Сегодня информационные системы (ИС) играют ключевую роль в обеспечении эффективности работы коммерческих и государственных предприятий. Повсеместное использование ИС для хранения, обработки и передачи информации делает актуальными проблемы их защиты, особенно учитывая глобальную тенденцию к росту числа информационных атак, приводящих к значительным финансовым и материальным потерям. Для эффективной защиты от атак компаниям необходима объективная оценка уровня безопасности ИС - именно для этих целей и применяется аудит безопасности.

Что такое аудит безопасности

Определение аудита безопасности еще не устоялось, но в общем случае его можно описать как процесс сбора и анализа информации об ИС для качественной или количественной оценки уровня ее защищенности от атак злоумышленников. Существует множество случаев, когда целесообразно проводить аудит безопасности. Это делается, в частности, при подготовке технического задания на проектирование и разработку системы защиты информации и после внедрения системы безопасности для оценки уровня ее эффективности. Возможен аудит, направленный на приведение действующей системы безопасности в соответствие требованиям российского или международного законодательства. Аудит может также предназначаться для систематизации и упорядочения существующих мер защиты информации или для расследования произошедшего инцидента, связанного с нарушением информационной безопасности.

Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может стать руководство предприятия, служба автоматизации или служба информационной безопасности. В ряде случаев аудит также проводится по требованию страховых компаний или регулирующих органов. Аудит безопасности выполняется группой экспертов, численность и состав которой зависит от целей и задач обследования, а также от сложности объекта оценки.

Виды аудита безопасности

Можно выделить следующие основные виды аудита информационной безопасности:

  • экспертный аудит безопасности, в ходе которого выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования;
  • оценка соответствия рекомендациям международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии);
  • инструментальный анализ защищенности ИС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы;
  • комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.

Любой из перечисленных видов аудита может проводиться по отдельности или в комплексе, в зависимости от тех задач, которые решает предприятие. В качестве объекта аудита может выступать как ИС компании в целом, так и ее отдельные сегменты, в которых обрабатывается информация, подлежащая защите.

Проведение аудита безопасности

В общем случае аудит безопасности, вне зависимости от формы его проведения, состоит из четырех основных этапов, на каждом из которых выполняется определенный круг работ (см. рисунок).

Основные этапы работ при проведении аудита безопасности.

На первом этапе совместно с заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента - определить границы, в рамках которых будет проводиться обследование. Регламент позволяет избежать взаимных претензий по завершении аудита, поскольку четко определяет обязанности сторон. Как правило, регламент содержит следующую основную информацию:

  • состав рабочих групп от исполнителя и заказчика для проведения аудита;
  • список и местоположение объектов заказчика, подлежащих аудиту;
  • перечень информации, которая будет предоставлена исполнителю;
  • перечень ресурсов, которые рассматриваются в качестве объектов защиты (информационные, программные, физические ресурсы и т. д.);
  • модель угроз информационной безопасности, на основе которой проводится аудит;
  • категории пользователей, которые рассматриваются в качестве потенциальных нарушителей;
  • порядок и время проведения инструментального обследования ИС заказчика.

На втором этапе, в соответствии с согласованным регламентом, собирается исходная информация. Методы сбора информации включают интервьюирование сотрудников заказчика, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств.

Третий этап работ предполагает анализ собранной информации с целью оценки текущего уровня защищенности ИС предприятия. По результатам проведенного анализа на четвертом этапе разрабатываются рекомендации по повышению уровня защищенности ИС от угроз информационной безопасности.

Ниже мы подробнее рассмотрим этапы аудита, связанные со сбором информации, ее анализом и разработкой рекомендаций по повышению уровня защиты ИС.

Сбор исходных данных

Качество аудита безопасности во многом зависит от полноты и точности информации, полученной в процессе сбора исходных данных. Поэтому в нее необходимо включить следующее: организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении ИС, информацию о средствах защиты, установленных в ИС, и т. д. Более подробный перечень исходных данных представлен в табл. 1.

Таблица 1. Перечень исходных данных, необходимых для аудита безопасности

Тип информации Состав исходных данных
Организационно-распорядительная документация по вопросам информационной безопасности
  • политика информационной безопасности ИС;
    руководящие документы (приказы, распоряжения, инструкции) по вопросам хранения, порядка доступа и передачи информации;
    регламенты работы пользователей с информационными ресурсами ИС
Информация об аппаратном обеспечении хостов
  • перечень серверов, рабочих станций и коммуникационного оборудования, установленного в ИС;
  • аппаратные конфигурации серверов и рабочих станций;
  • сведения о периферийном оборудовании
Информация об общесистемном ПО
  • сведения об ОС, установленных на рабочих станциях и серверах;
  • сведения о СУБД, установленных в ИС
Информация о прикладном ПО
  • перечень прикладного ПО общего и специального назначения, установленного в ИС;
  • описание функциональных задач, решаемых с помощью прикладного ПО
Информация о средствах защиты, установленных в ИС
  • производитель средства защиты;
  • конфигурационные настройки средства защиты;
  • схема установки средства защиты
Информация о топологии ИС
  • карта локальной вычислительной сети, включая схему распределения серверов и рабочих станций по сегментам сети;
  • типы каналов связи, используемых в ИС;
  • используемые в ИС сетевые протоколы;
  • схема информационных потоков ИС

Как уже отмечалось выше, для сбора исходных данных применяются следующие методы.

Интервьюирование сотрудников заказчика , обладающих необходимой информацией. Интервью обычно проводятся как с техническими специалистами, так и с представителями руководящего звена компании. Перечень вопросов, которые планируется обсудить в процессе интервью, согласовывается заранее.

Предоставление опросных листов по определенной тематике, которые сотрудники заказчика заполняют самостоятельно. В тех случаях, когда представленные материалы не полностью отвечают на необходимые вопросы, проводится дополнительное интервьюирование.

Анализ организационно-технической документации , используемой заказчиком.

