Внутренний и внешний аудит информационных систем

Внутренний аудит информационной системы – это независимая и объективная оценка защищенности информационной системы от внутреннего несанкционированного воздействия и утечки конфиденциальной информации.

Внутренний аудит информационной безопасности включает в себя:

• технический аудит сети;
• внутренние тесты на проникновение;
• аудит защищенности от утечки информации и действий инсайдеров;
• аудит корпоративных беспроводных сетей.

Основные цели проведения внутреннего аудита информационной системы:

• Поиск уязвимостей, позволяющих произвести атаку на информационную систему из внутреннего периметра корпоративной сети.
• Определение надежности и достаточности применяемых систем защиты информационной системы от утечек информации и действий инсайдеров.
• Регулярное отслеживание изменений в информационной системе.
• Получение Заказчиком независимой оценки.
• Соблюдение требований международных стандартов и нормативных документов в сфере информационной безопасности рекомендующие (требующие) периодического или разового проведения аудита информационной безопасности.

Основные задачи проведения внутреннего аудита информационной системы:

• Анализ структуры, функций, используемых технологий обработки и передачи информации в информационной системе.
• Выявление уязвимостей информационной системы с их ранжированием по степени критичности, их идентификация по международным и собственным классификаторам.
• Составление модели нарушителя, применение методики активного аудита для проверки возможности реализации выявленных угроз информационной безопасности.
• Оценка полноты фактически реализованных мер защиты от утечки информации и действий инсайдеров.
• Требования международных стандартов и нормативных документов в сфере информационной безопасности.
• Формирование требований к построению системы защиты конфиденциальных данных от утечки и действий инсайдеров.
• Выработка рекомендаций по повышению эффективности защиты информации в информационной системе.
• Подготовка данных при проведении комплексного аудита информационной безопасности.

Внешний аудит информационной системы – это независимая и объективная оценка защищенности информационной системы от внешнего несанкционированного воздействия.

Внешний аудит информационной системы предполагает выполнение:

• проведение технического аудита сети;
• внешних тестов на проникновение;
• аудита Web-приложений.

Основные цели проведения внешнего аудита информационной системы:

• Поиск уязвимостей, позволяющих произвести внешнюю атаку на информационную систему компании.
• Комплексная оценка защищенности информационной системы, отсутствие или недостатки применяемых систем защиты информации от внешнего несанкционированного воздействия.
• Регулярное отслеживание изменений в информационной системе.
• Получение Заказчиком независимой оценки.
• Соблюдение требований международных стандартов и нормативных документов в сфере информационной безопасности рекомендующие (требующие) периодического или разового проведения аудита информационной безопасности.

Основные задачи проведения внешнего аудита информационной системы:

• Анализ структуры, функций, используемых технологий обработки, хранения и передачи информации в информационной системе.
• Выявление уязвимостей информационной системы с их ранжированием по степени критичности, их идентификация по международным и собственным классификаторам.
• Составление модели нарушителя, применение методики активного аудита для проверки возможности реализации выявленных угроз информационной безопасности.
• Требования международных стандартов и нормативных документов в сфере информационной безопасности.
• Выработка рекомендаций по повышению эффективности защиты информации в информационной системе.
• Подготовка данных при проведении комплексного аудита информационной безопасности.

Методы внешнего аудита

Мы предлагаем своим Заказчикам следующую методологию оценки защищенности информационной системы:

• Тестирование методом черного ящика (black box testing).
• Тестирование методом серого ящика (gray box testing).

• Тестирование методом белого ящика (white box testing).

При внешнем аудите информационной системы, могут использоваться следующие модели взаимодействия с Заказчиком:

• Black Hat. Специалисты Заказчика, отвечающие за информационную безопасность, не информируются о проведении тестов. В таком случае удается проверить уровень оперативной готовности к атакам сетевых администраторов или администраторов информационной безопасности.
• White Hat.Работы проводятся совместно со специалистами Заказчика. Основная задача сводится к совместному обнаружению возможных уязвимостей и оценке риска проникновения в систему.

Работы по внешнему аудиту информационной системы включают в себя ряд последовательных этапов:

• поиск и анализ всей доступной информации;
• проведение технического аудита сети;
• проведение внешних тестов на проникновение;
• проведение аудита Web-приложений;
• инструментальное сканирование, предполагающее использование как специализированных средств, так и специфичных разработок нашей компании;
• детальный анализ вручную;
• анализ и оценка выявленных уязвимостей и выработка рекомендаций;
• подготовка отчета;
• при необходимости, консультирование специалистов Заказчика.

Что такое внутренний и внешний аудит простыми словами

Похожие статьи.

• Что такое внутренняя и внешняя оптимизация?

• Подразделяются на два вида: с внешней и внутренней лыжи.

• Тема 3. внешние и внутренние факторы, влияющие на особенности организационной культуры

• Основные принципы построения и использования автоматизированных информационных систем во внешнеэкономической деятельности