Аудит інформаційної безпеки

  1. об'єкти дослідження
  2. Результати аудиту ІБ

Щороку поповнюється перелік вразливостей в різних ІТ. Разом з ним росте і кількість методів атак на інформаційні системи.

Разом з ним росте і кількість методів атак на інформаційні системи

Ці уразливості безпосередньо впливають на захищеність інформаційних активів: зловмисники можуть їх проексплутіровать і нанести шкоду організації. Ми допоможемо замовнику аудиту ІБ оцінити ефективність застосовуваних засобів і заходів захисту інформації та дамо рекомендації по модернізації, якщо виявимо уразливості або недостатність захисних функцій.

Аудит стану ІБ включає:

  • Оцінку захищеності технічних засобів і програмного забезпечення .
  • Оцінку захищеності мережевої інфраструктури.
  • Оцінку ефективності існуючих підсистем ІБ.
  • Аналіз бізнес-процесів, нормативної та технічної документації.
  • Тест на проникнення .

Чим відрізняються пентест, аудит ІБ і аналіз захищеності .

об'єкти дослідження

  • Сайти та веб-додатки.
  • СУБД.
  • Мережеві служби і сервіси (електронна пошта, проксі, VoIP, FTP та ін.).
  • Протоколи різних рівнів мережної моделі OSI.
  • Мережеве обладнання.
  • Бездротові мережі.
  • Засоби захисту інформації.
  • Серверні і призначені для користувача операційні системи.
  • Прикладне ПО.
  • Процеси управління, обробки і контролю.
  • Документація.

Критерії та методики аудиту

  • Міжнародні та російські стандарти в області ІБ ( PCI DSS , СТО БР Іббсе , ГОСТ Р ISO / IEC 27001-2006 та ін.).
  • Вимоги регуляторів (Накази ФСТЕК Росії №№ 17, 21, 31, 382-П та ін.)
  • Рекомендацій виробників обладнання та програмного забезпечення (Whitepapers, Advisory і ін.).
  • Експертний досвід аудиторів «Перспективного моніторингу».

Ми розробили власну методику аудиту, яка базується на Draft Guideline on Network Security Testing (від NIST), Open-Source Security Testing Methodology (OSSTM) і The OWASP Testing Framework.

Всі інструментальні тести заздалегідь узгоджуються з замовником аудиту, плануються так, щоб не порушити роботу досліджуваних систем і не викликати відмову в обслуговуванні, і проводяться під контролем ІТ та ІБ-служб. Ми можемо провести перевірки в неробочий час.

Результати аудиту ІБ

Звіт за результатами аудиту містить:

  • опис характеристик і компонентів корпоративної інформаційної системи, які впливають на рівень захищеності;
  • результати інструментальних тестів;
  • результати пентеста;
  • висновки і рекомендації щодо підвищення рівня захищеності.

Завдяки цій інформації замовник зможе доопрацювати вимоги до СЗІ та оцінити ефективність вжитих заходів по захисту інформації.