![Запрос на предложение услуг по
аудиту информационной
безопасности
“Компания”, [адрес]
Разработал: [имя]
Согласовал: [имя]
Москва
2010](https://image.slidesharecdn.com/securityauditrfptemplate-100221095051-phpapp01/85/Security-Audit-Rfp-Template-1-320.jpg)
![1.Введение
[Краткое описание бизнеса компании, ее присутствия в российских регионах и
других странах]
Компания заинтересована в проведении аудита информационной безопасности
для того, чтобы:
понять уровень защищенности корпоративных информационных ресурсов
от внутренних и внешних угроз информационной безопасности;
понять уровень соответствия требованиям международного стандарта по
управлению информационной безопасностью ISO 27001:2005;
понять уровень осведомленности рядовых сотрудников об угрозах
информационной безопасности и оценить их способность противостоять
действиям злоумышленников, использующих методы социальной
инженерии;
сформировать план действий по устранению существующих уязвимостей.
Настоящий запрос содержит описание состава работ, информацию об ИТ-
инфраструктуре компании, требования к результатам работ и предложению на
оказание профессиональных услуг.
2.Состав работ
Для достижения целей проекта Компания видит необходимость в проведении
следующих работ:
тестирование на возможность несанкционированного проникновения
(внутреннее, включая беспроводной сегмент сети, а также из сети
Интернет);
аудит на соответствие требованиям международного стандарта по
информационной безопасности ISO 27001:2005;
анализ настроек безопасности критичных информационных систем;
аудит с использованием методов социальной инженерии.
3.Требования к результатам работ
Результатами работ должны быть:
отчет с результатами проведенных проверок;
отчеты программных средств, применявшихся в ходе тестирования.
Отчет должен содержать:
краткое резюме для руководства;
описание границ проекта;
описание проведенных аудиторских проверок, содержащие ссылки на
обнаруженные недостатки/уязвимости, и использованные программные
средства;
скриншоты, подтверждающие наличие уязвимости, факта проникновения;
описание обнаруженных недостатков;
описание рисков информационной безопасности, связанных с
обнаруженными уязвимостями;
рекомендации по устранению недостатков;
Запрос на предложение услуг по аудиту информационной безопасности
Код Версия 1.0 стр. 3 из 5](https://image.slidesharecdn.com/securityauditrfptemplate-100221095051-phpapp01/85/Security-Audit-Rfp-Template-3-320.jpg)
![4.Требования к предложению на оказание
профессиональных услуг
Предложение на оказание профессиональных услуг должно быть направлено по
следующему электронному адресу: email@domain.ru до [ДАТА].
Предложение должно включать:
описание подхода по оказанию услуг по информационной безопасности и
используемых методик;
состав работ;
общую стоимость проекта и стоимость каждого этапа;
сроки работ;
резюме специалистов, включаемых в состав проектной команды c кратким
описанием опыта работы по аналогичным проектам;
примеры отчетов;
перечень используемых программных средств;
5.Информация об ИТ-инфраструктуре компании
Внутренний сегмент сети
Общее количество серверов, размещенных
во внутренней корпоративной сети
Количество серверов критичных систем, в
отношении которых проводится только
ручной анализ конфигурации
Основные корпоративные системы
Используемые операционные системы
Используемые системы управления базами
данных
Количество рабочих станций
Используемое сетевое оборудование
Беспроводная сеть
Внешний сегмент сети
Количество каналов подключения к сети
Интернет
Количество соединений со сторонними
организациями
Количество серверов, доступных из сети
Интернет
Количество web-приложений электронной
коммерции
Дополнительная информация
6.Контактная информация
Технические вопросы по ИТ-инфраструктуре просим адресовать:
ФИО
Запрос на предложение услуг по аудиту информационной безопасности
Код Версия 1.0 стр. 4 из 5](https://image.slidesharecdn.com/securityauditrfptemplate-100221095051-phpapp01/85/Security-Audit-Rfp-Template-4-320.jpg)
Security Audit Rfp Template
- 1. Запрос на предложение услуг по аудиту информационной безопасности “Компания”, [адрес] Разработал: [имя] Согласовал: [имя] Москва 2010