Использование специализированного ПО , которое позволяет получить необходимую информацию о составе и настройках программно-аппаратного обеспечения ИС предприятия. Например, с помощью систем анализа защищенности (security scanners) можно провести инвентаризацию сетевых ресурсов и выявить уязвимости в них. В качестве примеров таких систем можно назвать Internet Scanner компании ISS и XSpider компании Positive Technologies.

Оценка уровня безопасности ИС

После сбора необходимой информации проводится ее анализ с целью оценки текущего уровня защищенности системы. В процессе такого анализа определяются риски информационной безопасности, которым подвержена компания. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять информационным атакам.

Обычно выделяют две основные группы методов расчета рисков безопасности. Первая группа позволяет установить уровень риска путем оценки степени соответствия определенному набору требований к информационной безопасности. В качестве источников таких требований могут выступать:

  • нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности (политика безопасности, регламенты, приказы, распоряжения);
  • требования действующего российского законодательства - руководящие документы ФСТЭК (Гостехкомиссии), СТР-К, требования ФСБ РФ, ГОСТы и т. д.;
  • рекомендации международных стандартов - ISO 17799, OCTAVE, CoBIT, BS 7799-2 и т. д.;
  • рекомендации компаний-производителей программного и аппаратного обеспечения - Microsoft, Oracle, Cisco и т. д.

Вторая группа методов оценки рисков информационной безопасности базируется на определении вероятности реализации атак, а также уровней их ущерба. Значение риска вычисляется отдельно для каждой атаки и в общем случае представляется как произведение вероятности проведения атаки a на величину возможного ущерба от этой атаки - Риск (a) = P(a) . Ущерб (a). Значение ущерба определяется собственником информационного ресурса, а вероятность атаки вычисляется группой экспертов, проводящих процедуру аудита. Вероятность в данном случае рассматривается как мера того, что в результате проведения атаки нарушители достигли своих целей и нанесли ущерб компании.

Методы обеих групп могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности. В первом случае для риска и всех его параметров берутся численные выражения. Например, при использовании количественных шкал вероятность проведения атаки P(a) может выражаться числом в интервале , а ущерб от атаки - задаваться в виде денежного эквивалента материальных потерь, которые может понести организация в случае успешной атаки. При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определенный интервал количественной шкалы оценки. Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков. В табл. 2 и 3 приведены примеры качественных шкал оценки рисков информационной безопасности, в которых для оценки уровней ущерба и вероятности атаки используется пять понятийных уровней.

Таблица 2. Качественная шкала оценки уровня ущерба

Уровень ущерба Описание
1 Малый Незначительные потери материальных активов, которые быстро восстанавливаются, или незначительные последствия для репутации компании
2 Умеренный Заметные потери материальных активов или умеренные последствия для репутации компании
3 Средней тяжести Существенные потери материальных активов или значительный урон репутации компании
4 Большой Большие потери материальных активов и большой урон репутации компании
5 Критический Критические потери материальных активов или полная потеря репутации компании на рынке, что делает невозможным ее дальнейшую деятельность

Таблица 3. Качественная шкала оценки вероятности проведения атаки

Вероятность атаки Описание
1 Очень низкая Атака практически никогда не будет проведена. Соответствует числовому интервалу вероятности
5 Очень высокая Атака почти наверняка будет проведена. Соответствует числовому интервалу вероятности (0,75, 1]

Для вычисления уровня риска по качественным шкалам применяются специальные таблицы, в которых в первом столбце задаются понятийные уровни ущерба, а в первой строке - уровни вероятности атаки. Ячейки же таблицы, расположенные на пересечении соответствующих строк и столбцов, содержат уровень риска безопасности (табл. 4). Размерность таблицы зависит от количества концептуальных уровней вероятности атаки и ущерба.

Таблица 4. Определение уровня риска информационной безопасности по качественной шкале

Вероятность атаки
Ущерб очень низкая низкая средняя высокая очень высокая
Малый Низкий риск Низкий риск Низкий риск Средний риск Средний риск
Умеренный Низкий риск Низкий риск Средний риск Средний риск Высокий риск
Средней тяжести Низкий риск Средний риск Средний риск Средний риск Высокий риск
Большой Средний риск Средний риск Средний риск Средний риск Высокий риск
Критический Средний риск Высокий риск Высокий риск Высокий риск Высокий риск

При расчете значений вероятности атаки, а также уровня возможного ущерба используют статистические методы, экспертные оценки или элементы теории принятия решений. Статистические методы предполагают анализ уже накопленных данных о реально случавшихся инцидентах, связанных с нарушением информационной безопасности. На основе результатов такого анализа строятся предположения о вероятности проведения атак и уровнях ущерба от них в других ИС. Однако статистические методы не всегда удается применить из-за недостатка статистических данных о ранее проведенных атаках на ресурсы ИС, аналогичной той, которая выступает в качестве объекта оценки.

При использовании аппарата экспертных оценок анализируются результаты работы группы экспертов, компетентных в области информационной безопасности, которые на основе имеющегося у них опыта определяют количественные или качественные уровни риска. Элементы теории принятия решений позволяют применять для вычисления значения риска безопасности более сложные алгоритмы обработки результатов работы группы экспертов.

Существуют специализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных и расчета значений рисков при аудите безопасности. Примеры таких комплексов - "Гриф" и "Кондор" компании Digital Security, а также "АванГард", разработанный в Институте системного анализа РАН.

Результаты аудита безопасности

На последнем этапе аудита информационной безопасности разрабатываются рекомендации по совершенствованию организационно-технического обеспечения защиты на предприятии. Такие рекомендации могут включать в себя различные типы действий, направленных на минимизацию выявленных рисков.

Уменьшение риска за счет дополнительных организационных и технических средств защиты, позволяющих снизить вероятность проведения атаки или уменьшить возможный ущерб от нее. Так, установка межсетевых экранов в точке подключения ИС к Интернету существенно снижает вероятность проведения успешной атаки на общедоступные информационные ресурсы ИС - такие, как Web-серверы, почтовые серверы и т. д.

