Аудит информационной безопасности позволяет получить объективную и независимую оценку текущего состояния защищённости автоматизированной системы. Результаты проведения аудита являются основой для формирования дальнейшей стратегии развития информационной безопасности организации.
Варианты аудита информационной безопасности, предлагаемые компанией High-TechBureau:
- Аудит безопасности, направленный на оценку соответствия требованиям Международного стандарта ISO17799 (ISO27001);
- Аудит безопасности, направленный на оценку соответствия требованиям стандарта информационной безопасности Банка России;
- Аудит интернет-узлов компаний (penetrationtesting), позволяющий выявить возможные способы вторжения в автоматизированные системы предприятий из сети Интернет;
- Инструментальный анализ защищённости автоматизированной системы, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы;
- Комплексный аудит информационной безопасности, который включает в себя анализ защищённости предприятия на основе оценки рисков.
Аудит на соответствие требованиям стан-даёт возможность Заказчику оценить уровень защищённости организации от типовых угроз информационной безопасности, связанных с вирусной активностью, несанкционированным доступом к конфиденциальной информации, атакам типа «отказ в обслуживании», сбоями программно-аппаратного обеспечения и др. В процессе аудита осуществляется также проверка эффективности противодействия угрозам информационной безопасности существующих организационно-технических мер защиты.
Аудит на соответствие требованиям стандарту СТО БР ИББС-1.0-2006, СОУ Н НБУ позволяет определить текущий уровень защищенности автоматизированной системы, а также уровень зрелости процессов менеджмента информационной безопасности организаций банковской сферы РФ.
Аудит Интернет-узлов направлен на оценку устойчивости автоматизированной системы организации к внешним атакам из сети Интернет. В рамках данного проекта проводятся работы по моделированию внешних атак и оценивается возможность проникновения в систему из сети Интернет.
Инструментальный анализ защищенности проводится для выявления технологических и эксплуатационных уязвимостей в программно-аппаратном обеспечении автоматизированных систем Заказчика. Примерами таких уязвимостей могут являться: ошибки в программно-аппаратном обеспечении, наличие троянских программ, программ типа rootkitи backdoor, некорректная конфигурация сетевых служб, отсутствие модулей обновления программного обеспечения (servicepacks, patches, hotfixes), использование неустойчивых к угадыванию паролей и др. В процессе инструментального анализа проводится имитация сетевых атак, позволяющая более точно определить слабые места в системе защиты организации.
Комплексный аудит информационной базы включает оценку соответствия требованиям отечественных и Международных стандартов, а также инструментальный анализ защищённости. Дополнительно в рамках комплексного аудита безопасности проводится разработка расширенной модели угроз безопасности, учитывающей специфику автоматизированной системы Заказчика. На основе данной модели рассчитываются риски информационной безопасности, учитывающие вероятность реализации угроз, а также их возможный ущерб.
По завершении аудита информационной безопасности Заказчику представляется детальный отчёт, содержащий информацию о выявленных уязвимостях, а также подробные рекомендации по их устранению