SlideShare ist ein Scribd-Unternehmen logo

Security Audit Rfp Template

T
Training center "Echelon"
1 von 5
Запрос на предложение услуг по аудиту информационной безопасности “Компания”, [адрес] Разработал: [имя] Согласовал: [имя] Москва 2010
1. Введение......................................................................................................................3 2. Состав работ...............................................................................................................3 3. Требования к результатам работ..............................................................................3 4. Требования к предложению на оказание профессиональных услуг.....................4 5. Информация об ИТ-инфраструктуре компании.......................................................4 6. Контактная информация............................................................................................4 Запрос на предложение услуг по аудиту информационной безопасности Код Версия 1.0 стр. 2 из 5
1.Введение [Краткое описание бизнеса компании, ее присутствия в российских регионах и других странах] Компания заинтересована в проведении аудита информационной безопасности для того, чтобы:  понять уровень защищенности корпоративных информационных ресурсов от внутренних и внешних угроз информационной безопасности;  понять уровень соответствия требованиям международного стандарта по управлению информационной безопасностью ISO 27001:2005;  понять уровень осведомленности рядовых сотрудников об угрозах информационной безопасности и оценить их способность противостоять действиям злоумышленников, использующих методы социальной инженерии;  сформировать план действий по устранению существующих уязвимостей. Настоящий запрос содержит описание состава работ, информацию об ИТ- инфраструктуре компании, требования к результатам работ и предложению на оказание профессиональных услуг. 2.Состав работ Для достижения целей проекта Компания видит необходимость в проведении следующих работ:  тестирование на возможность несанкционированного проникновения (внутреннее, включая беспроводной сегмент сети, а также из сети Интернет);  аудит на соответствие требованиям международного стандарта по информационной безопасности ISO 27001:2005;  анализ настроек безопасности критичных информационных систем;  аудит с использованием методов социальной инженерии. 3.Требования к результатам работ Результатами работ должны быть:  отчет с результатами проведенных проверок;  отчеты программных средств, применявшихся в ходе тестирования. Отчет должен содержать:  краткое резюме для руководства;  описание границ проекта;  описание проведенных аудиторских проверок, содержащие ссылки на обнаруженные недостатки/уязвимости, и использованные программные средства;  скриншоты, подтверждающие наличие уязвимости, факта проникновения;  описание обнаруженных недостатков;  описание рисков информационной безопасности, связанных с обнаруженными уязвимостями;  рекомендации по устранению недостатков; Запрос на предложение услуг по аудиту информационной безопасности Код Версия 1.0 стр. 3 из 5
4.Требования к предложению на оказание профессиональных услуг Предложение на оказание профессиональных услуг должно быть направлено по следующему электронному адресу: email@domain.ru до [ДАТА]. Предложение должно включать:  описание подхода по оказанию услуг по информационной безопасности и используемых методик;  состав работ;  общую стоимость проекта и стоимость каждого этапа;  сроки работ;  резюме специалистов, включаемых в состав проектной команды c кратким описанием опыта работы по аналогичным проектам;  примеры отчетов;  перечень используемых программных средств; 5.Информация об ИТ-инфраструктуре компании Внутренний сегмент сети Общее количество серверов, размещенных во внутренней корпоративной сети Количество серверов критичных систем, в отношении которых проводится только ручной анализ конфигурации Основные корпоративные системы Используемые операционные системы Используемые системы управления базами данных Количество рабочих станций Используемое сетевое оборудование Беспроводная сеть Внешний сегмент сети Количество каналов подключения к сети Интернет Количество соединений со сторонними организациями Количество серверов, доступных из сети Интернет Количество web-приложений электронной коммерции Дополнительная информация 6.Контактная информация Технические вопросы по ИТ-инфраструктуре просим адресовать: ФИО Запрос на предложение услуг по аудиту информационной безопасности Код Версия 1.0 стр. 4 из 5
Должность Телефон e-mail Организационные вопросы просим адресовать: ФИО Должность Телефон e-mail Запрос на предложение услуг по аудиту информационной безопасности Код Версия 1.0 стр. 5 из 5

Empfohlen

InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...Expolink
 
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...Expolink
 
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Kaspersky
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "
SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "
SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "Expolink
 
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...Expolink
 
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференцияTufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференцияIT-Integrator
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report SampleTraining center "Echelon"
 

Empfohlen

InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...Expolink
 
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...Expolink
 
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Kaspersky
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "
SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "
SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "Expolink
 
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...Expolink
 
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференцияTufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференцияIT-Integrator
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report SampleTraining center "Echelon"
 
