Информационная безопасность (ИБ) — важный аспект компании, которая дорожит сохранностью конфиденциальной информации. Утечка персональных данных пользователей, недостаточная охрана служебных данных и другие подобные проблемы могут нанести серьезный урон репутации фирмы. Избежать этого поможет профессиональный аудит ИБ, который можно заказать на сайте компании «Пространство доверия».
Оглавление
Зачем требуется аудит информационной безопасности
Аудит ИБ решает много задач:
- позволяет получить актуальную информацию о текущем состоянии ресурса/системы;
- выявляет риски, каналы утечки информации, пути несанкционированного доступа, уязвимости и пробелы системы безопасности;
- проверяет эффективность политик безопасности и средств защиты информации;
- помогает разработать концепцию информационной безопасности и стратегию киберзащиты;
- осуществляет оценку соответствия международным требованиям и государственным стандартам;
- локализует проблемные места, критические баги;
- предотвращает похищение и подделку данных.
Решить все эти задачи своими силами проблематично.
Каковы этапы проведения аудита информационной безопасности
Аудит ИБ, осуществляемый Trust-space или другой компанией, состоит из нескольких этапов. Проработка каждого из них требует профессионального подхода.
-
Инициирование аудита
Уточняются цели и задачи аудита. Определяются и согласовываются критерии, план и модель аудита безопасности, а также сроки проведения. Владелец предоставляет необходимые права и разрешения на проведение аудита. Подписывается NDA-договор о неразглашении информации. Формируется техническое задание для аудитора.
-
Сбор информации
Аудитор собирает исчерпывающие сведения о всех технических узлах электронного ресурса или инфраструктуры. Происходит комплексное сканирование системы на уязвимости. Проводится пассивный сбор информации по IP/DNS/TCP. Определяется серверная среда, версии программного обеспечения и компонентов.
-
Анализ данных
Собранные данные тщательно отфильтровываются, сортируются, проходят автоматизированную и ручную обработку. Обнаруженные уязвимости классифицируются по базе CVE и оцениваются по шкале CVSS.
-
Подготовка отчета
Формируется отчет, содержащий четкое описание изучаемого объекта, применяемых инструментов и методик. Предоставляется список уязвимостей и рекомендации по их устранению.