RU EN
Надежно защищен только выключенный компьютер.
Евгений Касперский
Специалист по информационной безопасности

Аудит информационной безопасности

Аудит информационной безопасности — независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия критериям, и предоставление результатов в виде рекомендаций. В рамках аудита ИБ или отдельным проектом может быть проведен тест на проникновение, позволяющий проверить способность ИС компании противостоять попыткам проникновения в сеть и неправомерного воздействия на информацию.

Аудит информационной безопасности позволяет:

  • Выявить все уязвимые места в системе информационной безопасности;
  • Понять каким способом, и через какие уязвимости злоумышленник может проникнуть в информационную среду организации;
  • Оценить возможный ущерб;
  • Получить объективную оценку уровня системы информационной безопасности;
  • Устранить выявленные уязвимости в системе информационной безопасности.

Аудит информационной безопасности необходим в следующих случаях:

  • Изменения структуры компании;
  • Оценки существующей системы информационной безопасности;
  • Оценки защищенности ресурсов информационной системы;
  • Анализа возможного ущерба от действий злоумышленников;
  • Повышения грамотности персонала организации в области ИБ;
  • Оценки эффективности затраченных средств на систему ИБ.

 

При выполнении аудита информационной безопасности мы руководствуемся международными стандартами и методологиями, такими как:

  1. 1. National Institute of Standards Technology (NIST). В стандарте рассматривается методика тестирования на проникновение сети: организация процесса, проведение оценки ИБ организации;
  2. 2. Open Source Security Testing Methodology (OSSTMM). В методологии описаны следующие области для тестирования: информационная безопасность, безопасность Web – приложений, безопасность каналов связи;
  3. 3. OWASP Testing Guide. Методология включает практику по проведению тестирования на проникновение Web – приложений.
  4. 4. PCI DSS. Стандарт безопасности данных. Требования и процедуры оценки безопасности.
  5. 5. Стандарт банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации.

 

Основные методы проведения аудита информационной безопасности:

  1. 1. Метод черного ящика (black box) - аудит, в котором тестировщик не знает ничего о тестируемой системе
  2. 2. Метод белого ящика (white box) - аудит, в котором известна архитектура и состояние системы, есть доступ к исходным кодам, есть учетные записи в системе
  3. 3. Метод серого ящика (grey box) - аудит, в котором известны частичные данные о тестируемой системе.

 

Этапы аудита информационной безопасности:

  1. 1. Согласование и утверждение с заказчиком метода аудита и ответственности сторон;
  2. 2. Сбор информации;
  3. 3. Определение периметра сети;
  4. 4. Определение типов и видов коммутационного оборудования;
  5. 5. Определение типов и видов операционных систем;
  6. 6. Определение типов и видов периферийного оборудования;
  7. 7. Анализ конфигурационных файлов коммутационного оборудования и серверов;
  8. 8. Анализ конфигурационных файлов периферийного оборудования;
  9. 9. Сканирование портов сетевого оборудования и серверов;
  10. 10. Анализ собранной информации;
  11. 11. Определение векторов атаки;
  12. 12. Тестирование на проникновение информационной системы.

 

Формирование отчета

Отчет, предоставляемый Заказчику по результатам проведения аудита информационной безопасности, содержит детальное описание проведенных работ, все выявленные уязвимости системы и способы их реализации. Также отчет содержит конкретные рекомендации по устранению данных уязвимостей и повышению уровня информационной безопасности.

Перед проведением аудита информационной безопасности, Исполнитель и Заказчик подписывают соглашение о неразглашении. Данный документ гарантирует конфиденциальность информации полученной в ходе аудита.

Заказать услугу: Аудит информационной безопасности

Заявка успешно отправленна

Мы свяжемся с Вами в ближайшее время

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.