Внутренний аудит информационной системы – это независимая и объективная оценка защищенности информационной системы от внутреннего несанкционированного воздействия и утечки конфиденциальной информации.
Внутренний аудит информационной безопасности включает в себя:
- технический аудит сети;
- внутренние тесты на проникновение;
- аудит защищенности от утечки информации и действий инсайдеров;
- аудит корпоративных беспроводных сетей.
Основные цели проведения внутреннего аудита информационной системы:
- Поиск уязвимостей, позволяющих произвести атаку на информационную систему из внутреннего периметра корпоративной сети.
- Определение надежности и достаточности применяемых систем защиты информационной системы от утечек информации и действий инсайдеров.
- Регулярное отслеживание изменений в информационной системе.
- Получение Заказчиком независимой оценки.
- Соблюдение требований международных стандартов и нормативных документов в сфере информационной безопасности рекомендующие (требующие) периодического или разового проведения аудита информационной безопасности.
Основные задачи проведения внутреннего аудита информационной системы:
- Анализ структуры, функций, используемых технологий обработки и передачи информации в информационной системе.
- Выявление уязвимостей информационной системы с их ранжированием по степени критичности, их идентификация по международным и собственным классификаторам.
- Составление модели нарушителя, применение методики активного аудита для проверки возможности реализации выявленных угроз информационной безопасности.
- Оценка полноты фактически реализованных мер защиты от утечки информации и действий инсайдеров.
- Требования международных стандартов и нормативных документов в сфере информационной безопасности.
- Формирование требований к построению системы защиты конфиденциальных данных от утечки и действий инсайдеров.
- Выработка рекомендаций по повышению эффективности защиты информации в информационной системе.
- Подготовка данных при проведении комплексного аудита информационной безопасности.
Внешний аудит информационной системы – это независимая и объективная оценка защищенности информационной системы от внешнего несанкционированного воздействия.
Внешний аудит информационной системы предполагает выполнение:
- проведение технического аудита сети;
- внешних тестов на проникновение;
- аудита Web-приложений.
Основные цели проведения внешнего аудита информационной системы:
- Поиск уязвимостей, позволяющих произвести внешнюю атаку на информационную систему компании.
- Комплексная оценка защищенности информационной системы, отсутствие или недостатки применяемых систем защиты информации от внешнего несанкционированного воздействия.
- Регулярное отслеживание изменений в информационной системе.
- Получение Заказчиком независимой оценки.
- Соблюдение требований международных стандартов и нормативных документов в сфере информационной безопасности рекомендующие (требующие) периодического или разового проведения аудита информационной безопасности.
Основные задачи проведения внешнего аудита информационной системы:
- Анализ структуры, функций, используемых технологий обработки, хранения и передачи информации в информационной системе.
- Выявление уязвимостей информационной системы с их ранжированием по степени критичности, их идентификация по международным и собственным классификаторам.
- Составление модели нарушителя, применение методики активного аудита для проверки возможности реализации выявленных угроз информационной безопасности.
- Требования международных стандартов и нормативных документов в сфере информационной безопасности.
- Выработка рекомендаций по повышению эффективности защиты информации в информационной системе.
- Подготовка данных при проведении комплексного аудита информационной безопасности.
Методы внешнего аудита
Мы предлагаем своим Заказчикам следующую методологию оценки защищенности информационной системы:
- Тестирование методом черного ящика (black box testing).
- Тестирование методом серого ящика (gray box testing).
- Тестирование методом белого ящика (white box testing).
При внешнем аудите информационной системы, могут использоваться следующие модели взаимодействия с Заказчиком:
- Black Hat. Специалисты Заказчика, отвечающие за информационную безопасность, не информируются о проведении тестов. В таком случае удается проверить уровень оперативной готовности к атакам сетевых администраторов или администраторов информационной безопасности.
- White Hat.Работы проводятся совместно со специалистами Заказчика. Основная задача сводится к совместному обнаружению возможных уязвимостей и оценке риска проникновения в систему.
Работы по внешнему аудиту информационной системы включают в себя ряд последовательных этапов:
- поиск и анализ всей доступной информации;
- проведение технического аудита сети;
- проведение внешних тестов на проникновение;
- проведение аудита Web-приложений;
- инструментальное сканирование, предполагающее использование как специализированных средств, так и специфичных разработок нашей компании;
- детальный анализ вручную;
- анализ и оценка выявленных уязвимостей и выработка рекомендаций;
- подготовка отчета;
- при необходимости, консультирование специалистов Заказчика.