Комплексный аудит информационной безопасности, проводимый внешними специалистами, позволяет вам получить наиболее полную и объективную оценку защищенности вашей информационной системы.
Задачи аудита
Основные задачи, которые решаются в ходе аудита защищенности информационной системы:
• Анализ структуры, функций, используемых технологий автоматизированной обработки и передачи информации в информационной системе Заказчика, анализ бизнес-процессов, нормативно-распорядительной и технической документации.
• Выявление значимых угроз информационной безопасности и путей их реализации; выявление и ранжирование по степени опасности существующих уязвимостей технологического и организационного характера в информационной системе.
• Составление неформальной модели нарушителя, применение методики активного аудита для проверки возможности реализации нарушителем выявленных угроз информационной безопасности.
• Проведение теста на проникновение по внешнему периметру IP-адресов, проверка возможности проникновения в информационную систему Заказчика при помощи методов социальной инженерии.
• Анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов Заказчика.
• Оценка системы управления информационной безопасностью на соответствие требованиям международного стандарта ISO/IEC 27001:2005 и разработка рекомендаций по совершенствованию системы управления ИБ.
• Разработка предложений и рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения информационной безопасности Заказчика.
Применяемые методики
В процессе выполнения работ по аудиту информационной безопасности специалисты Digital Security применяют следующие методики:
• Модифицированная специалистами Digital Security методика проведения комплексного аудита информационной безопасности NSA Infosec (методика активного аудита: включает обязательные тесты на проникновение как из сети Интернет, так и внутри корпоративной сети).
• КОНДОР – методика аудита соответствия требованиям стандартов ISO/IEC 27001:2005 и ISO/IEC 17799:2005.
• ГРИФ (модель угроз-уязвимостей) – методика анализа информационных рисков компании Digital Security. Методику ГРИФ дополняют разработанные специалистами Digital Security каталоги угроз-уязвимостей и классификация угроз безопасности DSECCT 
(Digital Security Classification of Threats).
Методика проведения технологического аудита
В процессе проведения работы на объекте Заказчика в рамках активного аудита специалисты Digital Security применяют модель нарушителя, согласно которой им выдаются следующие минимальные привилегии: физический доступ внутрь охраняемого периметра и возможность подключения к информационной системе Заказчика на уровне канала связи. Логическими правами доступа к информационным ресурсам аудитор не обладает. Согласно используемой методике технологического аудита в процессе работы на объекте Заказчика аудиторами осуществляется полный внутренний тест на проникновение на все объекты информационной системы Заказчика, в ходе которого выполняется поиск и реализация обнаруженных уязвимостей на каждом сервере, рабочей станции и сетевом оборудовании, что позволяет получить реальную картину защищенности информационной системы. Все проводимые технические проверки заранее оговариваются со службами информационной безопасности и информационных технологий. До проведения технологического аудита разрабатывается и совместно с Заказчиком утверждается график проведения проверок. Все проверки изначально разработаны с учетом необходимости обеспечения безопасности и постоянной работоспособности информационной системы Заказчика в процессе проведения работ по аудиту. При проверках особо критичных ресурсов заранее оговаривается график проведения проверок (вплоть до выполнения определенных проверок в нерабочее время) и постоянный мониторинг критичных ресурсов службой ИТ в процессе проведения проверок для исключения возможности отказа в обслуживании.
По желанию Заказчика в процессе теста на проникновение из Интернет проводится тестирование возможности проникновения в информационную систему путем почтовой рассылки на адреса электронной почты пользователей специализированной реверсивной троянской программы. Рассылка осуществляется по заранее согласованному с Заказчиком фиксированному списку адресов электронной почты сотрудников и в заранее оговоренное время. Функциональные возможности программы строго ограничены алгоритмом, безопасным для информационной системы Заказчика. Детальное описание алгоритма действия программы заранее согласовывается с Заказчиком.
Методика проведения проверок соответствия системы управления информационной безопасностью требованиям международного стандарта ISO/IEC 27001.
Для оценки соответствия системы управления информационной безопасностью требованиям ISO/IEC 27001 на первом этапе проводится анализ нормативных документов по информационной безопасности. На втором этапе с помощью методики Кондор проводится опрос ответственных лиц, вовлеченных в процесс управления информационной безопасностью (специалисты подразделений ИБ и ИТ), а также пользователей информационной системы Заказчика, выбранных случайным образом. Полученные в процессе опроса ответы анализируются и сравниваются с данными, полученными в процессе технологических проверок защищенности информационной системы. Итоговый вывод о выполнении требований стандарта ISO/IEC 27001 делается в случае подтверждения выполнения требований на практике.
Результаты аудита
В результате вы получаете детальный отчет, содержащий описание всех выявленных в ходе аудита технологических уязвимостей вашей информационной системы, комплексную оценку системы управления информационной безопасностью и разработанные на основе полученных результатов, рекомендации по повышению текущего уровня защищенности информационной системы. По вашему желанию осуществляется разработка политики безопасности и сопутствующих документов по информационной безопасности в соответствии с полученными результатами аудита информационной системы.
Почему Digital Security
Кроме большого практического опыта выполнения проектов по анализу
защищенности информационных систем, специалисты Digital Security используют в своей
работе результаты исследований DSec Research Group (DSecRG), исследовательского
центра Digital Security. Основная задача DSecRG - исследование
уязвимостей различных приложений и систем. Благодаря этому, в процессе
выполнения проектов обеспечивается более глубокий анализ защищенности, а разрабатываемые
рекомендации по закрытию уязвимостей становятся более эффективными.
Статьи по теме:
Практические аспекты проведения аудита информационной безопасности в соответствии с лучшей западной практикой
Принципы проведения активного аудита информационной безопасности компании
Примеры выполненных работ:
Digital Security завершила работы по аудиту информационной безопасности и разработке комплексной политики безопасности для «Донбасской топливно-энергетической компании»
Digital Security завершила работы по аудиту защищенности информационной системы Алмалыкского горно-металлургического комбината
Digital Security завершила работы по аудиту информационной безопасности и разработке комплексной политики безопасности для ОАО «КЫРГЫЗТЕЛЕКОМ»
Завершен проект по аудиту информационной безопасности в соответствии с ISO 17799/27001 для АО "КазТрансОйл"
Форма заказа:
наверх
