Аудит информационной безопасности представляет собой комплекс организационно-технических мероприятий, включающих исследование всех аспектов обеспечения информационной безопасности в организации, проводимых независимыми экспертами по согласованному с заказчиком плану, в соответствии с выбранной методикой и критериями.

Обследование (аудит) существующей системы информационной безопасности позволит установить, соответствует ли уровень безопасности информационно-технологических ресурсов компании выдвигаемым требованиям, т.е. обеспечиваются ли необходимые параметры конфиденциальности, целостности и доступности ресурсов информационной системы.

Аудит включает в себя следующие последовательные этапы выполнения работ:

• Инициирование и планирование;
• Обследование, документирование и сбор информации;
• Анализ полученных данных и уязвимостей;
• Выработка рекомендаций;
• Подготовка отчетных документов.

Услуги компании "МУРАВА" в области аудита информационной безопасности

Компания "МУРАВА" работает на рынке услуг для Малого Бизнеса. Предлагаемый нами набор услуг  в области аудита безопасности информационных систем учитывает специфику малого бизнеса и включает в себя:

• Анализ защищенности внешнего периметра корпоративной сети;
• Анализ защищенности внутренней ИТ-инфраструктуры организации;
• Анализ рисков информационной безопасности.

Анализ защищенности внешнего периметра корпоративной сети

Целью аудита внешнего периметра корпоративной сети является оценка уровня защищенности ИС организации от атак со стороны сети Интернет. Такая оценка производится как методом эмуляции действий потенциального злоумышленника по осуществлению удаленных атак (Penetration test), так и путем анализа конфигурации средств защиты периметра сети. Для выполнения проверок используется большой арсенал современных средств сетевого сканирования.

Существует возможность осуществления проверок в удаленном режиме без выезда к Заказчику. По результатам проверок создается аудиторский отчет, содержащий общую оценку уровня защищенности периметра сети, подробное описание обнаруженных уязвимостей и рекомендации по совершенствованию защиты.

Анализ защищенности внутренней ИТ-инфраструктуры организации

Анализ защищенности внутренней ИТ-инфраструктуры организации предполагает проведение полного комплекса мероприятий по техническому аудиту, включая:

• Анализ конфигурационных файлов маршрутизаторов, МЭ, почтовых серверов, DNS серверов и других критичных элементов сетевой инфраструктуры;
• Анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств и списков проверки;
• Сканирование хостов, входящих в состав ЛВС.

Перечисленные методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты, реализуемых при помощи богатого арсенала средств анализа защищенности, включающего в себя: сетевые сканеры, анализаторы параметров защиты, взломщики паролей и специализированные программные агенты.

Анализ рисков информационной безопасности

Анализ рисков информационной безопасности позволяет идентифицировать имеющиеся угрозы, оценить вероятность их успешного осуществления, возможные последствия для организации и правильно расставить приоритеты при реализации контрмер. Процесс анализа рисков включает в себя выполнение следующих основных задач:

• Анализ ресурсов ИС, включая информационные ресурсы, программные и технические средства, людские ресурсы, и построение модели ресурсов, учитывающей их взаимозависимости;
• Анализ бизнес процессов и групп задач, решаемых ИС, позволяющий оценить критичность ресурсов ИС, с учетом их взаимозависимостей;
• Идентификация угроз безопасности в отношении ресурсов ИС и уязвимостей защиты, делающих возможным осуществление этих угроз;
• Оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации;
• Определение величины рисков и их ранжирование.

Для решения перечисленных задач используются количественные и качественные методики, а также специализированный программный инструментарий. На основе проводимого анализа разрабатывается система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.

Применяемые средства и технологии

Для анализа и оценки рисков мы применяем инструменты оценки риска "Microsoft Security Assessment Tool" (MSAT) и "ГРИФ" (инструментарий оценки риска компании Digital Security).

Microsoft Security Assessment Tool

Microsoft Security Assessment Tool - это вопросник по безопасности, составленный с целью проведения исследования. Кроме оценки технологических аспектов, средство MSAT предназначено также для оценки персонала и процессов, требующих вмешательства со стороны человека. Вопросы, входящие в ту часть средства, которая посвящена исследованию, и соответствующие им ответы выбраны на основе широко распространенных передовых методик в области безопасности, как общих, так и по конкретным направлениям. Вопросы и рекомендации, предлагаемые средством, основаны на стандартах ISO 17799 и NIST-800.x, а также на рекомендациях и предписывающих инструкциях корпорации Microsoft и других компетентных внешних источников по вопросам безопасности.

ГРИФ 2006

"ГРИФ 2006" - инструмент для анализа защищенности ресурсов информационной системы и эффективного управления рисками. Инструментарий разработан одной из ведущих Российских компаний - Digital Security (http://www.dsec.ru), работающей в области информационной безопасности.