Внутренний и внешний аудит информационных систем

Внутренний аудит информационной системы – это независимая и объективная оценка защищенности информационной системы от внутреннего несанкционированного воздействия и утечки конфиденциальной информации.

Внутренний аудит информационной безопасности включает в себя:

  • технический аудит сети;
  • внутренние тесты на проникновение;
  • аудит защищенности от утечки информации и действий инсайдеров;
  • аудит корпоративных беспроводных сетей.

Основные цели проведения внутреннего аудита информационной системы:

  • Поиск уязвимостей, позволяющих произвести атаку на информационную систему из внутреннего периметра корпоративной сети.
  • Определение надежности и достаточности применяемых систем защиты информационной системы от утечек информации и действий инсайдеров.
  • Регулярное отслеживание изменений в информационной системе.
  • Получение Заказчиком независимой оценки.
  • Соблюдение требований международных стандартов и нормативных документов в сфере информационной безопасности рекомендующие (требующие) периодического или разового проведения аудита информационной безопасности.

Основные задачи проведения внутреннего аудита информационной системы:

  • Анализ структуры, функций, используемых технологий обработки и передачи информации в информационной системе.
  • Выявление уязвимостей информационной системы с их ранжированием по степени критичности, их идентификация по международным и собственным классификаторам.
  • Составление модели нарушителя, применение методики активного аудита для проверки возможности реализации выявленных угроз информационной безопасности.
  • Оценка полноты фактически реализованных мер защиты от утечки информации и действий инсайдеров.
  • Требования международных стандартов и нормативных документов в сфере информационной безопасности.
  • Формирование требований к построению системы защиты конфиденциальных данных от утечки и действий инсайдеров.
  • Выработка рекомендаций по повышению эффективности защиты информации в информационной системе.
  • Подготовка данных при проведении комплексного аудита информационной безопасности.

Внешний аудит информационной системы – это независимая и объективная оценка защищенности информационной системы от внешнего несанкционированного воздействия.

Внешний аудит информационной системы предполагает выполнение:

  • проведение технического аудита сети;
  • внешних тестов на проникновение;
  • аудита Web-приложений.

Основные цели проведения внешнего аудита информационной системы:

  • Поиск уязвимостей, позволяющих произвести внешнюю атаку на информационную систему компании.
  • Комплексная оценка защищенности информационной системы, отсутствие или недостатки применяемых систем защиты информации от внешнего несанкционированного воздействия.
  • Регулярное отслеживание изменений в информационной системе.
  • Получение Заказчиком независимой оценки.
  • Соблюдение требований международных стандартов и нормативных документов в сфере информационной безопасности рекомендующие (требующие) периодического или разового проведения аудита информационной безопасности.

Основные задачи проведения внешнего аудита информационной системы:

  • Анализ структуры, функций, используемых технологий обработки, хранения и передачи информации в информационной системе.
  • Выявление уязвимостей информационной системы с их ранжированием по степени критичности, их идентификация по международным и собственным классификаторам.
  • Составление модели нарушителя, применение методики активного аудита для проверки возможности реализации выявленных угроз информационной безопасности.
  • Требования международных стандартов и нормативных документов в сфере информационной безопасности.
  • Выработка рекомендаций по повышению эффективности защиты информации в информационной системе.
  • Подготовка данных при проведении комплексного аудита информационной безопасности.

Методы внешнего аудита

Мы предлагаем своим Заказчикам следующую методологию оценки защищенности информационной системы:

  • Тестирование методом черного ящика (black box testing).
  • Тестирование методом серого ящика (gray box testing).
  • Тестирование методом белого ящика (white box testing).

При внешнем аудите информационной системы, могут использоваться следующие модели взаимодействия с Заказчиком:

  • Black Hat. Специалисты Заказчика, отвечающие за информационную безопасность, не информируются о проведении тестов. В таком случае удается проверить уровень оперативной готовности к атакам сетевых администраторов или администраторов информационной безопасности.
  • White Hat.Работы проводятся совместно со специалистами Заказчика. Основная задача сводится к совместному обнаружению возможных уязвимостей и оценке риска проникновения в систему.

Работы по внешнему аудиту информационной системы включают в себя ряд последовательных этапов:

  • поиск и анализ всей доступной информации;
  • проведение технического аудита сети;
  • проведение внешних тестов на проникновение;
  • проведение аудита Web-приложений;
  • инструментальное сканирование, предполагающее использование как специализированных средств, так и специфичных разработок нашей компании;
  • детальный анализ вручную;
  • анализ и оценка выявленных уязвимостей и выработка рекомендаций;
  • подготовка отчета;
  • при необходимости, консультирование специалистов Заказчика.

Что такое внутренний и внешний аудит простыми словами


Похожие статьи.

Понравилась статья? Поделиться с друзьями: