Комплексний аудит інформаційної безпеки
- Переваги комплексного аудиту інформаційної безпеки
- експертна аудит
- Перевірка web-безпеки
- Тест на проникнення або пентест
- аудит ІС
Ключовим завданням відділу інформаційної безпеки кожної сучасної компанії залишається захист її інформаційних ресурсів від різних загроз - зовнішніх і внутрішніх, навмисних і ненавмисних. Це може бути крадіжка даних, саботаж співробітників, загоряння, системний збій і т.п. Мета підтримки інформаційного захисту підприємства - забезпечення безперервності ведення його бізнесу та мінімізація ризиків за допомогою попередження виникнення інцидентів в сфері безпеки і зниження розмірів можливого збитку від них.
ALP Group може провести комплексний аудит інформаційної безпеки у вашій компанії. Наші фахівці вміло застосують накопичені за багато років роботи знання на практиці, швидко виявивши існуючі проблеми і вказавши оптимальні шляхи їх ліквідації в гранично короткий термін. Аудит ІТ безпеки - це комплекс спеціальних заходів, які спрямовані на оцінку і підвищення якості виконання завдань в області інформаційної безпеки в корпоративній ІТ інфраструктури підприємства.
Переваги комплексного аудиту інформаційної безпеки
Така перевірка дозволяє отримати найповнішу і різнобічну оцінку ступеня захищеності інформаційної системи, локалізувати присутні проблеми і розробити оптимальну програму організації системи інформаційної безпеки (ІБ) в організації. У неї входить аналіз механізмів безпеки на організаційному рівні, політики безпеки і організаційно-розпорядчого регламенту, а також оцінка їх відповідності вимогам діючих норм та адекватності ймовірним ризикам.
У складі комплексного аудиту ІТ безпеки присутній активний аудит, що передбачає здійснення інструментального аналізу захищеності і полягає в зборі даних про корпоративної мережі шляхом використання спеціалізованих програмних продуктів, під час якого проводиться перевірка рівня захищеності як зовнішнього периметра, так і внутрішньої ІТ структури компанії.
Етапи проведення комплексного аудиту інформаційної безпеки:
- організаційний і інструментарно;
- дослідження рівня захисту ІС;
- визначення ступеня відповідності ІБ стандартам і нормам.
А тепер розглянемо ці етапи докладніше.
Проведення аудиту ІТ безпеки має на увазі:
- визначення найбільш важливих для забезпечення роботи бізнес-процесів компонентів і вузлів ІС;
- дослідження ІС і бізнес-процесів підприємства як об'єкти захисту, здійснення аналізу отриманих даних і створення моделі взаємодії складових ІС, необхідних для забезпечення безперервності бізнес-процесів;
- визначення вимог до діючої системи ІБ, аналіз її структури, виконуваних функцій і особливостей, оцінка параметрів використовуваних засобів захисту, ОС сервера і телекомунікаційного устаткування;
- тестування на предмет проникнення в інформаційне середовище організації;
- проведення оцінки ризиків, обумовлених реалізацією інформаційних загроз, спрямованих на найважливіші активи компанії;
- аналіз діючої на підприємстві системи забезпечення ІБ вимогам і створення укладення;
- формування рекомендацій для підвищення рівня ІБ відповідно до певних вимог і пропозицій щодо мінімізації інформаційних ризиків.
Результат аудиту ІТ безпеки - отримання повної, незалежної і об'єктивної оцінки поточної ситуації в даній сфері.
У комплексному аудиті інформаційної безпеки об'єднані інші види діагностики ІБ, що допомагає керівництву аудируемой організації оцінити її стан і вжити відповідних заходів, якщо це необхідно.
У комплексний аудит ІБ входить:
- експертний аудит
- перевірка web-безпеки
- тест на проникнення
- аудит ІС
Склад і умови проведених в процесі комплексного аудиту робіт повинні бути заздалегідь узгоджені і затверджені керівниками компанії-клієнта. Звичайно, аудит ІТ безпеки можна проводити і силами власного ІТ відділу компанії, але краще залучити до вирішення цього відповідального завдання зовнішніх консультантів, наприклад, співробітників ALP Group. Адже проведення перевірки співробітниками організації не завжди дозволяє отримати об'єктивну і незалежну оцінку. Тому краще довірити тестування ІБ команді компанії ALP, що має великий досвід в даній сфері. В останні роки все більше організацій вдаються до послуг незалежних консультантів з питань інформаційного захисту.
