется при аттестации ИС и при взаимодействии с регулятором.

Направления

GAP-анализ

Выявление расхождений между текущим состоянием защиты и требованиями регуляторов: ФСТЭК, ФСБ, Роскомнадзор, отраслевые стандарты

Оценка рисков

Идентификация угроз безопасности по БДУ ФСТЭК, анализ уязвимостей инфраструктуры и оценка вероятности реализации атак

Проверка соответствия

Анализ выполнения требований 152-ФЗ, 187-ФЗ, приказов ФСТЭК 17/117, 21, 239, ГОСТ 57580 для финансового сектора

Дорожная карта

Приоритизированный план мероприятий по устранению недостатков с оценкой бюджета, сроков и ответственных исполнителей

Что входит

  • Экспертный аудит организационных и технических мер защиты информации
  • Сканирование ИТ-инфраструктуры на уязвимости сертифицированными сканерами
  • Анализ архитектуры информационных систем и сетевой инфраструктуры
  • Проведение интервью с ключевыми сотрудниками и анализ процессов ИБ
  • Оценка рисков и классификация угроз по критичности с использованием БДУ ФСТЭК
  • Проверка соответствия требованиям 152-ФЗ, 187-ФЗ, приказов ФСТЭК и ФСБ
  • Тестирование осведомлённости персонала в вопросах кибербезопасности
  • Разработка дорожной карты по модернизации системы ИБ с оценкой бюджета

Результаты работы

Детальный отчёт об аудите с перечнем выявленных несоответствий
Модель угроз и оценка уровня рисков с приоритизацией
Заключение о соответствии требованиям регуляторов (ФСТЭК, ФСБ)
Дорожная карта по модернизации системы ИБ с этапами и бюджетом
Рекомендации по расчёту показателя защищённости КЗИ
CREDOS:AUDIT

Почему КРЕДО-С

Более 33 лет на рынке ИБ — опыт аудитов для предприятий всех отраслей и размеров

Лицензии ФСТЭК и ФСБ России + аттестат на право проведения аттестационных испытаний

Проводили аудиты объектов КИИ всех трёх категорий значимости

Отчёт содержит конкретные рекомендации — не общие фразы, а ТЗ для устранения

Сопровождаем при взаимодействии с ФСТЭК, ФСБ и Роскомнадзором после аудита

Проекты по этой услуге

Защита объектов КИИ международного аэропорта
Транспорт
NDA
2025

Защита объектов КИИ международного аэропорта

Защита КИИ

Актуализация категорий значимых объектов КИИ и разработка систем безопасности одного из крупнейших международных аэропортов Москвы.

  • Актуализированы сведения о категориях значимых объектов КИИ аэропорта с учётом текущих реалий ИБ
  • Разработана организационная и проектная документация на системы безопасности объектов КИИ
  • Заказчик получил готовую документацию для внедрения организационных и технических мер по обеспечению безопасности с учётом особенностей функционирования объектов КИИ
Подробнее о кейсе

Другие услуги

Пентест и киберучения

Анализ защищённости

Выявление уязвимостей ИТ-инфраструктуры: автоматизированное сканирование сертифицированными сканерами и ручной анализ конфигураций СЗИ. Каждая уязвимость верифицируется по БДУ ФСТЭК и оценивается по CVSS.

ФСТЭКГосСОПКА
  • Автоматизированное сканирование уязвимостей сертифицированными сканерами
  • Ручной анализ конфигураций средств защиты информации
  • Проверка правил межсетевых экранов и политик контроля доступа
  • Тестирование механизмов аутентификации и разграничения доступа
  • и ещё 4...
Подробнее
Пентест и киберучения

Анализ защищённости

Выявление уязвимостей ИТ-инфраструктуры: автоматизированное сканирование сертифицированными сканерами и ручной анализ конфигураций СЗИ. Каждая уязвимость верифицируется по БДУ ФСТЭК и оценивается по CVSS.