Уклонение от риска путем изменения архитектуры или схемы информационных потоков ИС, что позволяет исключить проведение той или иной атаки. Например, физическое отключение от Интернета сегмента ИС, в котором обрабатывается конфиденциальная информация, позволяет избежать внешних атак на конфиденциальную информацию.

Изменение характера риска в результате принятия мер по страхованию. В качестве примеров изменения характера риска можно привести страхование оборудования ИС от пожара или страхование информационных ресурсов от возможного нарушения их конфиденциальности, целостности или доступности. В настоящее время ряд российских компаний уже предлагают услуги страхования информационных рисков.

Принятие риска , если он уменьшен до того уровня, на котором уже не представляет опасности для ИС.

Обычно рекомендации направлены не на полное устранение всех выявленных рисков, а лишь на их уменьшение до приемлемого уровня. При выборе мер для повышения уровня защиты ИС учитывается одно принципиальное ограничение - стоимость реализации этих мер не должна превышать стоимости защищаемых информационных ресурсов, а также убытков компании от возможного нарушения конфиденциальности, целостности или доступности информации.

В завершение процедуры аудита его результаты оформляются в виде отчетного документа, который предоставляется заказчику. В общем случае этот документ состоит из следующих основных разделов:

  • описание границ, в рамках которых проводился аудит безопасности;
  • описание структуры ИС заказчика;
  • методы и средства, которые использовались в процессе проведения аудита;
  • описание выявленных уязвимостей и недостатков, включая уровень их риска;
  • рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;
  • предложения к плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.

Заключение

Аудит информационной безопасности - один из наиболее эффективных сегодня инструментов для получения независимой и объективной оценки текущего уровня защищенности предприятия от угроз информационной безопасности. Кроме того, результаты аудита дают основу для формирования стратегии развития системы обеспечения информационной безопасности организации. Однако необходимо понимать, что аудит безопасности - не разовая процедура, он должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную отдачу и способствовать повышению уровня информационной безопасности компании.

Большинство современных предприятий и организаций стремятся обезопасить себя от утечки коммерческой информации, однако в век высоких технологий реализовать это крайне сложно. Надёжная защита информации является фундаментом эффективной работы любой организации. Выбор остаётся за Вами - реализовать эффективную модель работы предприятия или терять прибыль, лишаться ценных кадров и дарить своих клиентов конкурентам.

В наши дни существует ряд охранных систем, реализующих информационную безопасность (ИБ), но для того, чтобы проверить эффективность их работы, необходимо проведение аудита безопасности информационных систем, который позволит выявить, ликвидировать бреши внутри структуры организации и предотвратить появление подобных проблем в будущем. Он представляет собой независимую оценку состояния системы на предмет соответствия установленным требованиям, и проводится в отношении налоговой и бухгалтерской отчётности, финансово-хозяйственной деятельности и экономического обеспечения.

Многолетняя практика нашей компании показывает, что формальный подход к информационной «обороне» оборачивается для организаций предельной беззащитностью перед конкретными угрозами. Мы доверяем только практике, тщательно анализируя защищённость бизнес-процессов, обнаруживая уязвимости в системах и давая клиентам объективное представление о них.

Оказание услуг по защите информации от «Зеонит»: наши преимущества

  • Предотвращение хакерских атак. Тысячи хакеров систематически взламывают сервера организаций ради развлечения, корысти или тренировки. Важно своевременно обезопасить предприятие от утечки конфиденциальной информации.
  • Доскональная аналитика. На основе аналитики наши эксперты разрабатывают эффективную стратегию контроля информационных систем. Мы понимаем уязвимости IT-инфраструктур любой специфики и масштаба, и каков бы ни был размер Вашей компании, мы реализуем индивидуальный подход и высококлассную экспертизу с гарантией полной конфиденциальности.
  • Формат «под ключ». Обращаясь к нам, Вы получаете комплексный подход: мы выявляем слабые места внутри информационной системы Вашей компании, возможные проблемы и риски, и на выходе предлагаем готовые пути их ликвидации.
  • Компетентные эксперты. В команде «Зеонит» работают профессионалы в области ИБ, квалификация и опыт работы которых имеет документальное подтверждение. Глубоко погружаясь в логику работы систем, мы обнаруживаем даже самые неочевидные риски и предлагаем варианты их устранения. Именно поэтому наши специалисты предлагают самые эффективные и перспективные решения.
  • Обеспечение ИБ для организации любого уровня. Мы предоставляем услуги как государственным предприятиям и банковским структурам, так и коммерческим организациям, учитывая потребности в каждом отдельном случае.
  • Понятное резюме. Мы формируем отчёт на доступном языке, с подробным описанием рисков и набором практических рекомендаций для технических специалистов компании.
  • Внедрение передовых технологий. В рамках реализации ИБ нашей целью является внедрение самых современных технологий и свежих решений, подтвержденных международными сертификатами. Помимо всего, мы успешно реализуем и собственные разработки.

Стоит помнить, что хорошо защищённая информационная система - это залог успешной и прибыльной работы любого предприятия. Обращайтесь к нам и заказывайте профессиональный аудит уже сегодня.


    Зачем нужен аудит ИБ

    Комплексный аудит ИБ

    Тест на проникновение

    Экспресс аудит ИБ

Зачем нужен аудит информационной безопасности

Информационная безопасность (ИБ) – фундамент любого предприятия, без применения которого невозможно построить надежную структуру организации. Выбор за Вами: получить эталонную защиту, или продолжать дарить клиентов своим конкурентам, терять существенную прибыль и ценные кадры. Аудит информационной безопасности позволит выявить, устранить и предупредить появление брешей внутри структуры Вашего предприятия.

6 причин, доверить проведение аудита нашей компании

Защита от хакерских атак

На скрытых форумах общаются тысячи хакеров, которые взламывают сервера предприятий для забавы, корыстных целей или ради тренировки. Крупные организации подвергаются хакерским атакам регулярно.

