Комплексный аудит информационной безопасности

Ключевой задачей отдела информационной безопасности каждой современной компании остается защита ее информационных ресурсов от различных угроз – внешних и внутренних, умышленных и неумышленных. Это может быть кража данных, саботаж сотрудников, возгорание, системный сбой и т.п. Цель поддержания информационной защиты предприятия - обеспечение непрерывности ведения его бизнеса и минимизация рисков с помощью предупреждения возникновения инцидентов в сфере безопасности и снижения размеров возможного ущерба от них.

ALP Group может провести комплексный аудит информационной безопасности в вашей компании. Наши специалисты умело применят накопленные за многие годы работы знания на практике, быстро выявив существующие проблемы и указав оптимальные пути их ликвидации в предельно короткий срок. Аудит ИТ безопасности - это комплекс специальных мероприятий, которые направлены на оценку и повышение качества исполнения задач в области информационной безопасности в корпоративной ИТ инфраструктуре предприятия.

Преимущества комплексного аудита информационной безопасности

Такая проверка позволяет получить самую полную и разностороннюю оценку степени защищенности информационной системы, локализовать присутствующие проблемы и разработать оптимальную программу организации системы информационной безопасности (ИБ) в организации. В нее входит анализ механизмов безопасности на организационном уровне, политики безопасности и организационно-распорядительного регламента, а также оценка их соответствия требованиям действующих норм и адекватности вероятным рискам.

В составе комплексного аудита ИТ безопасности присутствует активный аудит, подразумевающий осуществление инструментального анализа защищенности и заключающийся в сборе данных о корпоративной сети путем использования специализированных программных продуктов, во время которого проводится проверка уровня защищенности как внешнего периметра, так и внутренней ИТ структуры компании.

Этапы проведения комплексного аудита информационной безопасности:

• организационный и инструментарный;
• исследование уровня защиты ИС;
• определение степени соответствия ИБ стандартам и нормам.

А теперь рассмотрим данные этапы подробнее.

Проведение аудита ИТ безопасности подразумевает:

• определение наиболее важных для обеспечения работы бизнес-процессов компонентов и узлов ИС;
• исследование ИС и бизнес-процессов предприятия в качестве объектов защиты, осуществление анализа полученных данных и создание модели взаимодействия составляющих ИС, необходимых для обеспечения непрерывности бизнес-процессов;
• определение требований к действующей системе ИБ, анализ ее структуры, выполняемых функций и особенностей, оценка настроек используемых средств защиты, ОС сервера и телекоммуникационного оборудования;
• тестирование на предмет проникновения в информационную среду организации;
• проведение оценки рисков, обусловленных реализацией информационных угроз, направленных на самые важные активы компании;
• анализ действующей на предприятии системы обеспечения ИБ требованиям и создание заключения;
• формирование рекомендаций для повышения уровня ИБ в соответствии с определенными требованиями и предложений по минимизации информационных рисков.

Результат аудита ИТ безопасности - получение полной, независимой и объективной оценки текущей ситуации в данной сфере.

В комплексном аудите информационной безопасности объединены остальные виды диагностики ИБ, что помогает руководству аудируемой организации оценить ее состояние и предпринять соответствующие меры, если это необходимо.

В комплексный аудит ИБ входит:

• экспертный аудит
• проверка web-безопасности
• тест на проникновение
• аудит ИС

Состав и условия проводимых в процессе комплексного аудита работ должны быть заранее согласованы и утверждены руководителями компании-клиента. Конечно, аудит ИТ безопасности можно проводить и силами собственного ИТ отдела компании, но лучше привлечь к решению этой ответственной задачи внешних консультантов, например, сотрудников ALP Group. Ведь проведение проверки сотрудниками организации не всегда позволяет получить объективную и независимую оценку. Поэтому лучше доверить тестирование ИБ команде компании ALP, имеющей обширный опыт в данной сфере. В последние годы все больше организаций прибегают к услугам независимых консультантов по вопросам информационной защиты.

Экспертный аудит

Необходим для оценки уровня защищенности тех компонентов ИС, которые являются наиболее значимыми для функционирования бизнес-процессов. Применяется тогда, когда нет необходимости в комплексном обследовании компании. Предназначен для определения уровня соответствия защиты ИС критериям, выработанным специалистами клиентской компании совместно с аудиторами. Проверка только важных активов помогает сосредоточиться на самых критичных ресурсах и снизить затраты на проведение диагностики.

Ключевые этапы экспертного аудита:

• анализ ИС заказчика;
• выявление требований к информационной безопасности;
• оценка настоящего состояния;
• непосредственное проведение экспертного аудита;
• создание рекомендаций для устранения найденных уязвимостей;
• формирование отчетной рекомендации.

Проверка web-безопасности

При проведении этого вида аудита сначала нужно провести автоматическое сканирование web-узла с использованием ПО для обнаружения в системе уязвимости. Также необходимо проанализировать наличие типичных решений – форумов, CMS, гостевых книг и т.п. Часто эти элементы имеют открытый код, и поэтому уязвимости в них хорошо известны. Проведение автоматического сканирования помогает обнаружить как ошибки исполнения web-сценария, так и обычные ошибки в администрировании сервера.

На основе полученной информации анализируются обнаруженные уязвимости, и проводится поиск остальных слабых мест уже в ручном режиме. После производится комплексный анализ структуры и кода web-приложения и условий его функционирования на сервере, в частности, проверяется ОС и политика безопасности, серверное ПО и его настройки.

После необходимо произвести оценку рисков, описать процесс и причины их возникновения, а также степень их влияния на непрерывность бизнес-процессов клиентской компании. Найденные уязвимости классифицируются по WASC WSTCv2.

Далее создаются рекомендации по устранению проблем и по согласованию с клиентом принимаются меры, направленные на повышение информационной защиты. Сюда входит настройка системных параметров, внедрение дополнительных защитных средств и изменение исходного кода приложения.

Тест на проникновение или пентест

Является попыткой взлома информационного ресурса компании для получения оценки качества его защиты и выявления уязвимостей. Помогает понять, насколько эффективны используемые средства защиты и какова вероятность того, что злоумышленники проникнут в систему. В процессе проведения пентеста появляется возможность:

• обнаружить самые уязвимые участки в системе ИБ;
• узнать, каким образом злоумышленник может проникнуть в ИС;
• получить точную оценку общего уровня защиты информационного пространства предприятия;
• спрогнозировать последствия этих действий.

Аудит ИС

Необходим для объективной оценки степени защищенности информационной системы предприятия от внешних и внутренних угроз, а также для составления организационной документации, в которой описываются ответственность и полномочия сотрудников, обладающих доступом к ИС. Когда нужно проводить аудит ИС:

• после внедрения автоматизированной системы (ERP, CRM и т.п.);
• в процессе добавления нового модуля к действующей системе;
• перед началом интеграции нового приложения с ранее установленным;
• при возникновении подозрений о нарушении ИБ.

Этапы аудита ИС:

• создание плана проверки;
• формирование рабочей группы;
• сбор первичных данных и их анализ;
• оценка возможных рисков;
• формирование плана управления рисками;
• создание рекомендаций по их управлению;
• проведение мероприятий по минимизации рисков.

Комплексный аудит информационной безопасности, проведенный компетентными специалистами ALP Group, поможет надежно защитить вашу информационную систему от любых угроз. Сохранность коммерческой информации является залогом успешности любого бизнеса, поэтому для руководства компаний особенно важно уделять поддержанию информационной защиты самое пристальное внимание, поручая ее только профессионалам.