Аудит информационной безопасности PDF Печать E-mail

 

Зачем необходим аудит?

Аудит безопасности позволяет проверить, насколько хорошо защищена информационная система предприятия от внутренних и внешних угроз. Регулярный аудит позволяет поддерживать систему информационной безопасности на должном уровне, своевременно выявлять потенциальные проблемы, контролировать соблюдение правил и норм политики безопасности, установленной на предприятии.

 

Какие виды аудита информационной безопасности мы предлагаем?

Тестирование на проникновение – вид аудита информационной безопасности, позволяющий выявить внешние угрозы, которым подвержены Интернет-ресурсы предприятия. В ходе аудита производится комплексное обследование серверов, подключенных к сети Интернет, выявляются уязвимые места и ошибки конфигурации, используя которые можно осуществить проникновение на сервер извне, получить несанкционированный доступ к критичной информации, нарушить ее целостность и доступность.

Внутренний аудит информационной безопасности – вид аудита, требующий физического присутствия аудиторов на исследуемом объекте. Наши специалисты проводят собеседование с руководителями предприятия различных уровней, изучают специфику бизнес-процессов предприятия, структуру информационной системы, правила разграничения доступа, существующую внутреннюю документацию, регламентирующую правила и нормы работы с конфиденциальной информацией. Производится тестирование защищенности информационной системы от внутренних угроз (включая человеческий фактор), проверяются настройки серверов и компьютерных рабочих мест предприятия, перечень разрешенного к использованию программного обеспечения, наличие обновлений и патчей, эффективность работы защитных средств – антивирусов, межсетевых экранов, антишпионских программ и др. Проверяется политика резервного копирования, методы хранения информации и ее защищенности от непредвиденных вмешательств.

Результатом всех перечисленных видов аудита является подробный отчет с рекомендациями наших экспертов по устранению выявленных проблем и уязвимостей. По итогам внутреннего аудита к основному отчету прилагаются следующие документы: отчет по классификации и категорированию информации, подлежащей защите; отчет по анализу рисков; модели угроз и потенциального нарушителя; оценка вероятности реализации угроз всех уровней; программа (портфель проектов) информационной безопасности, разработанная на основе анализа рисков; порядок управления информационной безопасностью.

Работы по устранению уязвимостей не являются частью аудита, однако, по желанию заказчика, эти работы могут быть также выполнены нашими специалистами с последующим повторным тестированием всей системы. Стоимость и сроки определяются дополнительным соглашением и зависят об объема работ, выявленного во время выполнения первых двух этапов.

 

Почему аудит должен производиться независимыми экспертами?

Специалисты предприятия, разрабатывающие политику безопасности и внутренние нормативные документы, осуществляющие настройку и техническое сопровождение серверов и рабочих станций, отвечающие за функционирование веб-сайтов и других Интернет-ресурсов предприятия, обязаны регулярно осуществлять контроль результатов своей работы в рамках своей компетенции, а также в рамках тех возможностей и ресурсов, которыми они ограничены. Сторонние эксперты, осуществляющие аудит и имеющие большой опыт проведения подобных работ, не имеют таких ограничений и выносят независимую объективную оценку реального состояния информационной безопасности объекта.

 

Почему именно наша компания?

При проведении работ по внешнему и внутреннему аудиту нашими специалистами используются лучшие нормы и рекомендации стандартов ISO 27002 (17799), ISO 27001, ГОСТ Р 50922-2006, ГОСТ Р ИСО/МЭК 17799—2005, ГОСТ Р ИСО/МЭК 13335-1—2006, ГОСТ Р ИСО/МЭК 15408-2002, в сочетании с собственными методиками, разработанными в течение 15-ти лет работы и постоянно совершенствующимися с учетом современных реалий и угроз. Часть работ по внешнему аудиту (тестированию на проникновение) автоматизирована с помощью новейших проприетарных продуктов производства России и США, позволяющих за короткое время проверить систему на устойчивость к десяткам тысяч известных атак. Другая, более сложная часть работ выполняется вручную с применением опыта и знаний наших экспертов для осуществления безопасных проникновений в исследуемые системы и для выработки рекомендаций и инструкций по устранению выявленных уязвимостей систем защиты.