ДиалогНаука

Для эффективного обеспечения информационной безопасности необходимо применять комплексный подход, предусматривающий применение как организационных, так и технических мер защиты.

Компания «ДиалогНаука» предлагает широкий спектр консалтинговых услуг по разработке, внедрению и сопровождению комплексных систем обеспечения информационной безопасности. Все услуги сгруппированы в единый цикл и включают в себя основные категории, приведенные ниже.

Инструментальный аудит информационной безопасности

Инструментальный аудит информационной безопасности (далее – ИБ) позволяет получить объективную и независимую оценку эффективности ряда ключевых процессов обеспечения ИБ в Компании, определить уровень защищённости ее информационных активов, а так же определить ряд приоритетных мер по улучшению данных процессов для снижения существующих рисков ИБ.

Целями проведения инструментального обследования ИБ являются:

Работы проводятся в один этап.

Первым шагом при выполнении работ, совместно с уполномоченными представителями Компании, определяются границы проведения аудита ИБ. Для определения границ проведения аудита ИБ идентифицируются подлежащие аудиту активы Компании. После их идентификации определяется их физическое и логическое местоположения, и на основании полученной информации производится:

В целях обеспечения конфиденциальности информации перед началом первого этапа подписывается соглашения о неразглашении конфиденциальной информации.

Также определяются составы рабочих групп со стороны Компании и ЗАО «ДиалогНаука. При этом, как правило, определяется порядок их взаимодействия при проведении аудита ИБ (например, с помощью e-mail), определяются лица, ответственные за решение возникающих в ходе проведения аудита проблем, определяются технологии обеспечения конфиденциальности информации при ее передаче (сертификаты, пароли и т.д.).

Инструментальный анализ защищённости проводится для выявления технологических уязвимостей в программно-аппаратном обеспечении автоматизированных систем (далее – АС) Компании. Технологические уязвимости обусловлены наличием ошибок в программно-аппаратном обеспечении АС, использование которых нарушителем может привести к успешной реализации атаки. Примерами технологических уязвимостей являются уязвимости типа «buffer overflow» (переполнение буфера), «SQL Injection» (модификация SQL-запроса) или «format string» (форматирующая строка).

В процессе инструментального обследования используются специализированные программные средства. Сетевое сканирование реализуется в два основных этапа. На первом этапе осуществлялся сбор исходной информации о хосте, включающей в себя перечень открытых портов, список пользователей, зарегистрированных на хосте, информацию о типе сетевых служб, запущенных на хосте и т.д. На втором этапе проводится поиск уязвимостей в тех сетевых службах, информация о которых была собрана на первом этапе. Так, например, если на первом этапе определяется, что на хосте запущен только Web-сервер Microsoft Information Services, то все проверки второго этапа направляются на выявление уязвимостей именно в этой сетевой службе. В процессе проведения сканирования не моделируются атаки типа «отказ в обслуживании» для того, чтобы не нарушить штатной работы АС. Таким образом, при проведении сканирования определяется факт наличия в АС уязвимостей без их активизации.

В рамках инструментального аудита также проводится анализ конфигурационных настроек общесистемного и прикладного программного обеспечения АС. Данный аудит направлен на выявление эксплуатационных уязвимостей, к которым относятся ошибки в настройке программного или аппаратного обеспечения АС. В качестве примеров уязвимостей этого типа можно привести использование нестойких к угадыванию паролей, отсутствие модулей обновления, некорректную конфигурацию сетевых служб и т.д.

В процессе проведения инструментального аудита ИБ проводится базовая оценка следующих процессов обеспечения ИБ:

Базовая оценка эффективности процессов обеспечения ИБ основывается только на результатах инструментальных проверок и не включает в себя анализ нормативно-методического обеспечения.

На заключительном этапе ЗАО «ДиалогНаука» подготавливает Отчет по результатам аудита информационной безопасности, содержащий:

В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».