Внутренний аудит информационной системы – это независимая и объективная оценка защищенности информационной системы от внутреннего несанкционированного воздействия и утечки конфиденциальной информации.
Внутренний аудит информационной безопасности включает в себя:
· технический аудит сети;
· внутренние тесты на проникновение;
· аудит защищенности от утечки информации и действий инсайдеров;
· аудит корпоративных беспроводных сетей.
Основные цели проведения внутреннего аудита информационной системы:
· Поиск уязвимостей, позволяющих произвести атаку на информационную систему из внутреннего периметра корпоративной сети.
· Определение надежности и достаточности применяемых систем защиты информационной системы от утечек информации и действий инсайдеров.
· Регулярное отслеживание изменений в информационной системе.
· Получение Заказчиком независимой оценки.
· Соблюдение требований международных стандартов и нормативных документов в сфере информационной безопасности рекомендующие (требующие) периодического или разового проведения аудита информационной безопасности.
Основные задачи проведения внутреннего аудита информационной системы:
· Анализ структуры, функций, используемых технологий обработки и передачи информации в информационной системе.
· Выявление уязвимостей информационной системы с их ранжированием по степени критичности, их идентификация по международным и собственным классификаторам.
· Составление модели нарушителя, применение методики активного аудита для проверки возможности реализации выявленных угроз информационной безопасности.
· Оценка полноты фактически реализованных мер защиты от утечки информации и действий инсайдеров.
· Требования международных стандартов и нормативных документов в сфере информационной безопасности.
· Формирование требований к построению системы защиты конфиденциальных данных от утечки и действий инсайдеров.
· Выработка рекомендаций по повышению эффективности защиты информации в информационной системе.
· Подготовка данных при проведении комплексного аудита информационной безопасности.
Внешний аудит информационной системы – это независимая и объективная оценка защищенности информационной системы от внешнего несанкционированного воздействия.
Внешний аудит информационной системы предполагает выполнение:
· проведение технического аудита сети;
· внешних тестов на проникновение;
· аудита Web-приложений.
Основные цели проведения внешнего аудита информационной системы:
· Поиск уязвимостей, позволяющих произвести внешнюю атаку на информационную систему компании.
· Комплексная оценка защищенности информационной системы, отсутствие или недостатки применяемых систем защиты информации от внешнего несанкционированного воздействия.
· Регулярное отслеживание изменений в информационной системе.
· Получение Заказчиком независимой оценки.
· Соблюдение требований международных стандартов и нормативных документов в сфере информационной безопасности рекомендующие (требующие) периодического или разового проведения аудита информационной безопасности.
Основные задачи проведения внешнего аудита информационной системы:
· Анализ структуры, функций, используемых технологий обработки, хранения и передачи информации в информационной системе.
· Выявление уязвимостей информационной системы с их ранжированием по степени критичности, их идентификация по международным и собственным классификаторам.
· Составление модели нарушителя, применение методики активного аудита для проверки возможности реализации выявленных угроз информационной безопасности.
· Требования международных стандартов и нормативных документов в сфере информационной безопасности.
· Выработка рекомендаций по повышению эффективности защиты информации в информационной системе.
· Подготовка данных при проведении комплексного аудита информационной безопасности.
Методы внешнего аудита
Мы предлагаем своим Заказчикам следующую методологию оценки защищенности информационной системы:
· Тестирование методом черного ящика (black box testing).
· Тестирование методом серого ящика (gray box testing).
· Тестирование методом белого ящика (white box testing).
При внешнем аудите информационной системы, могут использоваться следующие модели взаимодействия с Заказчиком:
· Black Hat. Специалисты Заказчика, отвечающие за информационную безопасность, не информируются о проведении тестов. В таком случае удается проверить уровень оперативной готовности к атакам сетевых администраторов или администраторов информационной безопасности.
· White Hat. Работы проводятся совместно со специалистами Заказчика. Основная задача сводится к совместному обнаружению возможных уязвимостей и оценке риска проникновения в систему.
Работы по внешнему аудиту информационной системы включают в себя ряд последовательных этапов:
· поиск и анализ всей доступной информации;
· проведение технического аудита сети;
· проведение внешних тестов на проникновение;
· проведение аудита Web-приложений;
· инструментальное сканирование, предполагающее использование как специализированных средств, так и специфичных разработок нашей компании;
· детальный анализ вручную;
· анализ и оценка выявленных уязвимостей и выработка рекомендаций;
· подготовка отчета;
· при необходимости, консультирование специалистов Заказчика.