Комплексный аудит ИБ
Продукт снят с продаж.
Для получения консультации по подбору аналогичного продукта обратитесь через онлайн-консультант, форму обратной связи или отправьте письмо по электронной почте на адрес info@datasystem.ru
Услуги, описанные выше в разделе "Оценка уровня защищенности" и "Тесты на проникновение", направлены на глубокий анализ узкоспециализированных аспектов информационной безопасности ИТ-инфраструктуры. Однако, в ряде случаев, существует необходимость получить общую картину эффективности СУИБ.
Комплексный аудит ИБ охватывает все основные аспекты СУИБ для выявления проблемных организационных и технических областей в ИТ-инфраструктуре. В ходе аудита также проводится оценка соответствия существующей СУИБ Заказчика российским и международным стандартам и рекомендациям (best practice). Основными объектами аудита являются:
- организационная структура СУИБ;
- процессы управления ИБ;
- организационные документы по ИБ;
- сетевая инфраструктура (LAN/WAN);
- системное программное обеспечение (ОС, СУБД);
- прикладное программное обеспечение;
- специализированные средства защиты информации.
Независимая, объективная и всесторонняя оценка существующего положения дел в области ИБ позволит Заказчику сформировать долгосрочную программу мероприятий по развитию системы защиты. Произвести бюджетные оценки на ее модернизацию. Результаты оценки рисков, получаемые в ходе аудита, позволят делать акцент на защите наиболее значимых для бизнеса компании ресурсов, получить представление о том, какие именно угрозы актуальны для информационной системы и какие уязвимости являются действительно критичными.
В общем случае порядок проведения работ следующий:
- Сбор исходной информации об организации ИТ-инфраструктуры и системы ИБ:
- сбор существующей технической и организационной документации;
- проведение интервью с сотрудниками ИБ-, ИТ- и бизнес-подразделений;
- анкетирование;
- сбор конфигураций с элементов ИТ-инфраструктуры;
- инструментальное тестирование с элементами теста на проникновение.
- Анализ полученной информации. Выявление узких мест в используемых защитных механизмах, оценка возможных негативных воздействий на функционирование ИТ-инфраструктуры и бизнес-процессов со стороны злоумышленника. С целью обоснования получаемых выводов осуществляется:
- классификация ресурсов;
- составление модели угроз и злоумышленника;
- классификация уязвимостей;
- качественная оценка рисков нарушения ИБ.
- Формирование рекомендаций, позволяющих повысить уровень защиты. Рекомендации касаются как использования уже имеющихся у Заказчика средств, так и внедрения дополнительных. Для повышения эффективности реализации рекомендаций, они могут быть сгруппированы в проекты с оценкой сроков и бюджетов на их реализацию - стратегию ИБ. Для каждого проекта могут устанавливаться ключевые показатели, позволяющие контролировать ход его исполнения.
Результатом работы будет являться отчет, содержащий:
- Выводы для руководства, содержащие общую оценку уровня обеспечения ИБ.
- Результаты обследования, содержащие описание существующего положения ИБ (as-is).
- Аналитическое заключение по существующим уязвимым местам и рискам.
- Рекомендации по устранению выявленных проблемных областей и целевой уровень ИБ (to be).
- Стратегию развития ИБ.
Логическим продолжением комплексного аудита ИБ могут являться работы:
- Мониторинг защищенности периметра корпоративной сети
- Проектирование и внедрение системы управления уровнем защищенности
- Внедрение системы управления ИБ (СУИБ)