Phd 2016_SSDL_GOST
Phd 2016_SSDL_GOSTPhd 2016_SSDL_GOST
Phd 2016_SSDL_GOSTAlexander Barabanov
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 
DLP 007: три элемента мобильной безопасности
DLP 007: три элемента мобильной безопасностиDLP 007: три элемента мобильной безопасности
DLP 007: три элемента мобильной безопасностиInfoWatch
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
White hat. случаи из практики
White hat. случаи из практикиWhite hat. случаи из практики
White hat. случаи из практикиInfoTeCS
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Expolink
 
Barabanov_Markov it-std
Barabanov_Markov it-stdBarabanov_Markov it-std
Barabanov_Markov it-stdAlexander Barabanov
 
Архитектура NaaS\NaaE_ИТ-Интегратор_Cisco_Аваль
Архитектура NaaS\NaaE_ИТ-Интегратор_Cisco_АвальАрхитектура NaaS\NaaE_ИТ-Интегратор_Cisco_Аваль
Архитектура NaaS\NaaE_ИТ-Интегратор_Cisco_АвальIT-Integrator
 
Противодействие мошенничеству и расследование инцидентов в страховых компаниях
Противодействие мошенничеству и расследование инцидентов в страховых компанияхПротиводействие мошенничеству и расследование инцидентов в страховых компаниях
Противодействие мошенничеству и расследование инцидентов в страховых компанияхInfoWatch
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
5 романченко ibs
5 романченко ibs5 романченко ibs
5 романченко ibsjournalrubezh
 
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"Expolink
 
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...Банковское обозрение
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеDigital Security
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"Expolink
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииExpolink
 
JFrett Resume 2015
JFrett Resume 2015JFrett Resume 2015
JFrett Resume 2015Jonathan Frett
 
Prefab_2
Prefab_2Prefab_2
Prefab_2fred obute
 

Weitere ähnliche Inhalte

Was ist angesagt?

PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 
DLP 007: три элемента мобильной безопасности
DLP 007: три элемента мобильной безопасностиDLP 007: три элемента мобильной безопасности
DLP 007: три элемента мобильной безопасностиInfoWatch
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
White hat. случаи из практики
White hat. случаи из практикиWhite hat. случаи из практики
White hat. случаи из практикиInfoTeCS
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Expolink
 
Архитектура NaaS\NaaE_ИТ-Интегратор_Cisco_Аваль
Архитектура NaaS\NaaE_ИТ-Интегратор_Cisco_АвальАрхитектура NaaS\NaaE_ИТ-Интегратор_Cisco_Аваль
Архитектура NaaS\NaaE_ИТ-Интегратор_Cisco_АвальIT-Integrator
 
Противодействие мошенничеству и расследование инцидентов в страховых компаниях
Противодействие мошенничеству и расследование инцидентов в страховых компанияхПротиводействие мошенничеству и расследование инцидентов в страховых компаниях
Противодействие мошенничеству и расследование инцидентов в страховых компанияхInfoWatch
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
5 романченко ibs
5 романченко ibs5 романченко ibs
5 романченко ibsjournalrubezh
 
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"Expolink
 
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...Банковское обозрение
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеDigital Security
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"Expolink
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииExpolink
 

Was ist angesagt? (20)

Phd 2016_SSDL_GOST
Phd 2016_SSDL_GOSTPhd 2016_SSDL_GOST
Phd 2016_SSDL_GOST
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 
DLP 007: три элемента мобильной безопасности
DLP 007: три элемента мобильной безопасностиDLP 007: три элемента мобильной безопасности
DLP 007: три элемента мобильной безопасности
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
White hat. случаи из практики
White hat. случаи из практикиWhite hat. случаи из практики
White hat. случаи из практики
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!
 
Barabanov_Markov it-std
Barabanov_Markov it-stdBarabanov_Markov it-std
Barabanov_Markov it-std
 
Архитектура NaaS\NaaE_ИТ-Интегратор_Cisco_Аваль
Архитектура NaaS\NaaE_ИТ-Интегратор_Cisco_АвальАрхитектура NaaS\NaaE_ИТ-Интегратор_Cisco_Аваль
Архитектура NaaS\NaaE_ИТ-Интегратор_Cisco_Аваль
 
Противодействие мошенничеству и расследование инцидентов в страховых компаниях
Противодействие мошенничеству и расследование инцидентов в страховых компанияхПротиводействие мошенничеству и расследование инцидентов в страховых компаниях
Противодействие мошенничеству и расследование инцидентов в страховых компаниях
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасности
 
5 романченко ibs
5 романченко ibs5 романченко ibs
5 романченко ibs
 
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
 
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновение
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информации
 

