Аудит информационной безопасности

Каждый год пополняется перечень уязвимостей в различных ИТ. Вместе с ним растёт и количество методов атак на информационные системы.

Количество уязвимостей CVE по годам

Эти уязвимости напрямую влияют на защищённость информационных активов: злоумышленники могут их проэксплутировать и нанести вред организации. Мы поможем заказчику аудита ИБ оценить эффективность применяемых средств и мер защиты информации и дадим рекомендации по модернизации, если обнаружим уязвимости или недостаточность защитных функций.

Аудит состояния ИБ включает:

  • Оценку защищённости технических средств и программного обеспечения.
  • Оценку защищённости сетевой инфраструктуры.
  • Оценку эффективности существующих подсистем ИБ.
  • Анализ бизнес-процессов, нормативной и технической документации.
  • Тест на проникновение.

Объекты исследования

  • Сайты и веб-приложения.
  • СУБД.
  • Сетевые службы и сервисы (электронная почта, прокси, VoIP, FTP и пр.).
  • Протоколы различных уровней сетевой модели OSI.
  • Сетевое оборудование.
  • Беспроводные сети.
  • Средства защиты информации.
  • Серверные и пользовательские операционные системы.
  • Прикладное ПО.
  • Процессы управления, обработки и контроля.
  • Документация.

Критерии и методики аудита

  • Международные и российские стандарты в области ИБ (PCI DSS, СТО БР ИББС, ГОСТ Р ИСО/МЭК 27001-2006 и др.).
  • Требования регуляторов (Приказы ФСТЭК России №№ 17, 21, 31, 382-П и др.)
  • Рекомендаций производителей оборудования и ПО (Whitepapers, Advisory и др.).
  • Экспертный опыт аудиторов «Перспективного мониторинга».

Мы разработали собственную методику аудита, которая базируется на Draft Guideline on Network Security Testing (от NIST), Open-Source Security Testing Methodology (OSSTM) и The OWASP Testing Framework.

Все инструментальные тесты заранее согласуются с заказчиком аудита, планируются так, чтобы не нарушить работу исследуемых систем и не вызвать отказ в обслуживании, и проводятся под контролем ИТ и ИБ-служб. Мы можем провести проверки в нерабочее время.

Результаты аудита ИБ

Отчёт по результатам аудита содержит:

  • описание характеристик и компонентов корпоративной информационной системы, которые влияют на уровень защищённости;
  • результаты инструментальных тестов;
  • результаты пентеста;
  • выводы и рекомендации по повышению уровня защищённости.

Благодаря этой информации заказчик сможет доработать требования к СЗИ и оценить эффективность принятых мер по защите информации.