Данная услуга предназначена для оценки уровня защищенности отдельных элементов ИТ-инфраструктуры организации. В отличие от комплексного аудита безопасности, обследованию подлежат отдельные сервера либо приложения. По результатам проверки создается аудиторский отчет, содержащий общую оценку уровня защищенности объекта аудита, подробное описание обнаруженных уязвимостей и рекомендации по совершенствованию защиты.
Обычно эта услуга востребована, когда необходимо проверить защищенность критичного для бизнеса приложения. В этом случае проводится комплексное обследование всех элементов ИТ-инфраструктуры, которые непосредственно влияют на безопасность этого приложения.
Бывает, что в компании нет специалистов, имеющих навыки защиты некоторых видов программного обеспечения, эксплуатируемого в организации. Примером такого программного обеспечения могут служить малораспространенные операционные системы (HP-UX, Solaris) или промышленные СУБД типа Oracle. В этом случае аудит необходим, чтобы убедиться в защищенности этого ПО и получить практические рекомендации по обеспечению безопасности ИТ-систем.
Аудит безопасности периметра отдельных объектов ИТ-инфраструктуры организации проводят, решая следующие задачи:
Аудит безопасности можно проводить как силами штатного персонала (внутренний аудит), так и привлекая независимых специалистов (внешний аудит). Ценность внешнего аудита для потенциальных клиентов заключается в следующем:
Проведение аудита безопасности корпоративной информационной системы заказчика осуществляется в четыре этапа:
На данном этапе проводятся организационные мероприятия по подготовке проведения аудита:
Иногда для проведения аудита необходим доступ к информации, которую заказчик считает конфиденциальной. В этом случае параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.
На данном этапе проводится обследование заданного объекта аудита. Работы этапа включают:
Собранные в результате обследования данные являются основой для последующих этапов аудита: анализа рисков и разработки рекомендаций.
Проведение данного этапа является важной стадией при аудите информационной безопасности. В процессе анализа рисков проводится оценка критичности идентифицированных уязвимых мест и возможности их использования потенциальным злоумышленником для осуществления несанкционированных действий.
При анализе рисков осуществляется:
На основании информации, полученной в ходе обследования заданного объекта аудита и результатов анализа рисков, разрабатываются рекомендации по совершенствованию защиты объекта, применение которых позволит минимизировать риски, с приложением списка конкретных уязвимостей.
По завершении аудита подготавливается итоговый отчет, содержащий оценку текущего уровня безопасности заданного объекта аудита, информацию об обнаруженных проблемах, анализ соответствующих рисков и рекомендации по их устранению.
Результатом аудита безопасности внешнего периметра корпоративной сети является аудиторский отчет. Общая структура отчета: