Комплексний аудит інформаційної безпеки

Переваги комплексного аудиту інформаційної безпеки
експертна аудит
Перевірка web-безпеки
Тест на проникнення або пентест
аудит ІС

Ключовим завданням відділу інформаційної безпеки кожної сучасної компанії залишається захист її інформаційних ресурсів від різних загроз - зовнішніх і внутрішніх, навмисних і ненавмисних. Це може бути крадіжка даних, саботаж співробітників, загоряння, системний збій і т.п. Мета підтримки інформаційного захисту підприємства - забезпечення безперервності ведення його бізнесу та мінімізація ризиків за допомогою попередження виникнення інцидентів в сфері безпеки і зниження розмірів можливого збитку від них.

Мета підтримки інформаційного захисту підприємства - забезпечення безперервності ведення його бізнесу та мінімізація ризиків за допомогою попередження виникнення інцидентів в сфері безпеки і зниження розмірів можливого збитку від них

ALP Group може провести комплексний аудит інформаційної безпеки у вашій компанії. Наші фахівці вміло застосують накопичені за багато років роботи знання на практиці, швидко виявивши існуючі проблеми і вказавши оптимальні шляхи їх ліквідації в гранично короткий термін. Аудит ІТ безпеки - це комплекс спеціальних заходів, які спрямовані на оцінку і підвищення якості виконання завдань в області інформаційної безпеки в корпоративній ІТ інфраструктури підприємства.

Переваги комплексного аудиту інформаційної безпеки

Така перевірка дозволяє отримати найповнішу і різнобічну оцінку ступеня захищеності інформаційної системи, локалізувати присутні проблеми і розробити оптимальну програму організації системи інформаційної безпеки (ІБ) в організації. У неї входить аналіз механізмів безпеки на організаційному рівні, політики безпеки і організаційно-розпорядчого регламенту, а також оцінка їх відповідності вимогам діючих норм та адекватності ймовірним ризикам.

У складі комплексного аудиту ІТ безпеки присутній активний аудит, що передбачає здійснення інструментального аналізу захищеності і полягає в зборі даних про корпоративної мережі шляхом використання спеціалізованих програмних продуктів, під час якого проводиться перевірка рівня захищеності як зовнішнього периметра, так і внутрішньої ІТ структури компанії.

Етапи проведення комплексного аудиту інформаційної безпеки:

організаційний і інструментарно;
дослідження рівня захисту ІС;
визначення ступеня відповідності ІБ стандартам і нормам.

А тепер розглянемо ці етапи докладніше.

Проведення аудиту ІТ безпеки має на увазі:

визначення найбільш важливих для забезпечення роботи бізнес-процесів компонентів і вузлів ІС;
дослідження ІС і бізнес-процесів підприємства як об'єкти захисту, здійснення аналізу отриманих даних і створення моделі взаємодії складових ІС, необхідних для забезпечення безперервності бізнес-процесів;
визначення вимог до діючої системи ІБ, аналіз її структури, виконуваних функцій і особливостей, оцінка параметрів використовуваних засобів захисту, ОС сервера і телекомунікаційного устаткування;
тестування на предмет проникнення в інформаційне середовище організації;
проведення оцінки ризиків, обумовлених реалізацією інформаційних загроз, спрямованих на найважливіші активи компанії;
аналіз діючої на підприємстві системи забезпечення ІБ вимогам і створення укладення;
формування рекомендацій для підвищення рівня ІБ відповідно до певних вимог і пропозицій щодо мінімізації інформаційних ризиків.

Результат аудиту ІТ безпеки - отримання повної, незалежної і об'єктивної оцінки поточної ситуації в даній сфері.

У комплексному аудиті інформаційної безпеки об'єднані інші види діагностики ІБ, що допомагає керівництву аудируемой організації оцінити її стан і вжити відповідних заходів, якщо це необхідно.

