Аудит информационных систем и оценка их защищенности

Гарантия качественного проведения независимого аудита информационных систем на предмет взлома и наличия уязвимостей – это грамотные, прошедшие специальное обучение специалисты, их умение применять знания в реальных условиях и значительный опыт проведения ООО «МАСКОМ-Техлайн» таких работ.

Основные мероприятия аудита это:

  • анализ используемых средств защиты и разработанной организационно-распорядительной документации;
  • определение экономически значимых для предприятия ресурсов и проектирование системы защиты;
  • проведение тестов на проникновение (penetration testing) и на безопасность используемых предприятием информационных ресурсов и систем;
  • составление отчетов по обнаруженным уязвимостям и угрозам.

Такой аудит, в зависимости от поставленных задач, может быть нескольких видов:

  • экспертный аудит безопасности, задачей которого является выявление недостатков в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования;
  • оценка соответствия рекомендациям международных стандартов, а также требованиям руководящих документов ФСТЭК России (Гостехкомиссии России);
  • инструментальный анализ защищенности корпоративной сети, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы.

Любой из перечисленных видов аудита может проводиться по отдельности или в комплексе, в зависимости от тех задач, которые решает предприятие. В качестве объекта аудита может выступать, как корпоративная информационная система компании в целом, так и ее отдельные сегменты, в которых обрабатывается информация, подлежащая защите.

Справочно:

Исследования Positive Technologies систем крупных государственных и коммерческих компаний показали неутешительные результаты:

  • 94% исследованных систем содержали уязвимости, позволяющие получить полный контроль над отдельными критически важными ресурсами – Active Directory, системами управления проектами и компанией, электронной почтой, системами управления серверным и сетевым оборудованием;

Нередки и случаи передачи конкурентам коммерческой тайны, финансовых документов и клиентских баз неблагонадежными сотрудниками за материальное вознаграждение, что значительно повлияло на позиции компании на рынке.

Аудит информационных систем и оценка их защищенности