Ежедневно 24/7 +7 (9513) 55-88-44 support@wipit.ru

Остались вопросы?
Мы перезвоним и все расскажем!

    Аудит информационной безопасности

    • Главная
    • Аудит информационной безопасности

    Проводим комплексные аудиты информационной безопасности для решения любых задач. Находим любые уязвимости, угрозы, даем точную оценку состояния системам защиты данных.

    Задачи аудита ИБ

    В аудит информационной безопасности (отчасти пентест) входит большой список услуг, поэтому их задачи могут отличаться. К примеру, целью может быть проверка соответствия конкретным нормам. После аудита в такой ситуации будет выдан документ — сертификат соответствия ISO.

    Если аудит ИБ носит технический характер, его задачей может быть конкретное действие. К примеру, клиенту нужен пентест для дальнейшего внесения изменений в информационную безопасность ИТ-инфраструктуры. В процессе будет разработана стратегия внедрения новых методов защиты.

    Но независимо от целей аудит информационной безопасности позволяет получить объективную, реальную картину состояния ИБ. А дальше все зависит от целей, которые будут решаться средствами пентеста.

    ит-безопасность

    Проводим комплексный аудит ИБ

    В комплексный аудит информационной безопасности входит:

    1. Моделирование угроз — для выявления потенциальных каналов утечки информации, тестирование средств защиты с помощью пентеста или специальных сканеров
    2. Определение степени защищенности сети — анализ соответствия установленной защищенности сетевой инфраструктуры и ее сравнение с международными нормами.
    3. Исследование документов и определение их соответствия отраслевым нормам — оценка организационно-распорядительной документации и текущей политики безопасности компании.
    4. Советы по усилению защиты организации — готовый список мероприятий, внедрив которые, можно получить измеримый результат.

    В процессе аудита информационной безопасности ИТ-инфраструктура будет протестирована на соответствие стандартам:

    • NIST SP 800;
    • ISO 27001;
    • ГОСТ 57580.х;
    • ГОСТ Р ИСО/МЭК 18045;
    • положения Банка РФ по информационной безопасности;
    • ГОСТ Р ИСО/МЭК 27007;
    • документация  ФСТЭК России по персональным данным и защите критической информационной инфраструктуры;
    • прочим.

    Этапы аудита ИБ

    Перед аудитом ИБ составляется список процессов и сервисов, которые нужно проверить. Затем подбирается оптимальный метод аудита (технический, документальный и т.д.). 

    Аудит информационной безопасности проводится в 3 этапа:

    1. Технический анализ программно-аппаратных систем, активов, ресурсов для определения их соответствия конкретным стандартам.
    2. Составление отчетов по текущему уровню защищенности информации. Предоставление рекомендаций по устранению найденных проблем в ИТ-инфраструктуре.
    3. Контрольное тестирование систем. Проводится после устранения клиентом проблем, обнаруженных на предыдущих этапах. Позволяет оценить эффективность проделанной нами работы.

    Пошаговая схема проведение аудита информационной безопасности следующая:

    1. Изучение исходных данных об имеющихся средствах защиты.
    2. Анализ текущих средств защиты информации и определение их соответствия принятым стандартам и нормам.
    3. Проверка конфигурационных файлов, имеющих отношение к сетевому доступу.
    4. Сканирование сети (полное).
    5. Исследование серверов (ручными методами и с применением специального оборудования).

    Точный перечень работ и процессов будет известен после консультации. На ней же будет согласована стоимость и сроки проведения работ.

    После проведения аудита ИБ вы получите максимум информации о текущем состоянии систем защиты компании. Идеальный результат тестирования достигается за счет применения автоматизированных и ручных методов проверки. Простыми словами это позволяет находить даже небольшие отклонения, сбои, проблемы.

    Про пентест

    Пентест — тест на проникновение, позволяющий проанализировать уязвимости инфраструктуры. Этот анализ подразумевает имитацию реальной атаки на сеть или программные продукты компании. Цель пентеста — определить, сможет ли потенциальный злоумышленник проникнуть в систему.

     

    Проведение пентеста позволяет:

    1. Найти все слабые места и уязвимости в сети, программном обеспечении.
    2. Понять, откуда и как именно могут атаковать ИТ-инфраструктуру.
    3. Определить, насколько сильно злоумышленник сможет навредить системе.
    4. Увидеть, как будет работать защита информации в критической ситуации.
    5. Составить перечень советов по устранению обнаруженных проблем.
    6. Внедрить их и повысить информационную безопасность бизнеса.

     

    В ходе теста на проникновение исследуются все составляющие IT-инфраструктуры компании: сети, программное обеспечение и сервисы, оборудование, носители данных. 

    Соблюдаем конфиденциальность — все в рамках договора

    Перед аудитом ИБ мы подписываем с вами договор о неразглашении коммерческой тайны. Этот договор — гарантия нулевых рисков утечки данных. В нем прописываются все детали нашего сотрудничества и меры ответственности в случае нарушения конфиденциальности. 

    Такие договоры мы подписываем не только с клиентами, но с каждым нашим сотрудником. После сотрудничества они отправляются на хранение. Поэтому защищены все стороны аудита — клиент, аутсорсер, его персонал. 

    SLA (соглашение об уровне обслуживания) состоит из таких пунктов:

    • определение критически важных систем (например, IP-телефония, CRM, 1С);
    • определение категорий инцидентов;
    • время реакции на конкретный инцидент;
    • время решения инцидента;
    • время восстановления критически важных систем после инцидента;
    • общее время простоя системы (в месяц, год);
    • объем ответственности.

    Повышение безопасности ИБ после аудита

    После аудита ИБ вы получите персональный список из конкретных рекомендаций по улучшении защиты информации. Но если обобщить результаты всех аудитов и пентестов, что мы провели, можно выделить основные методы повышения уровня ИБ, которые остаются эффективными:

    1. Изучение и настройка методов доступа к закрытым данным.
    2. Установка современных средств для идентификации пользователей.
    3. Проектирование и внедрение допусков к инфраструктуре.
    4. Контроль применения переносных носителей данных.
    5. Определение и усиление защиты конкретных зон данных в массиве информации (например, SSD, БД).
    6. Консультирование персонала и разработка корпоративной политики безопасности.
    7. Внедрение современных аппаратных ресурсов и программного обеспечения.

    Итоги аудита информационной безопасности

    Каждый клиент получает уникальную информационную среду, полностью соответствующую потребностям компании. То есть гарантию повышения безопасности информации при условии внедрения рекомендаций из списка. 

     

    Также в наших отчетах содержится дополнительная полезная информация:

    1. Рекомендации по повышению эффективности всей системы ИБ.
    2. Полный спектр потенциальных угроз системе ИБ.
    3. Советы по устранению рисков этих угроз.
    4. Перечень оптимальных методов хранения данных с сохранением целостности информационных массивов.
    5. Методы внедрения и использования аппаратных решений.
    6. Список методов реализации комфортных и надежных механизмов идентификации, допуска, авторизации персонала и клиентов компании.
    7. Советы по использованию программных продуктов для защиты отдельных файлов и серверов.

    После аудита информационной безопасности вы также поймете, могут ли сотрудники случайно или намеренно навредить системе.