експертна аудит
Необхідний для оцінки рівня захищеності тих компонентів ІС, які є найбільш значущими для функціонування бізнес-процесів. Застосовується тоді, коли немає необхідності в комплексному обстеженні компанії. Призначений для визначення рівня відповідності захисту ІС критеріям, виробленим фахівцями клієнтської компанії спільно з аудиторами. Перевірка тільки важливих активів допомагає зосередитися на найбільш критичних ресурсах і знизити витрати на проведення діагностики.
Ключові етапи експертного аудиту:
- аналіз ІС замовника;
- виявлення вимог до інформаційної безпеки;
- оцінка реального стану;
- безпосереднє проведення експертного аудиту;
- створення рекомендацій для усунення знайдених вразливостей;
- формування звітної рекомендації.
Перевірка web-безпеки
При проведенні цього виду аудиту спочатку потрібно провести автоматичне сканування web-вузла з використанням ПЗ для виявлення в системі уразливості. Також необхідно проаналізувати наявність типових рішень - форумів, CMS, гостьових книг і т.п. Часто ці елементи мають відкритий код, і тому уразливості в них добре відомі. Проведення автоматичного сканування допомагає виявити як помилки виконання web-сценарію, так і звичайні помилки в адмініструванні сервера.
На основі отриманої інформації аналізуються виявлені вразливості, і проводиться пошук інших слабких місць вже в ручному режимі. Після проводиться комплексний аналіз структури і коду web-додатки і умов його функціонування на сервері, зокрема, перевіряється ОС і політика безпеки, серверне ПЗ і його налаштування.
Після необхідно провести оцінку ризиків, описати процес і причини їх виникнення, а також ступінь їх впливу на безперервність бізнес-процесів клієнтської компанії. Знайдені уразливості класифікуються за WASC WSTCv2.
Далі створюються рекомендації щодо усунення проблем і за погодженням з клієнтом вживаються заходи, спрямовані на підвищення інформаційного захисту. Сюди входить настройка системних параметрів, впровадження додаткових захисних засобів і зміна вихідного коду програми.
Тест на проникнення або пентест
Є спробою злому інформаційного ресурсу компанії для отримання оцінки якості його захисту і виявлення вразливостей. Допомагає зрозуміти, наскільки ефективні використовувані засоби захисту і наскільки ймовірним є те, що зловмисники проникнуть в систему. В процесі проведення пентеста з'являється можливість:
- виявити найбільш вразливі ділянки в системі ІБ;
- дізнатися, яким чином зловмисник може проникнути в ІС;
- отримати точну оцінку загального рівня захисту інформаційного простору підприємства;
- спрогнозувати наслідки цих дій.
аудит ІС
Необхідний для об'єктивної оцінки ступеня захищеності інформаційної системи підприємства від зовнішніх і внутрішніх загроз, а також для складання організаційної документації, в якій описуються відповідальність і повноваження співробітників, що володіють доступом до ІС. Коли потрібно проводити аудит ІС:
- після впровадження автоматизованої системи (ERP, CRM і т.п.);
- в процесі додавання нового модуля до діючої системи;
- перед початком інтеграції нової програми з раніше встановленими;
- при виникненні підозр про порушення ІБ.
Етапи аудиту ІС:
- створення плану перевірки;
- формування робочої групи;
- збір первинних даних і їх аналіз;
- оцінка можливих ризиків;
- формування плану управління ризиками;
- створення рекомендацій по їх управлінню;
- проведення заходів щодо мінімізації ризиків.
Комплексний аудит інформаційної безпеки, проведений компетентними фахівцями ALP Group, допоможе надійно захистити вашу інформаційну систему від будь-яких загроз. Збереження комерційної інформації є запорукою успішності будь-якого бізнесу, тому для керівництва компаній особливо важливо приділяти підтримці інформаційного захисту найпильнішу увагу, доручаючи її тільки професіоналам.