Аудит інформаційної безпеки

Аудит безпеки дозволяє перевірити, наскільки добре захищена інформаційна система підприємства від внутрішніх і зовнішніх загроз.

Регулярний аудит дозволяє підтримувати систему інформаційної безпеки на належному рівні, своєчасно виявляти потенційні проблеми, контролювати дотримання правил і норм політики безпеки, встановленої на підприємстві.

Які види аудиту інформаційної безпеки ми пропонуємо?

Тестування на проникнення - вид аудиту інформаційної безпеки, що дозволяє виявити зовнішні загрози, до яких схильні Інтернет-ресурси підприємства. В ході аудиту проводиться комплексне обстеження серверів, підключених до мережі Інтернет, виявляються вразливі місця і помилки конфігурації, використовуючи які можна здійснити проникнення на сервер ззовні, отримати несанкціонований доступ до критичної інформації, порушити її цілісність і доступність.

Внутрішній аудит інформаційної безпеки - вид аудиту, що вимагає фізичної присутності аудиторів на досліджуваному об’єкті. Наші фахівці проводять співбесіду з керівниками підприємства різних рівнів, вивчають специфіку бізнес-процесів підприємства, структуру інформаційної системи, правила розмежування доступу, існуючу внутрішню документацію, що регламентує правила і норми роботи з конфіденційною інформацією. Проводиться тестування захищеності інформаційної системи від внутрішніх загроз (включаючи людський фактор), перевіряються настройки серверів і комп’ютерних робочих місць підприємства, перелік дозволеного до використання програмного забезпечення, наявність оновлень і патчів, ефективність роботи захисних засобів - антивірусів, міжмережевих екранів, антишпигунських програм і ін., перевіряється політика резервного копіювання, методи зберігання інформації і її захищеності від непередбачених втручань.

Аналіз захищеності програмного забезпечення - даний вид аудиту призначений для розробників програмного забезпечення різних типів: веб-систем, систем управління контентом (CMS), систем Інтернет-банкінгу, програм обміну миттєвими повідомленнями і VoIP, а також будь-яких інших сервисів клієнтського або серверного рівня, в яких одним з важливих критеріїв є їх надійність і безпека. Аудит може здійснюватися як в режимі white-box, так і в режимі black-box. У режимі white-box проводиться вичерпний аналіз модулів програми разом з вихідним кодом, що дозволяє виявити не тільки уразливості програми, але і помилки її проектування і реалізації алгоритмів. Режим black-box не передбачає аналіз вихідного коду програми, перевіряється тільки готовий пакет в тому вигляді, в якому він поставляється кінцевим користувачам.

Результатом всіх зазначених видів аудиту є детальний звіт з рекомендаціями наших експертів щодо усунення виявлених проблем і вразливостей. За підсумками внутрішнього аудиту до основного звіту додаються такі документи: звіт за класифікацією і категоруванням інформації, що підлягає захисту; звіт з аналізу ризиків; моделі загроз і потенційного порушника; оцінка ймовірності реалізації загроз всіх рівнів; програма (портфель проектів) інформаційної безпеки, розроблена на основі аналізу ризиків; порядок управління інформаційною безпекою.

Роботи з усунення вразливостей не є частиною аудиту, проте, за бажанням замовника, ці роботи можуть бути також виконані нашими фахівцями з подальшим повторним безкоштовним тестуванням всієї системи. Вартість і терміни визначаються додатковою угодою і залежать про обсягу робіт, виявленого під час виконання перших двох етапів.

Чому аудит повинен проводитися незалежними експертами?

Фахівці підприємства, що розробляють політику безпеки і внутрішні нормативні документи, здійснюють настройку і технічний супровід серверів і робочих станцій, відповідають за функціонування веб-сайтів та інших Інтернет-ресурсів підприємства, зобов’язані регулярно здійснювати контроль результатів своєї роботи в рамках своєї компетенції, а також в рамках тих можливостей і ресурсів, якими вони обмежені. Сторонні експерти, які здійснюють аудит і мають великий досвід проведення подібних робіт, не мають таких обмежень і виносять незалежну об’єктивну оцінку реального стану інформаційної безпеки об’єкта.

Чому саме ми?

При проведенні робіт по зовнішньому і внутрішньому аудиту нашими фахівцями використовуються кращі норми і рекомендації міжнародних стандартів в поєднанні з власними методиками, що були розроблені протягом 19-ти років практичної роботи і постійно удосконалюються з урахуванням сучасних реалій і загроз. Частина робіт по зовнішньому аудиту (тестування на проникнення) автоматизована за допомогою новітніх пропрієтарних продуктів іноземного виробництва, що дозволяють за короткий час перевірити систему на стійкість до десятках тисяч відомих атак. Інша, більш складна частина робіт виконується вручну із застосуванням досвіду і знань наших експертів для здійснення безпечних проникнень в досліджувані системи і для вироблення рекомендацій та інструкцій щодо усунення виявлених вразливостей систем захисту.

Отримати детальну інформацію