• Рабочие часы: 10:00 - 19.00
  • info@globaltrust.ru

Виды аудита информационной безопасности

image_pdfimage_print

Комплексный аудит информационной безопасности

GlobalTrust предоставляет услуги по комплексному аудиту информационной безопасности, позволяющему получить наиболее полную и объективную оценку защищенности информационной системы организации, локализовать имеющиеся проблемы, выбрать наиболее эффективную стратегию и разработать программу построения системы обеспечения информационной безопасности организации.

Комплексный аудит информационной безопасности включает в себя технический аудит, в ходе которого производится анализ защищенности внешнего периметра и внутренней ИТ-инфраструктуры организации, а также анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации, процессов управления безопасностью и оценку их соответствия требованиям нормативных документов и адекватности существующим рискам.

Комплексный аудит информационной безопасности включает в себя следующие виды услуг:

  • Анализ защищенности внешнего периметра корпоративной сети
  • Анализ защищенности внутренней ИТ-инфраструктуры
  • Оценка соответствия международному стандарту ISO 27001
  • Оценка соответствия требованиям законодательства и нормативной базы РФ в области защиты информации
  • Аудит безопасности критичных бизнес приложений

Анализ защищенности внешнего периметра корпоративной сети

Целью аудита внешнего периметра корпоративной сети является оценка уровня защищенности ИС организации от атак со стороны сети Интернет, оценка степени критичности выявленных уязвимостей и возможностей по осуществлению атак, а также выработка рекомендаций по ликвидации обнаруженных уязвимостей.

Анализ производится путем эмуляции действий потенциального злоумышленника по проникновению в корпоративную сеть (Penetration test) с целью нарушения ее функционирования, внедрения вредоносного ПО, кражи конфиденциальной информации и выполнения других деструктивных действий. Производится также анализ конфигурации средств защиты периметра сети.

При выполнении проверок используется богатый арсенал современных инструментальных средств сетевого сканирования, специализированные средства анализа веб сайтов и сетевых приложений, программы, реализующие конкретные методы взлома (exploits), средства подбора паролей, а также ручные проверки. Используемые источники информации, включающие в себя SANS Top20, CVE, CERT, BugTraq, Microsoft Bulletins, CIS Security Benchmarks и др., позволяют гарантировать надежную идентификацию всех известных уязвимостей.

Проверочные мероприятия включают в себя:

  • Проверка на возможность проникновения в локальную сеть компании, похищения и порчи данных
  • Обследование доступных из Интернет сетевых сервисов (в том числе электронной почты, сервисов мгновенных сообщений, p2p и др.)
  • Проверка межсетевых экранов на начилие уязвимостей
  • Обследование Web и Почтового серверов

В случае обнаружения уязвимостей, предоставляются документальные свидетельства возможности компрометации, искажения, уничтожения критичной информации в предоставленных для исследования Интернет-ресурсах.

Сканирование включает более 1000 тестов для ОС UNIX, Windows и активного сетевого оборудования. Некоторые тесты называются «сбор информации» и проводятся для того, чтобы показать, что постороннее лицо может узнать об исследуемом компьютере. Остальные тесты проверяют уязвимость систем, путем сканирования на наличие известных «дыр». Каждый компьютер сканируется на наличие открытых портов и запущенных сервисов. Сканирование не наносит вреда, так как «разрушительные» действия не предпринимаются. Риск минимизируется, избегается перегрузка сети или превышение максимума пропускной способности.

Отчет по результатам работы содержит общую оценку уровня защищенности корпоративной сети от внешних сетевых атак, подробное описание обнаруженных уязвимостей по каждому IP-адресу, а также рекомендации по ликвидации уязвимостей и совершенствованию защиты.

Анализ защищенности внутренней ИТ-инфраструктуры

Анализ защищенности внутренней ИТ-инфраструктуры организации предполагает проведение полного комплекса мероприятий по техническому аудиту, включая:

  • Анализ конфигурационных файлов маршрутизаторов, МЭ, почтовых серверов, DNS серверов и других критичных элементов сетевой инфраструктуры
  • Анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств и списков проверки
  • Сканирование хостов, входящих в состав ЛВС

Перечисленные методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты, реализуемых при помощи богатого арсенала средств анализа защищенности, включающего в себя: сетевые сканеры, анализаторы параметров защиты, взломщики паролей и специализированные программные агенты.

Оценка соответствия международному стандарту ISO 27001

Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO/IEC 27001.

Оценка соответствия системы управления ИБ организации требованиям данного стандарта (gap analysis) и оценка рисков (risk assessment) производится на основании интервьюирования специалистов заказчика и заполнения специальных опросников, с использованием специализированного программного инструментария. В ходе аудита осуществляется сбор свидетельств, подтверждающих наличие в организации действующих механизмов управления ИБ. По результатам аудита создается развернутый аудиторский отчет, содержащий оценку соответствия и рекомендации по использованию недостающих механизмов контроля (risk treatment plan).

Аудит на соответствие стандарту ISO 27001:2005 может служить точкой отсчета на пути создания системы управления информационной безопасностью организации с последующим прохождением сертификации в системе аккредитации UKAS (United Kingdom Accreditation Service), имеющей международное признание.

Оценка соответствия требованиям законодательства и нормативной базы РФ в области защиты информации

Важнейшей составляющей мероприятий по аудиту безопасности является оценка соответствия организации требованиям действующего законодательства и нормативной базы в области ИБ, которые представлены десятками документов, включающими в себя федеральные законы, указы Президента, постановления правительства, руководящие документы и рекомендации регулирующих органов.

В качестве критериев для оценки ИС при проведении аудита безопасности используются требования международных стандартов, законодательной и нормативной базы РФ.

Аудит безопасности критичных бизнес приложений

Главной особенностью критичных бизнес приложений, к которым относятся системы управления предприятием (ERP-системы), системы управления взаимодействием с клиентами (CRM-системы), платежные, клиринговые, биллинговые, бухгалтерские системы и т.п., является их непосредственная связь с жизненно важными бизнес процессами организации и следовательно повышенный уровень информационных рисков, связанных с их эксплуатацией.

Аудит безопасности таких приложений наряду с применением традиционных методик и подходов, требует проведение глубокого анализа бизнес процессов и регламентов эксплуатации таких систем, а также изучение особенностей функционирования приложений с точки зрения полноты и качества реализации в них функций безопасности.

Заказ услуг