+7 (495) 980-67-76

Инструментальный аудит информационной безопасности

Инструментальный аудит информационной безопасности (далее – ИБ) позволяет получить объективную и независимую оценку эффективности ряда ключевых процессов обеспечения ИБ в Компании, определить уровень защищённости ее информационных активов, а так же определить ряд приоритетных мер по улучшению данных процессов для снижения существующих рисков ИБ.

Целями проведения инструментального обследования ИБ являются:

  • получение объективных данных о текущем состоянии обеспечения информационной безопасности корпоративной информационной системы Компании (в том числе от внешних угроз со стороны потенциальных злоумышленников);
  • разработка рекомендаций по повышению уровня информационной безопасности корпоративной информационной системы.

Работы проводятся в один этап.

Первым шагом при выполнении работ, совместно с уполномоченными представителями Компании, определяются границы проведения аудита ИБ. Для определения границ проведения аудита ИБ идентифицируются подлежащие аудиту активы Компании. После их идентификации определяется их физическое и логическое местоположения, и на основании полученной информации производится:

  • определение физической области аудита (список и местоположение объектов Заказчика, подлежащих аудиту);
  • определение логической области аудита (например, названия подсетей, диапазоны IP адресов и т.д.);

В целях обеспечения конфиденциальности информации перед началом первого этапа подписывается соглашения о неразглашении конфиденциальной информации.

Также определяются составы рабочих групп со стороны Компании и ЗАО «ДиалогНаука. При этом, как правило, определяется порядок их взаимодействия при проведении аудита ИБ (например, с помощью e-mail), определяются лица, ответственные за решение возникающих в ходе проведения аудита проблем, определяются технологии обеспечения конфиденциальности информации при ее передаче (сертификаты, пароли и т.д.).

Инструментальный анализ защищённости проводится для выявления технологических уязвимостей в программно-аппаратном обеспечении автоматизированных систем (далее – АС) Компании. Технологические уязвимости обусловлены наличием ошибок в программно-аппаратном обеспечении АС, использование которых нарушителем может привести к успешной реализации атаки. Примерами технологических уязвимостей являются уязвимости типа «buffer overflow» (переполнение буфера), «SQL Injection» (модификация SQL-запроса) или «format string» (форматирующая строка).

В процессе инструментального обследования используются специализированные программные средства. Сетевое сканирование реализуется в два основных этапа. На первом этапе осуществлялся сбор исходной информации о хосте, включающей в себя перечень открытых портов, список пользователей, зарегистрированных на хосте, информацию о типе сетевых служб, запущенных на хосте и т.д. На втором этапе проводится поиск уязвимостей в тех сетевых службах, информация о которых была собрана на первом этапе. Так, например, если на первом этапе определяется, что на хосте запущен только Web-сервер Microsoft Information Services, то все проверки второго этапа направляются на выявление уязвимостей именно в этой сетевой службе. В процессе проведения сканирования не моделируются атаки типа «отказ в обслуживании» для того, чтобы не нарушить штатной работы АС. Таким образом, при проведении сканирования определяется факт наличия в АС уязвимостей без их активизации.

В рамках инструментального аудита также проводится анализ конфигурационных настроек общесистемного и прикладного программного обеспечения АС. Данный аудит направлен на выявление эксплуатационных уязвимостей, к которым относятся ошибки в настройке программного или аппаратного обеспечения АС. В качестве примеров уязвимостей этого типа можно привести использование нестойких к угадыванию паролей, отсутствие модулей обновления, некорректную конфигурацию сетевых служб и т.д.

В процессе проведения инструментального аудита ИБ проводится базовая оценка следующих процессов обеспечения ИБ:

  • управление аутентификацией и парольная защита;
  • криптографическая защита и управление ключами;
  • управление конфигурациями;
  • управление уязвимостями.

Базовая оценка эффективности процессов обеспечения ИБ основывается только на результатах инструментальных проверок и не включает в себя анализ нормативно-методического обеспечения.

На заключительном этапе ЗАО «ДиалогНаука» подготавливает Отчет по результатам аудита информационной безопасности, содержащий:

  • краткое описание обследованной ИТ инфраструктуры;
  • результаты оценки (анализа) процессов обеспечения ИБ;
  • результаты инструментального аудита защищенности;
  • детальные рекомендации по устранению выявленных эксплуатационных уязвимостей;
  • общие рекомендации по устранению выявленных недостатков в процессах обеспечения ИБ.

В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».

Другие услуги раздела

Оценка соответствия требованиям Федерального закона «О персональных данных»
Оценка соответствия требованиям Федерального закона "О коммерческой тайне"
Оценка эффективности мер защиты информационных систем персональных данных (аттестация, декларирование соответствия ИСПДн)
Комплексный аудит информационной безопасности
Оценка соответствия требованиям стандарта Банка России СТО БР ИББС-1.0
Аудит на соответствие требованиям международного стандарта ISO/IEC 27001
Тестирование на проникновение (аудит информационной безопасности)
Аудит веб-приложений
Аудит на соответствие требованиям стандарта PCI DSS
Аудит наличия конфиденциальной информации в сети Интернет
Оценка соответствия требованиям Положения Банка России №382-П
Оценка защищенности мобильных приложений
Анализ исходного кода
Новости
Мероприятия
Компания «ДиалогНаука» успешно провела аудит информационной безопасности для банка ВТБ
«ДиалогНаука» завершила инструментальный аудит и проверку соответствия требованиям Положения Банка России 382-П в КБ «Ренессанс»
Positive Technologies и «ДиалогНаука» выступят на конференции по информационной безопасности в ракетно-космической отрасли
«ДиалогНаука» примет участие в 5-м Южном форуме информационной безопасности «Инфофорум – КРЫМ»
«ДиалогНаука» и Positive Technologies примут участие в международном военно-техническом форуме «Армия-2018»
«ДиалогНаука» — официальный партнер XI Уральского форума «Информационная безопасность финансовой сферы»
Все новости

Мы собираем пользовательские данные для улучшения работы сайта. Используя сайт, вы подтверждаете согласие на их обработку. Нажмите здесь, чтобы узнать больше.

;