Аудит інформаційної безпеки
Щороку поповнюється перелік вразливостей в різних ІТ. Разом з ним росте і кількість методів атак на інформаційні системи.
Ці уразливості безпосередньо впливають на захищеність інформаційних активів: зловмисники можуть їх проексплутіровать і нанести шкоду організації. Ми допоможемо замовнику аудиту ІБ оцінити ефективність застосовуваних засобів і заходів захисту інформації та дамо рекомендації по модернізації, якщо виявимо уразливості або недостатність захисних функцій.
- Оцінку захищеності технічних засобів і програмного забезпечення .
- Оцінку захищеності мережевої інфраструктури.
- Оцінку ефективності існуючих підсистем ІБ.
- Аналіз бізнес-процесів, нормативної та технічної документації.
- Тест на проникнення .
Чим відрізняються пентест, аудит ІБ і аналіз захищеності .
об'єкти дослідження
- Сайти та веб-додатки.
- СУБД.
- Мережеві служби і сервіси (електронна пошта, проксі, VoIP, FTP та ін.).
- Протоколи різних рівнів мережної моделі OSI.
- Мережеве обладнання.
- Бездротові мережі.
- Засоби захисту інформації.
- Серверні і призначені для користувача операційні системи.
- Прикладне ПО.
- Процеси управління, обробки і контролю.
- Документація.
Критерії та методики аудиту
- Міжнародні та російські стандарти в області ІБ ( PCI DSS , СТО БР Іббсе , ГОСТ Р ISO / IEC 27001-2006 та ін.).
- Вимоги регуляторів (Накази ФСТЕК Росії №№ 17, 21, 31, 382-П та ін.)
- Рекомендацій виробників обладнання та програмного забезпечення (Whitepapers, Advisory і ін.).
- Експертний досвід аудиторів «Перспективного моніторингу».
Ми розробили власну методику аудиту, яка базується на Draft Guideline on Network Security Testing (від NIST), Open-Source Security Testing Methodology (OSSTM) і The OWASP Testing Framework.
Всі інструментальні тести заздалегідь узгоджуються з замовником аудиту, плануються так, щоб не порушити роботу досліджуваних систем і не викликати відмову в обслуговуванні, і проводяться під контролем ІТ та ІБ-служб. Ми можемо провести перевірки в неробочий час.
Результати аудиту ІБ
Звіт за результатами аудиту містить:
- опис характеристик і компонентів корпоративної інформаційної системи, які впливають на рівень захищеності;
- результати інструментальних тестів;
- результати пентеста;
- висновки і рекомендації щодо підвищення рівня захищеності.
Завдяки цій інформації замовник зможе доопрацювати вимоги до СЗІ та оцінити ефективність вжитих заходів по захисту інформації.