Аудит информационной безопасности
Аудит информационной безопасности — независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия критериям, и предоставление результатов в виде рекомендаций. В рамках аудита ИБ или отдельным проектом может быть проведен тест на проникновение, позволяющий проверить способность ИС компании противостоять попыткам проникновения в сеть и неправомерного воздействия на информацию.
Аудит информационной безопасности позволяет:
- Выявить все уязвимые места в системе информационной безопасности;
- Понять каким способом, и через какие уязвимости злоумышленник может проникнуть в информационную среду организации;
- Оценить возможный ущерб;
- Получить объективную оценку уровня системы информационной безопасности;
- Устранить выявленные уязвимости в системе информационной безопасности.
Аудит информационной безопасности необходим в следующих случаях:
- Изменения структуры компании;
- Оценки существующей системы информационной безопасности;
- Оценки защищенности ресурсов информационной системы;
- Анализа возможного ущерба от действий злоумышленников;
- Повышения грамотности персонала организации в области ИБ;
- Оценки эффективности затраченных средств на систему ИБ.
При выполнении аудита информационной безопасности мы руководствуемся международными стандартами и методологиями, такими как:
- National Institute of Standards Technology (NIST). В стандарте рассматривается методика тестирования на проникновение сети: организация процесса, проведение оценки ИБ организации;
- Open Source Security Testing Methodology (OSSTMM). В методологии описаны следующие области для тестирования: информационная безопасность, безопасность Web – приложений, безопасность каналов связи;
- OWASP Testing Guide. Методология включает практику по проведению тестирования на проникновение Web – приложений.
- PCI DSS. Стандарт безопасности данных индустрии платежных карт.
- Стандарты банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации.
Этапы аудита информационной безопасности:
- Согласование и утверждение с заказчиком границ аудита и ответственности сторон;
- Сбор информации;
- Определение периметра сети;
- Определение типов и видов коммутационного оборудования;
- Определение типов и видов операционных систем;
- Определение типов и видов периферийного оборудования;
- Анализ конфигурационных файлов коммутационного оборудования и серверов;
- Анализ конфигурационных файлов периферийного оборудования;
- Сканирование портов сетевого оборудования и серверов;
- Анализ собранной информации;
- Определение векторов атаки;
- Тестирование на проникновение информационной системы.
Формирование отчета
Отчет, предоставляемый Заказчику по результатам проведения аудита информационной безопасности, содержит детальное описание проведенных работ, все выявленные уязвимости системы и способы их реализации. Также отчет содержит конкретные рекомендации по устранению данных уязвимостей и повышению уровня информационной безопасности.
Перед проведением аудита информационной безопасности, Исполнитель и Заказчик подписывают соглашение о неразглашении. Данный документ гарантирует конфиденциальность информации полученной в ходе аудита.
Заявка успешно отправленна
Мы свяжемся с Вами в ближайшее время