Andere mochten auch

Joined Up Government
Joined Up GovernmentJoined Up Government
Joined Up Governmenteuwebsc01
 
Aprendizaje por proyectos
Aprendizaje por proyectosAprendizaje por proyectos
Aprendizaje por proyectosMARIA OFELIA
 
受 資 助 機 構 企 業 管 治 指 引 ( 二 零 一 零 年 五 月 )
受 資 助 機 構 企 業 管 治 指 引 ( 二 零 一 零 年 五 月 )受 資 助 機 構 企 業 管 治 指 引 ( 二 零 一 零 年 五 月 )
受 資 助 機 構 企 業 管 治 指 引 ( 二 零 一 零 年 五 月 )euwebsc01
 
Escuela normal experimental del fuerte
Escuela normal experimental del fuerteEscuela normal experimental del fuerte
Escuela normal experimental del fuerteMichelle Ponce
 

Andere mochten auch (16)

JFrett Resume 2015
JFrett Resume 2015JFrett Resume 2015
JFrett Resume 2015
 
Prefab_2
Prefab_2Prefab_2
Prefab_2
 
Joined Up Government
Joined Up GovernmentJoined Up Government
Joined Up Government
 
Lil wayne dec 1
Lil wayne dec 1Lil wayne dec 1
Lil wayne dec 1
 
Aprendizaje por proyectos
Aprendizaje por proyectosAprendizaje por proyectos
Aprendizaje por proyectos
 
Lil wayne dec 4
Lil wayne dec 4Lil wayne dec 4
Lil wayne dec 4
 
Tarea 3
Tarea 3Tarea 3
Tarea 3
 
Lil wayne dec 5
Lil wayne dec 5Lil wayne dec 5
Lil wayne dec 5
 
travelling BALI Vol. XV
travelling BALI Vol. XVtravelling BALI Vol. XV
travelling BALI Vol. XV
 
Sam 4850
Sam 4850Sam 4850
Sam 4850
 
Wellness Detail
Wellness DetailWellness Detail
Wellness Detail
 
Comp40922:Ops
Comp40922:OpsComp40922:Ops
Comp40922:Ops
 
La Eso!!
La Eso!!La Eso!!
La Eso!!
 
受 資 助 機 構 企 業 管 治 指 引 ( 二 零 一 零 年 五 月 )
受 資 助 機 構 企 業 管 治 指 引 ( 二 零 一 零 年 五 月 )受 資 助 機 構 企 業 管 治 指 引 ( 二 零 一 零 年 五 月 )
受 資 助 機 構 企 業 管 治 指 引 ( 二 零 一 零 年 五 月 )
 
The bestof
The bestofThe bestof
The bestof
 
Escuela normal experimental del fuerte
Escuela normal experimental del fuerteEscuela normal experimental del fuerte
Escuela normal experimental del fuerte
 

Ähnlich wie Security Audit Rfp Template

Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСSelectedPresentations
 
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПКомпания УЦСБ
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Expolink
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
Решения HP для обеспечения информационной безопасности
Решения HP для обеспечения информационной безопасностиРешения HP для обеспечения информационной безопасности
Решения HP для обеспечения информационной безопасностиКРОК
 
Безопасность Бизнеса в Инфо-Среде
Безопасность Бизнеса в Инфо-СредеБезопасность Бизнеса в Инфо-Среде
Безопасность Бизнеса в Инфо-СредеDmitry Clerkly
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Alexey Kachalin
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...SQALab
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...it-people
 
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...SelectedPresentations
 
Основные термины и понятия иб
Основные термины и понятия ибОсновные термины и понятия иб
Основные термины и понятия ибAlexander Dorofeev
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISOVsevolod Shabad
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиКРОК
 
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Expolink
 

Ähnlich wie Security Audit Rfp Template (20)

Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИС
 
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
 
Решения HP для обеспечения информационной безопасности
Решения HP для обеспечения информационной безопасностиРешения HP для обеспечения информационной безопасности
Решения HP для обеспечения информационной безопасности
 
Безопасность Бизнеса в Инфо-Среде
Безопасность Бизнеса в Инфо-СредеБезопасность Бизнеса в Инфо-Среде
Безопасность Бизнеса в Инфо-Среде
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
 
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
 
Основные термины и понятия иб
Основные термины и понятия ибОсновные термины и понятия иб
Основные термины и понятия иб
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISO
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
 
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
 

Mehr von Training center "Echelon"

Mehr von Training center "Echelon" (9)