Аналитический подход

Наши эксперты проводят глубокий аудит с предоставлением полного отчета по обследованным системам. На основе аналитики разрабатывается наиболее эффективная стратегия обеспечения бесперебойного контроля над безопасной работой с информацией.

Сервис в формате «под ключ»

Обращаясь к нам, Вы получаете исчерпывающий перечень услуг в сегменте ИБ. Выявим слабые места внутри вашей информационной системы, оценим возможные проблемные места, риски и предложим готовые решения для их полного устранения.

Экспертный консалтинг

Получите консультацию ведущих экспертов «ЗЕОНИТ»: оценка возможных проблемных участков и рисков, расчет инвестиций в информационную безопасность, варианты готовых решений, советы по постройке надежной защиты.

Компетентные специалисты

В нашей команде работают ведущие консультанты в сфере информационной безопасности, квалификация которых подтверждена сертификатами. Именно поэтому специалисты «ЗЕОНИТ» предлагают самые эффективные решения.

Полное погружение

Не существует единого стандарта информационной безопасности, поэтому при заказе аудита наши эксперты учитывают особенности именно Вашей организации, чтобы построить защиту действительно эталонного уровня.

Приоритетная направленность наших услуг

Мы работаем с множеством предприятий различного масштаба, как с банками и другими государственными структурами, так и коммерческими организациями.

Обеспечение ИБ для коммерческих организаций

  • Контроль и предоставление сотрудникам доступа различного уровня к данным предприятия;
  • Отслеживание и управление репутацией компании в сети;
  • Создание корпоративной тайны и сбережение корпоративной информации от посягательств конкурентов.

Обеспечение ИБ для госпредприятий и банковских структур

  • Проверка на соответствие ИБ ГОСТ стандартам;
  • Оптимизация технологий под масштабы организации;
  • Оценка экспертами степени безопасности систем автоматизации и менеджмента.

Обеспечение ИБ банковских организаций

  • Системы управления рисками;
  • Создание и приведение к актуальности стандартов под требования Банка России;

Выявление и устранение информационных утечек по вине сотрудников и клиентов

Проведение аудита настоятельно рекомендуется в случаях смены руководства или структуры организации, а также для актуализации требований под действующее законодательство. Необходимо понимать, что хорошо обособленная и защищенная информационная система - это надежная опора любого предприятия. Свяжитесь с нами уже сегодня, и закажите профессиональный аудит ИБ прямо сейчас.

Основной целью нашей организации в рамках внедрения первичных систем безопасности информации, является укоренение передовых технологий по информационной защите внутри бизнес процессов своих клиентов. Для ее исполнения мы используем множество новых и полезных решений, прошедших сертификацию у мировых лидеров по разработке ПО. Кроме того, мы имеем собственные успешные разработки, не уступающие большинству европейских и американских образцов. Специалисты нашей компании ясно понимают, какие именно сегменты рынка безопасности будут востребованы в ближайшие годы, поэтому мы с имеем возможность с уверенностью смотреть в будущее, зная, какие бизнес – процессы не потеряют своей актуальности еще долгое время. Опираясь на наших постоянных партнеров, мы продолжаем развитие нашей компании, точно зная, что всегда сможем принести пользу окружающему миру.

Каждый заказчик получает от нас особое внимание, и мы, учитывая все особенности его бизнеса, предлагаем ему проект, имеющий максимальную эффективность с экономической и технической точки зрения, согласно которому, после согласования, мы строим всю последующую работу.

Согласно концепции комплексного подхода, к решению всех вопросов нашего клиента, мы можем гарантировать и качественный охват всех поставленных задач.

Проведение аудита настоятельно рекомендуется в случаях смены руководства или структуры организации, а также для актуализации требований под действующее законодательство. Защищенная информационная система, это надежная опора любого предприятия. Свяжитесь с нами уже сегодня, и закажите профессиональный аудит ИБ прямо сейчас.

Комплексный аудит информационной безопасности

Когда нужен действительно компетентный аудит информационной безопасности (ИБ), выбирают «ЗЕОНИТ». Наши эксперты проведут полноценную аналитику, объективно оценят степень защищенности систем и дадут экспертное заключение о состоянии инфраструктуры Вашей организации

6 главных причин, почему выбирают нашу компанию

Независимая оценка

Привлечение внешних консультантов компании «ЗЕОНИТ» позволит получить объективную оценку информационной безопасности Вашего предприятия. С нами, Вы узнаете реальную картину состояния инфраструктуры, а также получите ценные рекомендации специалистов.

Экспертный консалтинг

Помимо выявления дыр в системе безопасности, наши эксперты предложат стратегию предотвращения появления новых проблем, а также проконсультируют по внедрению необходимых средств защиты.

Услуги в формате «под ключ»

Комплексный аудит от нашей компании подразумевает проведение пентестов, аналитики состояния информационных систем и онлайн безопасности. В итоге, Вы будете в курсе актуального состояния как внутренних, так и внешних ресурсов информационной безопасности.

Исключительно индивидуальный подход

Мы предлагаем решения, которые адаптированы под реалии и особенности Вашей организации. Состав и специализация наших работ обговариваются с клиентом индивидуально.

Реальные бюджеты

Наши цены на 10-12% ниже среднерыночной стоимости. При этом, в комплекс наших услуг входит оценка и грамотное планирование бюджета на оптимизацию информационной безопасности.

Предлагаем эффективные решения

Разработаем план мероприятий по усовершенствованию безопасности информационных систем, а также предложим эффективные решения по устранению обнаруженных недостатков.

Как проводится комплексный аудит

  • Изучение особенностей организации, исследование действующих методологий и решений информационной безопасности;
  • Аналитика существующей структуры, выявление наиболее значимых компонентов;
  • Оценка конфигурации используемых средств защиты и элементов инфраструктуры, определение соответствия информационной системы актуальным требованиям безопасности;
  • Проведение пентестов;
  • Независимая оценка рисков взлома или сбоя в системе информационной безопасности;
  • Подготовка подробной отчетности о текущем состоянии ИБ;
  • Составление рекомендаций по улучшению степени информационной безопасности, которые могут быть адаптированы под особенности Вашей организации.

