?> Аудит IT-безопасности | Hide Consulting

Аудит IT-безопасности

Проверка информационной безопасности и защиты, разработка политик безопасности

Аудит IT-безопасности — это независимая оценка текущего состояния информационной безопасности системы, которая устанавливает уровень ее соответствия определенным критериям, и предоставление результатов в виде рекомендаций. Аудит IT-безопасности позволяет получить наиболее полную и объективную оценку защищенности информационной системы, локализовать имеющиеся проблемы и разработать эффективную программу построения системы обеспечения IT-безопасности организации.

В рамках аудита IT-безопасности или отдельным проектом может быть проведен тест на проникновение, позволяющий проверить способность Аудит IT-безопасности компании противостоять попыткам проникновения в сеть и неправомочного воздействия на информацию.

В каких случаях требуется аудит IT-безопасности:

  • выросла компания, увеличилось количество сервисов и участников сети;
  • произошла утечка конфиденциальной информации, необходимо устранить «дыры» в информационной безопасности;
  • в штате организации нет сотрудников, ответственных за информационную безопасность.

Аудит IT-безопасности проводится, чтобы:

  • понять, насколько реально защищена информация на данный момент, и получить рекомендации по дальнейшей работе;
  • оценить информационную систему предприятия на соответствие отраслевым стандартам, например СТО БР ИББС, PCI DSS и т.д.

Результат аудита IT-безопасности:

  • документ, содержащий оценку соответствия текущего уровня информационной безопасности на предприятии нормативным документам;
  • перечень рекомендаций по приведению информационной системы предприятия в соответствие требованиям и нормам в области информационной безопасности.

Комплекс услуг

1.  Анализ документации на соответствие  нормами и требованиям, прописанным в законодательстве

  • разработка политик безопасности;
  • разработка организационно-распорядительной документации.

2.  Анализ защищенности сети

  • выявление того, насколько текущие меры защиты корпоративной сети соответствуют требованиям лучших мировых практик в области информационной безопасности.

3.  Моделирование угроз

  • определение угроз;
  • описание каналов утечки информации;
  • анализ поведения злоумышленника при взломе;
  • тестирование защищенности сети с помощью автоматических сканеров либо пентеста.

4. Рекомендации по предотвращению нарушений.

Аудит IT-безопасности может включать:

  • Тестирование на проникновение (тесты на преодоление защиты, penetration testing, pentest, пентест) является популярной во всем мире услугой в области информационной безопасности. Суть таких работ заключается в санкционированной попытке обойти существующий комплекс средств защиты информационной системы. В ходе тестирования аудитор выполняет роль злоумышленника, мотивированного на нарушение информационной безопасности сети заказчика.
  • Проверка сайта на уязвимости осуществляется путем тестирования на устойчивость к комбинированным методам атак и основана на методологиях OWASP, WASC, OSSTMM, а также лучших практиках и рекомендациях стандарта PCI DSS. Все работы подкрепляются обширным практическим опытом специалистов.
  • Комплекс услуг по расследованию киберпреступлений.
  • Нагрузочное тестирование  — необходимо для определения или сбора показателей производительности и времени отклика программно-технической системы или устройства в ответ на внешний запрос с целью установления соответствия требованиям, предъявляемым к данной системе (устройству).