RU EN

Аудит информационной безопасности

Аудит информационной безопасности — независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия критериям, и предоставление результатов в виде рекомендаций. В рамках аудита ИБ или отдельным проектом может быть проведен тест на проникновение, позволяющий проверить способность ИС компании противостоять попыткам проникновения в сеть и неправомерного воздействия на информацию.

Аудит информационной безопасности позволяет:

  • Выявить все уязвимые места в системе информационной безопасности;
  • Понять каким способом, и через какие уязвимости злоумышленник может проникнуть в информационную среду организации;
  • Оценить возможный ущерб;
  • Получить объективную оценку уровня системы информационной безопасности;
  • Устранить выявленные уязвимости в системе информационной безопасности.

Аудит информационной безопасности необходим в следующих случаях:

  • Изменения структуры компании;
  • Оценки существующей системы информационной безопасности;
  • Оценки защищенности ресурсов информационной системы;
  • Анализа возможного ущерба от действий злоумышленников;
  • Повышения грамотности персонала организации в области ИБ;
  • Оценки эффективности затраченных средств на систему ИБ.

 

При выполнении аудита информационной безопасности мы руководствуемся международными стандартами и методологиями, такими как:

  1. 1. National Institute of Standards Technology (NIST). В стандарте рассматривается методика тестирования на проникновение сети: организация процесса, проведение оценки ИБ организации;
  2. 2. Open Source Security Testing Methodology (OSSTMM). В методологии описаны следующие области для тестирования: информационная безопасность, безопасность Web – приложений, безопасность каналов связи;
  3. 3. OWASP Testing Guide. Методология включает практику по проведению тестирования на проникновение Web – приложений.
  4. 4. PCI DSS. Стандарт безопасности данных индустрии платежных карт.
  5. 5. Стандарты банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации.

 

Этапы аудита информационной безопасности:

  1. 1. Согласование и утверждение с заказчиком границ аудита и ответственности сторон;
  2. 2. Сбор информации;
  3. 3. Определение периметра сети;
  4. 4. Определение типов и видов коммутационного оборудования;
  5. 5. Определение типов и видов операционных систем;
  6. 6. Определение типов и видов периферийного оборудования;
  7. 7. Анализ конфигурационных файлов коммутационного оборудования и серверов;
  8. 8. Анализ конфигурационных файлов периферийного оборудования;
  9. 9. Сканирование портов сетевого оборудования и серверов;
  10. 10. Анализ собранной информации;
  11. 11. Определение векторов атаки;
  12. 12. Тестирование на проникновение информационной системы.

 

Формирование отчета

Отчет, предоставляемый Заказчику по результатам проведения аудита информационной безопасности, содержит детальное описание проведенных работ, все выявленные уязвимости системы и способы их реализации. Также отчет содержит конкретные рекомендации по устранению данных уязвимостей и повышению уровня информационной безопасности.

Перед проведением аудита информационной безопасности, Исполнитель и Заказчик подписывают соглашение о неразглашении. Данный документ гарантирует конфиденциальность информации полученной в ходе аудита.

Заказать услугу: Аудит информационной безопасности

Заявка успешно отправленна

Мы свяжемся с Вами в ближайшее время

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.