Остались вопросы? Свяжитесь с нами прямо сейчас, и Вас СОВЕРШЕННО БЕСПЛАТНО проконсультирует ведущий эксперт компании «ЗЕОНИТ». Спешите, наши цены временно снижены.

Тестирование на проникновение в Москве

Одна из довольно популярных и востребованных услуг в области безопасности информации, которые предоставляет наша компания – так называемое тестирование на проникновение . Это довольно популярная во всём мире услуга, которая заключается в попытке обойти защитный комплекс мер вашей информационной системы с целью выявления ее слабых и уязвимых деталей. На протяжение всего времени тестирования , специалист ведет себя как злоумышленник, пытающийся совершить проникновение к данным клиента. Проще говоря, аудитор ведет санкционированную хакерскую атаку, проверяя тем самым уязвимость системы заказчика к подобным посягательствам извне.

Как правило, совершающий атаку специалист в большинстве случаев добивается своих результатов, проникая в тестируемую внутреннюю сеть компании заказчика. Как показывает практика, порядка 20% уязвимостей высокой степени можно выявить уже в процессе сбора информации о компании из официальных источников, в том числе и из социальных сетей персонала. То есть при отсутствии у большинства сотрудников информационной дисциплины, можно с высокой долей вероятности сказать, что ваша коммерческая тайна несет большие риски. Более сложный, комбинированный тест с применением инженерных средств, является еще более эффективным и дает порядка 70% положительных результатов на проникновение. После окончания проверки все риски и слабые места системы безопасности заносятся в подробный отчёт и демонстрируются заказчику, после чего следует этап исправления ошибок и внедрения инструкций по элементарным основам безопасности.

Сбор, обработка, хранение и использование персональных данных осуществляются во многих сферах деятельности общества и государства. Например, в финансовой и налоговой сфере, при пенсионном, социальном и медицинском страховании, в оперативно-розыскной деятельности, трудовой и других областях общественной жизни.

В различных сферах деятельности под персональными данными понимаются часто не совпадающие наборы сведений. Определения персональных данных содержатся в различных федеральных законах, причем объем сведений определяется в них по разному.

С развитием информационных технологий всё большее значение приобретает защита коммерческой информации, позволяющая компании поддерживать конкурентоспособность своих товаров, организовывать работу с партнерами и клиентами, снижать риски возникновения санкций со стороны регуляторов.

Защитить коммерческую тайну компании и привлечь виновных в разглашении к ответственности возможно, введя режим коммерческой тайны, т. е. приняв правовые, организационные и технические меры по охране конфиденциальности информации.

На сегодняшний день вирусные атаки по-прежнему происходят с пугающей частотой. Самыми эффективными являются атаки, осуществляемые с использованием файлов, открываемых обычными приложениями. Например, вредоносный код может содержаться в файлах Microsoft Word или PDF-документах. Такая атака называется эксплойтом и не всегда определяется обычным антивирусом.

Palo Alto Networks Traps обеспечивает расширенную защиту рабочих станций от целенаправленных вредоносных атак, предотвращает эксплуатацию уязвимостей операционной системы и приложений.

Рекомендации по защите информации при работе в системах ДБО

В последнее время участились случаи мошеннических действий в системах дистанционного банковского обслуживания (ДБО), направленные на хищение секретных ключей пользователей и денежных средств организаций. В статье мы рассмотрели практические меры, необходимые для снижения вероятности кражи денежных средств и привели рекомендации по реагированию на возможные мошеннические действия.

Аудит информационных систем дает актуальные и точные данные о том, как работает ИС. На базе полученных данных можно планировать мероприятия для повышения эффективности предприятия. Практика проведения аудита информационной системы - в сравнении эталона, реальной обстановки. Изучают нормативы, стандарты, регламенты и практики, применимые в других фирмах. При проведении аудита предприниматель получает представление о том, как его фирма отличается от нормальной успешной компании в аналогичной сфере.

Общее представление

Информационные технологии в современном мире развиты исключительно сильно. Сложно представить себе предприятие, не имеющее на вооружении информационные системы:

  • глобальные;
  • локальные.

Именно за счет ИС компания может нормально функционировать и идти в ногу со временем. Такие методологии необходимы для быстрого и полного обмена информацией с окружающей средой, что позволяет компании подстраиваться под изменения инфраструктуры и требований рынка. Информационные системы должны удовлетворять ряду требований, меняющихся по прошествии времени (внедряются новые разработки, стандарты, применяют обновленные алгоритмы). В любом случае информационные технологии позволяют сделать доступ к ресурсам быстрым, и эта задача решается через ИС. Кроме того, современные системы:

  • масштабируемые;
  • гибкие;
  • надёжные;
  • безопасные.

Основные задачи аудита информационных систем - выявление, соответствует ли внедренная ИС указанным параметрам.

Аудит: виды

Очень часто применяется так называемый процессный аудит информационной системы. Пример: внешние специалисты анализируют внедренные системы на предмет отличия от эталонов, изучая в том числе и производственный процесс, на выходе которого - программное обеспечение.

Может проводиться аудит, направленный на выявление того, насколько правильно применяется в работе информационная система. Практику предприятия сравнивают со стандартами производителя и известными примерами корпораций международного масштаба.

Аудит системы информационной безопасности предприятия затрагивает организационную структуру. Цель такого мероприятия - найти тонкие места в кадрах ИТ-отдела и обозначить проблемы, а также сформировать рекомендации по их решению.

Наконец, аудит системы обеспечения информационной безопасности направлен на качественный контроль. Тогда приглашенные эксперты оценивают, в каком состоянии процессы внутри предприятия, тестируют внедренную информационную систему и делают некоторые выводы по полученной информации. Обычно применяется модель TMMI.

Задачи аудита

Стратегический аудит состояния информационных систем позволяет определить слабые места во внедренной ИС и выявить, где применение технологий оказалось неэффективными. На выходе такого процесса у заказчика будут рекомендации, позволяющие устранить недочеты.