03 Koloskov
03 Koloskov03 Koloskov
03 Koloskov
 
04 Dorofeev
04 Dorofeev04 Dorofeev
04 Dorofeev
 
02 Sokolov
02 Sokolov02 Sokolov
02 Sokolov
 
01 Sachkov
01 Sachkov01 Sachkov
01 Sachkov
 
Introduction
IntroductionIntroduction
Introduction
 
Module 5 Google Hacking
Module 5 Google HackingModule 5 Google Hacking
Module 5 Google Hacking
 
введение
введениевведение
введение
 
TB FORUM
TB FORUMTB FORUM
TB FORUM
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
 

Security Audit Rfp Template

  • 1. Запрос на предложение услуг по аудиту информационной безопасности “Компания”, [адрес] Разработал: [имя] Согласовал: [имя] Москва 2010
  • 2. 1. Введение......................................................................................................................3 2. Состав работ...............................................................................................................3 3. Требования к результатам работ..............................................................................3 4. Требования к предложению на оказание профессиональных услуг.....................4 5. Информация об ИТ-инфраструктуре компании.......................................................4 6. Контактная информация............................................................................................4 Запрос на предложение услуг по аудиту информационной безопасности Код Версия 1.0 стр. 2 из 5
  • 3. 1.Введение [Краткое описание бизнеса компании, ее присутствия в российских регионах и других странах] Компания заинтересована в проведении аудита информационной безопасности для того, чтобы:  понять уровень защищенности корпоративных информационных ресурсов от внутренних и внешних угроз информационной безопасности;  понять уровень соответствия требованиям международного стандарта по управлению информационной безопасностью ISO 27001:2005;  понять уровень осведомленности рядовых сотрудников об угрозах информационной безопасности и оценить их способность противостоять действиям злоумышленников, использующих методы социальной инженерии;  сформировать план действий по устранению существующих уязвимостей. Настоящий запрос содержит описание состава работ, информацию об ИТ- инфраструктуре компании, требования к результатам работ и предложению на оказание профессиональных услуг. 2.Состав работ Для достижения целей проекта Компания видит необходимость в проведении следующих работ:  тестирование на возможность несанкционированного проникновения (внутреннее, включая беспроводной сегмент сети, а также из сети Интернет);  аудит на соответствие требованиям международного стандарта по информационной безопасности ISO 27001:2005;  анализ настроек безопасности критичных информационных систем;  аудит с использованием методов социальной инженерии. 3.Требования к результатам работ Результатами работ должны быть:  отчет с результатами проведенных проверок;  отчеты программных средств, применявшихся в ходе тестирования. Отчет должен содержать:  краткое резюме для руководства;  описание границ проекта;  описание проведенных аудиторских проверок, содержащие ссылки на обнаруженные недостатки/уязвимости, и использованные программные средства;  скриншоты, подтверждающие наличие уязвимости, факта проникновения;  описание обнаруженных недостатков;  описание рисков информационной безопасности, связанных с обнаруженными уязвимостями;  рекомендации по устранению недостатков; Запрос на предложение услуг по аудиту информационной безопасности Код Версия 1.0 стр. 3 из 5
  • 4. 4.Требования к предложению на оказание профессиональных услуг Предложение на оказание профессиональных услуг должно быть направлено по следующему электронному адресу: email@domain.ru до [ДАТА]. Предложение должно включать:  описание подхода по оказанию услуг по информационной безопасности и используемых методик;  состав работ;  общую стоимость проекта и стоимость каждого этапа;  сроки работ;  резюме специалистов, включаемых в состав проектной команды c кратким описанием опыта работы по аналогичным проектам;  примеры отчетов;  перечень используемых программных средств; 5.Информация об ИТ-инфраструктуре компании Внутренний сегмент сети Общее количество серверов, размещенных во внутренней корпоративной сети Количество серверов критичных систем, в отношении которых проводится только ручной анализ конфигурации Основные корпоративные системы Используемые операционные системы Используемые системы управления базами данных Количество рабочих станций Используемое сетевое оборудование Беспроводная сеть Внешний сегмент сети Количество каналов подключения к сети Интернет Количество соединений со сторонними организациями Количество серверов, доступных из сети Интернет Количество web-приложений электронной коммерции Дополнительная информация 6.Контактная информация Технические вопросы по ИТ-инфраструктуре просим адресовать: ФИО Запрос на предложение услуг по аудиту информационной безопасности Код Версия 1.0 стр. 4 из 5
  • 5. Должность Телефон e-mail Организационные вопросы просим адресовать: ФИО Должность Телефон e-mail Запрос на предложение услуг по аудиту информационной безопасности Код Версия 1.0 стр. 5 из 5