IT Due Diligence

Цели:

  • Выявление и минимизация технических и технологических рисков информационной системы (продукта) IT компании
  • Выявление и минимизация рисков, связанных с информационной безопасностью системы компании
  • Выявление и минимизация рисков, связанных с ИТ процессами компании
  • Установление возможности масштабирования продуктов компании.

IT Due Diligence (ИТ аудит, IT аудит) – важный компонент оценки IT компании. Это комплексный анализ продуктов и ИТ процессов компании независимыми сертифицированными экспертами, в результате которого выявляются уязвимости и недостатки данных продуктов и процессов, риски для бизнеса, связанные с ними, а также разрабатываются рекомендации по их минимизации и устранению.

IT DD необходимо проводить в следующих случаях:

  • Инвестирование в IT проекты (программное обеспечение, игры и т.д.)
  • Покупка/продажа IT компании
  • Подготовка ко вступлению в ПВТ (для отдельной категории заявителей – крипто и блокчейн проекты)
  • Подтверждение соответствия локальным и международным стандартам (PCI DSS, HIPAA, ISO 27001, SOC 2, GDPR и др.)
  • Совершение крупной сделки.

IT DD может включать в себя проверку различных технических и процессных аспектов продуктовой IT компании. При вхождении инвестора в капитал изучению подлежит максимально широкий перечень вопросов, позволяющий произвести анализ всех рисков, связанных как с техническими аспектами самого продукта IT компании, так и с ИТ процессами, регулирующими его работу. Например, невозможность масштабирования системы, вероятность возникновения инцидентов безопасности, отсутствие управления изменениями, сложность поддержки или критические уязвимости в системе могут послужить серьезным поводом для торга или отказа от сделки (в связи с необходимостью существенных доработок или переписывания системы). Но в зависимости от целей аудита и сферы применения программного продукта можно ограничить список работ, входящих в IT DD, например, требования ПВТ к анализу информационных систем отдельной категории заявителей (крипто и блокчейн проекты) сосредоточены только на вопросах безопасности систем.

Примерный перечень работ, которые могут входить в IT DD:

  • Ручное тестирование на проникновение
  • Автоматическое сканирование на уязвимости
  • Ручной анализ исходного кода
  • Анализ архитектуры системы
  • Анализ ИТ инфраструктуры
  • Анализ ИТ процессов (управление изменениями, управление доступом, безопасность системных настроек, мониторинг, физическая безопасность, управление инцидентами, управление непрерывностью, управление рисками)
  • Анализ высокой доступности системы (нагрузочное тестирование)
  • Анализ масштабируемости системы
  • Анализ на соответствие информационной системы требованиям ПВТ
  • Проверка соответствия системы требованиям определенных стандартов (по согласованию с заказчиком)
  • Оценка рисков
  • Разработка рекомендаций
  • Подготовка финального отчета

Наши эксперты

  • Наши консультанты – это опытные сертифицированные специалисты, которые постоянно отслеживают последние технологические тенденции и изменения в области безопасности, а также выступают на профильных конференциях в Беларуси и за рубежом.
  • Глубокие знания и опыт наших экспертов подтверждаются общепринятыми международными сертификациями: Certified Information Systems Security Professional (CISSP), Offensive Security Web Expert (OSWE), Microsoft Certified Professional, Microsoft Certified Technology Specialist и др.

Методология

Наши специалисты руководствуются строгим кодексом профессиональной этики и следуют международным методологиям, признанным в отрасли:

  • ISACA standards – Information Systems Audit and Control Association standards
  • OWASP – Open Web Application Security Project Testing Guide
  • PTES – Penetration Testing Execution Standard
  • OSSTMM – Open Source Security Testing Methodology Manual
  • ISSAF – Information Systems Security Assessment Framework

Оставить заявку на проведение теста можно, заполнив онлайн-форму

Заказать

Либо, написав на электронную почту: veronica.yudina@it-band.by

Смотрите также:
Тестирование на проникновение