Аудит позволяет оценить, как дорого обойдётся внесение изменений в действующую структуру и сколько времени это займет. Специалисты, изучающие действующую информационную структуру компании, помогут подобрать инструментарий для реализации программы улучшений, учитывая особенности компании. По итогам можно также выдать точную оценку, в каком объеме ресурсов нуждается фирма. Проанализированы будут интеллектуальные, денежные, производственные.

Мероприятия

Внутренний аудит информационных систем включает в себя проведение таких мероприятий, как:

  • инвентаризация ИТ;
  • выявление нагрузки на информационные структуры;
  • оценка статистики, данных, полученных при инвентаризации;
  • определение, соответствуют ли требования бизнеса и возможности внедренной ИС;
  • формирование отчета;
  • разработка рекомендаций;
  • формализация фонда НСИ.

Результат аудита

Стратегический аудит состояния информационных систем - это процедура, которая: позволяет выявить причины недостаточной эффективности внедрённой информационной системы; провести прогнозирование поведения ИС при корректировке информационных потоков (числа пользователей, объема данных); предоставить обоснованные решения, помогающие повысить продуктивность (приобретение оборудования, совершенствование внедренной системы, замена); дать рекомендации, направленные на повышение продуктивности отделов компании, оптимизацию вложений в технологии. А также разработать мероприятия, улучшающий качественный уровень сервиса информационных систем.

Это важно!

Нет такой универсальной ИС, которая подошла бы любому предприятию. Есть две распространенных базы, на основе которых можно создавать уникальную систему под требования конкретного предприятия:

  • Oracle.

Но помните, что это лишь основа, не более. Все усовершенствования, позволяющие сделать бизнес эффективным, нужно программировать, учитывая особенности конкретного предприятия. Наверняка придется вводить ранее отсутствовавшие функции и отключать те, которые предусмотрены базовой сборкой. Современная технология аудита банковских информационных систем помогает понять, какие именно особенности должна иметь ИС, а что нужно исключить, чтобы корпоративная система была оптимальной, эффективной, но не слишком «тяжелой».

Аудит информационной безопасности

Анализ, позволяющий выявить угрозы информационной безопасности, бывает двух видов:

  • внешний;
  • внутренний.

Первый предполагает единовременную процедуру. Организует ее руководитель компании. Рекомендовано регулярно практиковать такую меру, чтобы держать ситуацию под контролем. Ряд АО, финансовых организаций ввели требование внешнего аудита ИТ-безопасности обязательным к выполнению.

Внутренний - это регулярно проводимые мероприятия, регламентированные локальным нормативным актом «Положение о внутреннем аудите». Для проведения формируют годовой план (его готовит отдел, ответственный за аудит), утверждает генеральный директор, другой руководитель. ИТ-аудит - несколько категорий мероприятий, аудит безопасности занимает не последнее место по значимости.

Цели

Главная цель аудита информационных систем в аспекте безопасности - это выявление касающихся ИС рисков, сопряженных с угрозами безопасности. Кроме того, мероприятия помогают выявить:

  • слабые места действующей системы;
  • соответствие системы стандартам информационной безопасности;
  • уровень защищенности на текущий момент времени.

При аудите безопасности в результате будут сформулированы рекомендации, позволяющие улучшить текущие решения и внедрить новые, сделав тем самым действующую ИС безопаснее и защищённые от различных угроз.

Если проводится внутренний аудит, призванный определить угрозы информационной безопасности, тогда дополнительно рассматривается:

  • политика безопасности, возможность разработки новой, а также иных документов, позволяющих защитить данные и упростить их применение в производственном процессе корпорации;
  • формирование задач обеспечения безопасности работникам ИТ-отдела;
  • разбор ситуаций, сопряженных с нарушениями;
  • обучение пользователей корпоративной системы, обслуживающего персонала общим аспектам безопасности.

Внутренний аудит: особенности

Перечисленные задачи, которые ставят перед сотрудниками, когда проводится внутренний аудит информационных систем, по своей сути, не аудит. Теоретически проводящий мероприятия лишь в качестве эксперта оценивает механизмы, благодаря которым система обезопасена. Привлеченное к задаче лицо становится активным участником процесса и теряет независимость, уже не может объективно оценивать ситуацию и контролировать ее.

С другой стороны, на практике при внутреннем аудите остаться в стороне практически невозможно. Дело в том, что для проведения работ привлекают специалиста компании, в прочее время занятого другими задачами в сходной области. Это значит, что аудитор - это тот самый сотрудник, который обладает компетенцией для решения упомянутых ранее заданий. Поэтому приходится идти на компромисс: в ущерб объективности привлекать работника к практике, чтобы получить достойный итог.

Аудит безопасности: этапы

Таковые во многом сходны с шагами общего ИТ-аудита. Выделяют:

  • старт мероприятий;
  • сбор базы для анализирования;
  • анализ;
  • формирование выводов;
  • отчетность.

Инициирование процедуры

Аудит информационных систем в аспекте безопасности начинается, когда на это дает отмашку руководитель компании, так как именно начальники - те персоны, которые более прочих заинтересованы в эффективной проверке предприятия. Проведение аудита невозможно, если руководство не поддерживает процедуру.

Аудит информационных систем обычно комплексный. В нем принимает участие аудитор и несколько лиц, представляющих разные отделы компании. Важна совместная работа всех участников проверки. При инициации аудита важно уделить внимание следующим моментам:

  • документальная фиксация обязанностей, прав аудитора;
  • подготовка, согласование плана аудита;
  • документальное закрепление того факта, что сотрудники обязаны оказывать аудитору посильную помощь и предоставлять все запрашиваемые им данные.

Уже в момент инициации проверки важно установить, в каких границах проводится аудит информационных систем. В то время как некоторые подсистемы ИС критичны и требуют особенного внимания, другие таковыми не являются и достаточно маловажны, поэтому допускается их исключение. Наверняка найдутся и такие подсистемы, проверка которых будет невозможна, так как вся информация, хранимая там, конфиденциальна.

