Аудит, создание, поддержка IT-инфраструктур

Аудит безопасности отдельных объектов ИТ-инфраструктуры

Данная услуга предназначена для оценки уровня защищенности отдельных элементов ИТ-инфраструктуры организации. В отличие от комплексного аудита безопасности, обследованию подлежат отдельные сервера либо приложения. По результатам проверки создается аудиторский отчет, содержащий общую оценку уровня защищенности объекта аудита, подробное описание обнаруженных уязвимостей и рекомендации по совершенствованию защиты.

Когда (в каких случаях) эта услуга востребована?

Обычно эта услуга востребована, когда необходимо проверить защищенность критичного для бизнеса приложения. В этом случае проводится комплексное обследование всех элементов ИТ-инфраструктуры, которые непосредственно влияют на безопасность этого приложения.

Бывает, что в компании нет специалистов, имеющих навыки защиты некоторых видов программного обеспечения, эксплуатируемого в организации. Примером такого программного обеспечения могут служить малораспространенные операционные системы (HP-UX, Solaris) или промышленные СУБД типа Oracle. В этом случае аудит необходим, чтобы убедиться в защищенности этого ПО и получить практические рекомендации по обеспечению безопасности ИТ-систем.

Какие задачи решает?

Аудит безопасности периметра отдельных объектов ИТ-инфраструктуры организации проводят, решая следующие задачи:

Какие преимущества эта услуга дает заказчику?

  1. Специалисты нашей компании имеют значительный опыт работы как с разнообразными операционными системами (Windows, HP-UX, Solaris, Linux, BSD, QNX), так и с огромным количеством разного серверного ПО. Это позволяет нам одинаково уверенно собирать и анализировать конфигурационную информацию независимо от архитектуры эксплуатируемой системы.
  2. Так как эта услуга нацелена на обследование отдельных информационных ресурсов, а не всей ИТ-инфраструктуры, то сроки проведения аудита меньше, и заказчик быстрее получает готовый результат.
  3. Результаты аудита содержат практические рекомендации по устранению уязвимостей безопасности. Поэтому проведение аудита дает возможность быстро повысить уровень защищенности ИТ-инфраструктуры, не тратя время и деньги на обучение штатных специалистов.

Аудит безопасности можно проводить как силами штатного персонала (внутренний аудит), так и привлекая независимых специалистов (внешний аудит). Ценность внешнего аудита для потенциальных клиентов заключается в следующем:

  1. Аудит представляет собой независимое исследование, что повышает степень объективности результатов.
  2. Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт подобной работы, нежели штатные сотрудники организации.
  3. Дешевле поручить выполнение работ по аудиту специализированной организации, чем организовывать их самостоятельно.

Описание услуги

Проведение аудита безопасности корпоративной информационной системы заказчика осуществляется в четыре этапа:

  1. Постановка задачи и уточнение границ работ
  2. Сбор и анализ информации
  3. Проведение анализа рисков
  4. Разработка рекомендаций и подготовка отчета

Постановка задачи и уточнение границ работ

На данном этапе проводятся организационные мероприятия по подготовке проведения аудита:

Иногда для проведения аудита необходим доступ к информации, которую заказчик считает конфиденциальной. В этом случае параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.

Сбор и анализ информации

На данном этапе проводится обследование заданного объекта аудита. Работы этапа включают:

Собранные в результате обследования данные являются основой для последующих этапов аудита: анализа рисков и разработки рекомендаций.

Проведение анализа рисков

Проведение данного этапа является важной стадией при аудите информационной безопасности. В процессе анализа рисков проводится оценка критичности идентифицированных уязвимых мест и возможности их использования потенциальным злоумышленником для осуществления несанкционированных действий.

При анализе рисков осуществляется:

Разработка рекомендаций и подготовка отчета

На основании информации, полученной в ходе обследования заданного объекта аудита и результатов анализа рисков, разрабатываются рекомендации по совершенствованию защиты объекта, применение которых позволит минимизировать риски, с приложением списка конкретных уязвимостей.

По завершении аудита подготавливается итоговый отчет, содержащий оценку текущего уровня безопасности заданного объекта аудита, информацию об обнаруженных проблемах, анализ соответствующих рисков и рекомендации по их устранению.

Результат

Результатом аудита безопасности внешнего периметра корпоративной сети является аудиторский отчет. Общая структура отчета:

АКЦИЯ!

Акция! Бесплатный аудит!
Отзывы наших клиентов