ФСТЭКГосСОПКА
  • Автоматизированное сканирование уязвимостей сертифицированными сканерами
  • Ручной анализ конфигураций средств защиты информации
  • Проверка правил межсетевых экранов и политик контроля доступа
  • Тестирование механизмов аутентификации и разграничения доступа
  • и ещё 4...
Подробнее
Мониторинг и SOC

Мониторинг событий ИБ (SOC)

Хакер уже может быть в вашей сети — без мониторинга вы узнаете об этом через 207 дней, когда данные уже утекли. SOC-центр КРЕДО-С обнаруживает инциденты за 15 минут и реагирует круглосуточно.

24/7ГосСОПКАКИИФСТЭК
  • Аудит ИТ-инфраструктуры и определение источников событий безопасности
  • Настройка централизованного сбора логов и интеграция с SIEM
  • Разработка корреляционных правил и моделей поведения
  • Круглосуточный мониторинг событий безопасности 24/7 аналитиками SOC
  • и ещё 4...
Подробнее

Актуально для отраслей

Производство и КИИФинансовый секторГосударственные учреждения

Часто задаваемые вопросы

Что включает аудит информационной безопасности?
Аудит ИБ включает анализ организационных и технических мер защиты, сканирование инфраструктуры на уязвимости, оценку рисков, проверку соответствия требованиям регуляторов (ФСТЭК, ФСБ, Роскомнадзор) и разработку дорожной карты по устранению выявленных недостатков.
Сколько времени занимает аудит ИБ?
Сроки зависят от масштаба организации и количества информационных систем. Для небольшой компании аудит занимает 2-3 недели, для крупного предприятия с распределённой инфраструктурой — от 1 до 3 месяцев.
Какие документы получает заказчик по итогам аудита?
Заказчик получает детальный отчёт с перечнем выявленных несоответствий, модель угроз и оценку рисков, заключение о соответствии требованиям регуляторов, а также дорожную карту мероприятий с приоритизацией и оценкой бюджета.
Как аудит ИБ помогает выполнить требования ФСТЭК?
Аудит выявляет расхождения между текущим состоянием защиты и требованиями приказов ФСТЭК (№ 17/117, № 21, № 239). Результаты аудита используются для расчёта показателя защищённости КЗИ и планирования мероприятий по приведению системы в соответствие.
Чем аудит ИБ отличается от пентеста?
Аудит ИБ — это комплексная оценка состояния информационной безопасности: процессы, документация, соответствие требованиям регуляторов, технические меры. Пентест — целенаправленная попытка взлома для проверки практической защищённости. Они дополняют друг друга: аудит находит организационные пробелы, пентест — технические уязвимости.
Сколько стоит аудит информационной безопасности?
Стоимость зависит от масштаба инфраструктуры и глубины проверки. Базовый аудит для компании 100–500 сотрудников — от 200 000 ₽. Комплексный аудит крупного предприятия с несколькими площадками — от 500 000 ₽. Оставьте заявку для расчёта стоимости под вашу инфраструктуру.
Нужно ли останавливать работу систем во время аудита?
Нет. Аудит ИБ проводится в пассивном режиме: сбор конфигураций, интервью с сотрудниками, анализ документации. Сканирование на уязвимости выполняется в согласованные технологические окна, как правило в нерабочее время, без остановки бизнес-процессов.

Бесплатные инструменты

Экспресс-аудит ИБ

Бесплатная онлайн-проверка — 15 вопросов, 3 минуты, оценка уровня защищённости

Попробовать бесплатно
Калькулятор штрафов

Узнайте размер штрафов за нарушения ИБ для вашей компании по актуальным данным

Попробовать бесплатно

Обсудить ваш проект

Рассчитайте стоимость SOC-услуг онлайн или оставьте заявку для бесплатной консультации

Рассчитать стоимость SOC