План и границы

Перед началом работ формируется список ресурсов, которые предполагается проверить. Это могут быть:

  • информационные;
  • программные;
  • технические.

Выделяют, на каких площадках проводят аудит, на какие угрозы проверяют систему. Существуют организационные границы мероприятия, аспекты обеспечения безопасности, обязательные к учету при проверке. Формируется рейтинг приоритетности с указанием объема проверки. Такие границы, а также план мероприятия утверждаются генеральным директором, но предварительно выносятся темой общего рабочего собрания, где присутствуют начальники отделов, аудитор и руководители компании.

Получение данных

При проведении проверки безопасности стандарты аудита информационных систем таковы, что этап сбора информации оказывается наиболее продолжительным, трудоемким. Как правило, ИС не имеет документации к ней, а аудитор вынужден плотно работать с многочисленными коллегами.

Чтобы сделанные выводы оказались компетентными, аудитор должен получить максимум данных. О том, как организована информационная система, как она функционирует и в каком состоянии находится, аудитор узнает из организационной, распорядительной, технической документации, в ходе самостоятельного исследования и применения специализированного ПО.

Документы, необходимые в работе аудитора:

  • организационная структура отделов, обслуживающих ИС;
  • организационная структура всех пользователей.

Аудитор интервьюирует работников, выявляя:

  • провайдера;
  • владельца данных;
  • пользователя данных.

Для этого нужно знать:

  • основные виды приложений ИС;
  • число, виды пользователей;
  • услуги, предоставляемые пользователям.

Если в фирме есть документы на ИС из перечисленного ниже списка, обязательно нужно предоставить их аудитору:

  • описание технических методологий;
  • описание методик автоматизации функций;
  • функциональные схемы;
  • рабочие, проектные документы.

Выявление структуры ИС

Для корректных выводов аудитор должен располагать максимально полным представлением об особенностях внедренной на предприятии информационной системы. Нужно знать, каковы механизмы безопасности, как они распределены в системе по уровням. Для этого выясняют:

  • наличие и особенности компонентов используемой системы;
  • функции компонентов;
  • графичность;
  • входы;
  • взаимодействие с различными объектами (внешнее, внутреннее) и протоколы, каналы для этого;
  • платформы, примененные для системы.

Пользу принесут схемы:

  • структурная;
  • потоков данных.

Структуры:

  • технических средств;
  • информационного обеспечения;
  • структурных компонентов.

На практике многие из документов готовят непосредственно при проведении проверки. Анализировать информацию можно лишь при сборе максимального объема информации.

Аудит безопасности ИС: анализ

Есть несколько методик, применяемых для анализа полученных данных. Выбор в пользу конкретной основывается на личных предпочтениях аудитора и специфике конкретной задачи.

Наиболее сложный подход предполагает анализировать риски. Для информационной системы формируются требования к безопасности. Они базируются на особенностях конкретной системы и среды ее работы, а также угроз, свойственных этой среде. Аналитики сходятся во мнении, что такой подход требует наибольших трудозатрат и максимальной квалификации аудитора. Насколько хорош будет результат, определяется методологией анализа информации и применимостью выбранных вариантов к типу ИС.

Более практичный вариант предполагает обращение к стандартам безопасности для данных. Таковыми определяется набор требований. Это подходит для различных ИС, так как методика выработана на основе крупнейших фирм из разных стран.

Из стандартов следует, каковы требования безопасности, зависящие от уровня защиты системы и принадлежности ее тому или иному учреждению. Многое зависит от предназначения ИС. Главная задача аудитора - определить корректно, какой набор требований по безопасности актуален в заданном случае. Выбирают методику, по которой оценивают, соответствуют ли стандартам имеющиеся параметры системы. Технология довольно простая, надежная, поэтому распространена широко. При небольших вложениях в результате можно получить точные выводы.

Пренебрегать недопустимо!

Практика показывает, что многие руководители, особенно небольших фирм, а также те, чьи компании работают уже достаточно давно и не стремятся осваивать все новейшие технологии, относятся к аудиту информационных систем довольно халатно, так как просто не осознают важности этой меры. Обычно лишь ущерб бизнесу провоцирует начальство принимать меры по проверке, выявлению рисков и защите предприятия. Иные сталкиваются с тем, что у них крадут данные о клиентуре, у других утечки происходят из баз данных контрагентов или уходит информация о ключевых преимуществах некоего субъекта. Потребители перестают доверять компании, как только случай подвергается огласке, и компания терпит еще больший урон, нежели просто от потери данных.

Если есть вероятность утечки информации, невозможно построить эффективный бизнес, имеющий хорошие возможности сейчас и в будущем. У любой компании есть данные, представляющие ценность для третьих лиц, и их нужно беречь. Чтобы защита была на высочайшем уровне, необходим аудит, выявляющий слабые стороны. В нем нужно учитывать международные стандарты, методики, новейшие наработки.

При аудите:

  • оценивают уровень защиты;
  • анализируют применяемые технологии;
  • корректируют документы по безопасности;
  • моделируют рисковые ситуации, при которых возможна утечка данных;
  • рекомендуют внедрение решений для устранения уязвимостей.

Проводят эти мероприятия одним из трех образов:

  • активный;
  • экспертный;
  • выявляющий соответствие стандартам.

Формы аудита

Активный аудит предполагает оценку системы, на которую смотрит потенциальный хакер. Именно его точку зрения «примеряют» на себя аудиторы - изучают сетевую защиту, для чего применяют специализированное ПО и уникальные методики. Обязателен и внутренний аудит, проводимый также с точки зрения предполагаемого преступника, желающего украсть данные или нарушить работу системы.

При экспертном аудите проверяют, насколько соответствует внедренная система идеальной. При выявлении соответствия стандартам за основу берут абстрактное описание стандартов, с которыми сравнивают имеющийся объект.