У комплексний аудит ІБ входить:

експертний аудит
перевірка web-безпеки
тест на проникнення
аудит ІС

Склад і умови проведених в процесі комплексного аудиту робіт повинні бути заздалегідь узгоджені і затверджені керівниками компанії-клієнта. Звичайно, аудит ІТ безпеки можна проводити і силами власного ІТ відділу компанії, але краще залучити до вирішення цього відповідального завдання зовнішніх консультантів, наприклад, співробітників ALP Group. Адже проведення перевірки співробітниками організації не завжди дозволяє отримати об'єктивну і незалежну оцінку. Тому краще довірити тестування ІБ команді компанії ALP, що має великий досвід в даній сфері. В останні роки все більше організацій вдаються до послуг незалежних консультантів з питань інформаційного захисту.

експертна аудит

Необхідний для оцінки рівня захищеності тих компонентів ІС, які є найбільш значущими для функціонування бізнес-процесів. Застосовується тоді, коли немає необхідності в комплексному обстеженні компанії. Призначений для визначення рівня відповідності захисту ІС критеріям, виробленим фахівцями клієнтської компанії спільно з аудиторами. Перевірка тільки важливих активів допомагає зосередитися на найбільш критичних ресурсах і знизити витрати на проведення діагностики.

Ключові етапи експертного аудиту:

аналіз ІС замовника;
виявлення вимог до інформаційної безпеки;
оцінка реального стану;
безпосереднє проведення експертного аудиту;
створення рекомендацій для усунення знайдених вразливостей;
формування звітної рекомендації.

Перевірка web-безпеки

При проведенні цього виду аудиту спочатку потрібно провести автоматичне сканування web-вузла з використанням ПЗ для виявлення в системі уразливості. Також необхідно проаналізувати наявність типових рішень - форумів, CMS, гостьових книг і т.п. Часто ці елементи мають відкритий код, і тому уразливості в них добре відомі. Проведення автоматичного сканування допомагає виявити як помилки виконання web-сценарію, так і звичайні помилки в адмініструванні сервера.

На основі отриманої інформації аналізуються виявлені вразливості, і проводиться пошук інших слабких місць вже в ручному режимі. Після проводиться комплексний аналіз структури і коду web-додатки і умов його функціонування на сервері, зокрема, перевіряється ОС і політика безпеки, серверне ПЗ і його налаштування.

Після необхідно провести оцінку ризиків, описати процес і причини їх виникнення, а також ступінь їх впливу на безперервність бізнес-процесів клієнтської компанії. Знайдені уразливості класифікуються за WASC WSTCv2.

Далі створюються рекомендації щодо усунення проблем і за погодженням з клієнтом вживаються заходи, спрямовані на підвищення інформаційного захисту. Сюди входить настройка системних параметрів, впровадження додаткових захисних засобів і зміна вихідного коду програми.

Тест на проникнення або пентест

Є спробою злому інформаційного ресурсу компанії для отримання оцінки якості його захисту і виявлення вразливостей. Допомагає зрозуміти, наскільки ефективні використовувані засоби захисту і наскільки ймовірним є те, що зловмисники проникнуть в систему. В процесі проведення пентеста з'являється можливість:

виявити найбільш вразливі ділянки в системі ІБ;
дізнатися, яким чином зловмисник може проникнути в ІС;
отримати точну оцінку загального рівня захисту інформаційного простору підприємства;
спрогнозувати наслідки цих дій.

аудит ІС

Необхідний для об'єктивної оцінки ступеня захищеності інформаційної системи підприємства від зовнішніх і внутрішніх загроз, а також для складання організаційної документації, в якій описуються відповідальність і повноваження співробітників, що володіють доступом до ІС. Коли потрібно проводити аудит ІС:

після впровадження автоматизованої системи (ERP, CRM і т.п.);
в процесі додавання нового модуля до діючої системи;
перед початком інтеграції нової програми з раніше встановленими;
при виникненні підозр про порушення ІБ.

Етапи аудиту ІС:

створення плану перевірки;
формування робочої групи;
збір первинних даних і їх аналіз;
оцінка можливих ризиків;
формування плану управління ризиками;
створення рекомендацій по їх управлінню;
проведення заходів щодо мінімізації ризиків.