Аудит информационной безопасности - фундаментальный инструмент контроля состояния защищенности информационных систем организации. Услуга может осуществляться как в совокупности с общим ИТ-аудитом, так и в виде самостоятельного проекта. Обычно аудит информационной безопасности является неотъемлемой частью комплексных проектов по обеспечению безопасности информации и выполняется на начальном этапе проекта.
Как правило аудит информационной безопасности включает в себя проведение технического аудита и аудита на соответствие законодательства Российской Федерации в области безопасности информации.
Наша компания предоставляет услуги по аудиту информационной безопасности в следующих направлениях:
– аудит соответствия обработки персональных данных требованиям законодательства (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»);
– аудит соответствия требованиям к государственным информационным системам (Приказ ФСТЭК России от 11.02.2013 г. № 17);
– аудит соответствия требованиям к объектам критической информационной инфраструктуры (Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 N 187-ФЗ);
– аудит защищенности ИТ-инфраструктуры и информационных систем;
– тест на проникновение (Pentest);
– аудит информационных потоков в организации;
– аудит исходного кода приложений на уязвимости/закладки.
Аудит информационной безопасности преследует следующие цели и задачи
– оценка актуальной степени защиты систем информации;
– устранение и защита каналов, по которым может произойти утечка информации;
– общая оценка актуальных средств информационной защиты, приведение их в соответствие с современными стандартами;
– корректировка документации, касающейся защиты информации, ее усовершенствование, приведение в соответствие с мировыми требованиями;
– тщательный анализ инцидентов, связанных с нарушениями правил информационной безопасности;
– моделирование ситуаций, в ходе которых может случиться утечка информации.
Такой подход к проведению аудита безопасности и соответствующих экспертиз гарантированно даст нужный результат.
Одним из основных этапов аудита информационной безопасности является анализ защищенности ИТ-инфраструктуры и информационных систем.
Анализ защищенности — это процесс проверки инфраструктуры организации на наличие возможных уязвимостей сетевого периметра, виртуальной инфраструктуры, вызванных в том числе ошибками конфигурации, а также программного обеспечения и исходного кода приложений. Другими словами, при анализе защищенности проверяется безопасность различных информационных систем, как внутренних, так и внешних.
Анализ защищенности проводится с целью определения незакрытых уязвимостей в инфраструктуре и поиска слабых мест, которые могут быть использованы злоумышленниками для получения доступа во внутреннюю сеть организации из интернета. Одной из причин такой проверки могут служить требования регуляторов (например, ФСТЭК России) по проведению анализа защищенности государственных информационных систем и систем персональных данных. Такой анализ должен быть проведен на момент формирования требований к защищенности инфраструктуры и выполняться периодически уже после проведения мероприятий по защите и использования сертифицированных средств защиты.
Для анализа защищенности чаще всего используются сканеры защищенности, а также проводятся тесты на проникновение с привлечением сторонних специалистов. Результатом работы сканеров защищенности являются подробные отчеты с описаниями найденных уязвимостей и возможных путей их устранения, что позволяет повысить уровень защищенности инфраструктуры организации.
В то же время использование сканера защищенности предоставляет следующие преимущества:
- Определение возможных действий злоумышленников при их намерении осуществления несанкционированного доступа во внутреннюю сеть компании.
- Получение экспертной оценки эффективности применяемых мер по защищенности инфраструктуры.
- Контроль качества работ, проведенных в процессе внедрения программно-аппаратных средств, а также средств защиты информации.
- Получение экспертной оценки рисков в созданной инфраструктуре организации.
- Проверка разрабатываемых приложений на наличие уязвимостей.
- Повышение общего уровня защищенности собственной инфраструктуры.
- Проведение инвентаризации в процессе сканирования и получение полного списка доступных сервисов, протоколов и возможностей для осуществления несанкционированного доступа.
При этом при проверке сканеры защищенности способны выявлять уязвимости следующих объектов:
- Сетевого периметра и внутренних сетевые корпоративных ресурсов.
- Беспроводной инфраструктуры.
- Программного обеспечения.
- Интернет-приложений и веб-сайтов.
- Технологических сетей предприятия и АСУ ТП.
Проводить регулярный анализ защищенности ИТ-инфраструктуры организации для реальной защиты крайне важно. Наши специалисты с многолетним опытом помогут провести анализ защищенности вашей ИТ-инфраструктуры.