Заключение

Корректно и качественно проведенный аудит позволяет получить следующие итоги:

  • минимизация вероятности успешной хакерской атаки, ущерба от нее;
  • исключение атаки, основанной на изменении архитектуры системы и информационных потоков;
  • страхование как средство уменьшения рисков;
  • минимизация риска до уровня, когда таковой вовсе можно не учитывать.

Результатом работы аудитора является составление аудиторского заключения. Для того чтобы иметь основания для выводов по основным направлениям аудиторской проверки, аудитор должен собрать соответствующие доказательства. Информация, собранная и проанализированная аудитором в ходе проверки, служит обоснованием выводов аудитора и называется аудиторскими доказательствами. Собирая аудиторские доказательства, аудитор использует следующие методы:

1. Методы фактического контроля

а) инвентаризация;

б) контрольный обмер.

2. Методы документального контроля

а) формальная проверка;

б) арифметическая проверка;

в) проверка документов по существу.

3. Прочие методы

а) наблюдение;

в) экономический анализ.

Рассмотрим, насколько эффективен каждый из этих методов сбора аудиторских доказательств при проверке основных средств.

Инвентаризация проводится в целях обеспечения достоверности данных бухгалтерского учета и отчетности. Сразу по прибытии в организацию аудитор должен уточнить дату проведения последней инвентаризации. Если инвентаризация основных средств не проводилась более 2-3 лет, то аудитор может потребовать ее проведение, что позволит более качественно провести последовательную проверку и уменьшить аудиторский риск. Аудитор может сам участвовать в проведении инвентаризации или ограничиться наблюдением за ее проведением. Рекомендуется убедиться в наличии наиболее дорогостоящих предметов. Часть имущества может отсутствовать, в этом случае надо проверить, по каким документам, кому и когда оно передано. При использовании работниками какого-либо имущества в домашних условиях стоимость этого имущества (компьютеров, принтеров) может рассматриваться в качестве налогооблагаемой базы (дохода) работников. В том случае, когда при проведении инвентаризации основных средств выясняется, что один из цехов проверяемого экономического субъекта занят иным хозяйствующим субъектом (признаков тому может быть несколько: весит вывеска с наименованием другого экономического субъекта; выпускается продукция, не соответствующая профилю проверяемого экономического субъекта и т.п.), а в составе доходов от внереализационных операций нет статьи “доходы от аренды”, то речь идет о “скрытой аренде” и уклонении от уплаты налогов. Аудитор может сделать вывод о нарушении клиентом законодательства при совершении финансово-хозяйственных операций. Инвентаризация основных средств производится на основании “Методических указаний по инвентаризации имущества и финансовых обязательств” утв. Приказом МФ РФ от 13.06.95 № 49.

Метод контрольного обмера эффективен при проверке затрат на ремонт основных средств. Аудитор может произвести контрольный обмер объемов выполненных работ по ремонту непосредственно на объектах, что позволит дать объективную оценку фактических ремонтных работ и установить сумму необоснованно списанных материалов, а также сумму незаконно выплаченной заработной платы, если при попустительстве отдельных работников организации имело место завышение объемов выполненных работ.

При проведении формальной проверки документов аудитор визуально просматривает первичные документы по учету основных средств, инвентарные карточки, журналы-ордера, расчетные таблицы, форму №5, Главную книгу и др. Необходимо проверить соответствие документов типовым межведомственным формам, правильность заполнения всех реквизитов, наличие неоговоренных исправлений, подчисток, дописок в тексте и цифр, подлинность подписей должностных и материально ответственных лиц, инструкции о порядке заполнения типовых форм годовой бухгалтерской отчетности, карточек подписей должностных лиц.

Метод арифметической проверки предусматривает проверку правильности подсчетов, а также правильности составления алгоритмов расчетов при автоматизации бухгалтерского учета, проверку расчетов сумм амортизации, переоценки основных средств, правильности применения норм амортизации и коэффициентов пересчета. Также сверяются данные аналитических и синтетических счетов, журналов-ордеров, главной книги, баланса, приложения к балансу по ф. №5.

При проверке документов по существу рассматривается законность и целесообразность хозяйственной операции, правильность отнесения на счета и включения в статьи затрат. При реализации основных средств на сторону аудитору необходимо убедиться, что на это есть письменное разрешение руководителя. Если при проверке первичный документ вызывает сомнение, то необходимо получить письменное объяснение у лиц, ответственных за данную сделку, и сделать встречную проверку.

Наблюдение - получение общего представления о возможностях клиента на основании визуального наблюдения. Аудитор наблюдает за тем, как оформляется та или иная операция по учету движения основных средств, заполняются первичные документы и регистры синтетического учета. Однако операции по учету основных средств не так многообразны и часты, особенно на малых предприятиях, поэтому наблюдение как метод аудиторской проверки малоэффективен. Более полную информацию можно получить в результате документальной проверки, опроса сотрудников и экономического анализа.

Методом экономического анализа аудитор пользуется, как правило, при проверке бухгалтерской отчетности, где отражено состояние основных средств (ф.№1, ф.№5). Аудитор может сделать анализ использования организацией основных средств по времени и мощности с учетом специфики производственной деятельности организации, а так же эффективность капиталовложений.

Опрос - получение устной или письменной информации от клиента. Опрос или беседа должны быть проведены со всеми сотрудниками, принимающими участие в учете основных средств и заполнении отчетности. Для того чтобы беседа дала аудитору результаты, она, как и все прочие аудиторские процедуры, должна быть тщательно спланирована. Для этого аудитор составляет заранее вопросник, который включает в себя перечень вопросов, которые аудитор планирует задать сотрудникам организации с вариантами ответов. Вопросник распечатывается в нужном количестве экземпляров, соответствующем составу опрашиваемых специалистов. На каждом экземпляре вопросника проставляется должность, фамилия, имя и отчество лица, с которым будет проведена беседа. По результатам опроса аудитор делает пометки напротив выбранных сотрудниками вариантов ответа и делает вывод о состоянии дисциплины в организации учета основных средств и определяет степень аудиторского риска и глубину последующих процедур по проверке правильности учета основных средств.