- 2. 1. Введение......................................................................................................................3 2. Состав работ...............................................................................................................3 3. Требования к результатам работ..............................................................................3 4. Требования к предложению на оказание профессиональных услуг.....................4 5. Информация об ИТ-инфраструктуре компании.......................................................4 6. Контактная информация............................................................................................4 Запрос на предложение услуг по аудиту информационной безопасности Код Версия 1.0 стр. 2 из 5
- 3. 1.Введение [Краткое описание бизнеса компании, ее присутствия в российских регионах и других странах] Компания заинтересована в проведении аудита информационной безопасности для того, чтобы: понять уровень защищенности корпоративных информационных ресурсов от внутренних и внешних угроз информационной безопасности; понять уровень соответствия требованиям международного стандарта по управлению информационной безопасностью ISO 27001:2005; понять уровень осведомленности рядовых сотрудников об угрозах информационной безопасности и оценить их способность противостоять действиям злоумышленников, использующих методы социальной инженерии; сформировать план действий по устранению существующих уязвимостей. Настоящий запрос содержит описание состава работ, информацию об ИТ- инфраструктуре компании, требования к результатам работ и предложению на оказание профессиональных услуг. 2.Состав работ Для достижения целей проекта Компания видит необходимость в проведении следующих работ: тестирование на возможность несанкционированного проникновения (внутреннее, включая беспроводной сегмент сети, а также из сети Интернет); аудит на соответствие требованиям международного стандарта по информационной безопасности ISO 27001:2005; анализ настроек безопасности критичных информационных систем; аудит с использованием методов социальной инженерии. 3.Требования к результатам работ Результатами работ должны быть: отчет с результатами проведенных проверок; отчеты программных средств, применявшихся в ходе тестирования. Отчет должен содержать: краткое резюме для руководства; описание границ проекта; описание проведенных аудиторских проверок, содержащие ссылки на обнаруженные недостатки/уязвимости, и использованные программные средства; скриншоты, подтверждающие наличие уязвимости, факта проникновения; описание обнаруженных недостатков; описание рисков информационной безопасности, связанных с обнаруженными уязвимостями; рекомендации по устранению недостатков; Запрос на предложение услуг по аудиту информационной безопасности Код Версия 1.0 стр. 3 из 5
- 4. 4.Требования к предложению на оказание профессиональных услуг Предложение на оказание профессиональных услуг должно быть направлено по следующему электронному адресу: email@domain.ru до [ДАТА]. Предложение должно включать: описание подхода по оказанию услуг по информационной безопасности и используемых методик; состав работ; общую стоимость проекта и стоимость каждого этапа; сроки работ; резюме специалистов, включаемых в состав проектной команды c кратким описанием опыта работы по аналогичным проектам; примеры отчетов; перечень используемых программных средств; 5.Информация об ИТ-инфраструктуре компании Внутренний сегмент сети Общее количество серверов, размещенных во внутренней корпоративной сети Количество серверов критичных систем, в отношении которых проводится только ручной анализ конфигурации Основные корпоративные системы Используемые операционные системы Используемые системы управления базами данных Количество рабочих станций Используемое сетевое оборудование Беспроводная сеть Внешний сегмент сети Количество каналов подключения к сети Интернет Количество соединений со сторонними организациями Количество серверов, доступных из сети Интернет Количество web-приложений электронной коммерции Дополнительная информация 6.Контактная информация Технические вопросы по ИТ-инфраструктуре просим адресовать: ФИО Запрос на предложение услуг по аудиту информационной безопасности Код Версия 1.0 стр. 4 из 5
- 5. Должность Телефон e-mail Организационные вопросы просим адресовать: ФИО Должность Телефон e-mail Запрос на предложение услуг по аудиту информационной безопасности Код Версия 1.0 стр. 5 из 5