Аудит информационной безопасности

Каждый год пополняется перечень уязвимостей в различных ИТ. Вместе с ним растёт и количество методов атак на информационные системы.

Количество уязвимостей CVE по годам

Эти уязвимости напрямую влияют на защищённость информационных активов: злоумышленники могут их проэксплутировать и нанести вред организации. Мы поможем заказчику аудита ИБ оценить эффективность применяемых средств и мер защиты информации и дадим рекомендации по модернизации, если обнаружим уязвимости или недостаточность защитных функций.

Аудит состояния ИБ включает:

  • Оценку защищённости технических средств и программного обеспечения.
  • Оценку защищённости сетевой инфраструктуры.
  • Оценку эффективности существующих подсистем ИБ.
  • Анализ бизнес-процессов, нормативной и технической документации.
  • Тест на проникновение.

Объекты исследования

  • Сайты и веб-приложения.
  • СУБД.
  • Сетевые службы и сервисы (электронная почта, прокси, VoIP, FTP и пр.).
  • Протоколы различных уровней сетевой модели OSI.
  • Сетевое оборудование.
  • Беспроводные сети.
  • Средства защиты информации.
  • Серверные и пользовательские операционные системы.
  • Прикладное ПО.
  • Процессы управления, обработки и контроля.
  • Документация.

Критерии и методики аудита

  • Международные и российские стандарты в области ИБ (PCI DSS, СТО БР ИББС, ГОСТ Р ИСО/МЭК 27001-2006 и др.).
  • Требования регуляторов (Приказы ФСТЭК России №№ 17, 21, 31, 382-П и др.)
  • Рекомендаций производителей оборудования и ПО (Whitepapers, Advisory и др.).
  • Экспертный опыт аудиторов «Перспективного мониторинга».

Мы разработали собственную методику аудита, которая базируется на Draft Guideline on Network Security Testing (от NIST), Open-Source Security Testing Methodology (OSSTM) и The OWASP Testing Framework.

Все инструментальные тесты заранее согласуются с заказчиком аудита, планируются так, чтобы не нарушить работу исследуемых систем и не вызвать отказ в обслуживании, и проводятся под контролем ИТ и ИБ-служб. Мы можем провести проверки в нерабочее время.

Результаты аудита ИБ

Отчёт по результатам аудита содержит:

  • описание характеристик и компонентов корпоративной информационной системы, которые влияют на уровень защищённости;
  • результаты инструментальных тестов;
  • результаты пентеста;
  • выводы и рекомендации по повышению уровня защищённости.

Благодаря этой информации заказчик сможет доработать требования к СЗИ и оценить эффективность принятых мер по защите информации.


Реализованные проекты
Аудит информационной безопасности компании «Красный дом»
Заказчик — ООО «Красный дом. Эта компания осуществляет полный цикл управления объектами коммерческой недвижимости в Москве, начиная от оценки проекта, до сдачи офисов, складов и производственных помещений в аренду с их последующим обслуживанием. Перед исследователями стояла задача проверить уровень обеспечения информационной безопасности компании.
Проверка офиса на наличие неавторизованных Wi-Fi точек доступа
Заказчик — крупная IT-компания. С помощью программно-аппаратной связки ноутбука, Wi-Fi-антенны и специального ПО мы последовательно обошли все помещения офиса заказчика, построили карту распределения сигнала и выявили все его источники.
Аудит программного обеспечения для «Эльдорадо»
Заказчик — ООО «Эльдорадо», один из крупнейших розничных продавцов электроники и бытовой техники в России.Задачей исследователей было проверить текущий уровень защищённости ПО.
Пентест с элементами социальной инженерии
Заказчик — компания «ПРАЙМ ГРУП». Наши исследователи провели комплексный пентест информационной системы.
Аудит информационной безопасности
Заказчик — Центр мониторинга качества образования Магаданской области. Заказчик получил отчёт с перечнем выявленных уязвимостей и слабостей и прошёл аттестацию на соответствие требованиям законодательства в области защиты персональных данных и ГИС.