Главная / Решения и услуги / Обеспечение информационной безопасности / Аудит информационной безопасности и Аттестация по требованиям информационной безопасности

Аудит информационной безопасности и Аттестация по требованиям информационной безопасности

Аудит информационной безопасности — независимая экспертная оценка защищенности информационной системы с учетом специфики конкретного предприятия. Стратегия информационной безопасности определяет направления развития в ИБ в соответствии с задачами бизнеса и целями развития ИТ.

Основными целями аудита являются

Анализ рисков
информационной безопасности

Анализ и оценка текущего уровня защищенности

Оценка соответствия законодательству и существующим стандартам в области информационной безопасности

Разработка рекомендаций по повышению эффективности существующих и внедрению новых систем информационной безопасности

Аттестация объекта информатизации по требованиям безопасности – завершающая стадия ввода в действие системы защиты информации, которая выступает подтверждением эффективности комплекса мер и средств защиты информации, а также определяет конкретные условия эксплуатации информационной системы.

Аттестация объекта информатизации проводится:

  • на соответствие требованиям, утвержденным приказом ФСТЭК России от 11.02.2013 г. № 17;
  • на соответствие требованиям, утвержденным приказом ФСТЭК России от 18.02.2013 г. № 21;
  • на соответствие требованиям, утвержденным приказом ФСТЭК России от 14.03.2014 г. № 31;
  • на соответствие требованиям, утвержденным приказом ФСТЭК России от 25.12.2017 г. № 239.

Анализ защищенности инфраструктуры заказчика

Проведение контроля защищенности корпоративной сети позволит оценить уровень безопасности корпоративной сети организации, в том числе внешних сервисов, доступных из сети Интернет. Контроль защищенности внешнего периметра корпоративной сети проводится регулярно, с заданной периодичностью. По результатам работ оформляется отчет, содержащий описание обнаруженных уязвимостей по каждому IP-адресу, а также рекомендации по ликвидации уязвимостей и совершенствованию системы защиты. Инструментальный анализ защищенности внутренней ИТ-инфраструктуры организации направлен на выявление уязвимостей корпоративной сети, делающих возможным реализацию сетевых атак на информационные ресурсы и ИТ-инфраструктуру организации со стороны возможных злоумышленников.

Анализ защищенности инфраструктуры заказчика включает

Определение типов и версий устройств, ОС, сетевых сервисов и приложений по реакции на внешнее воздействие

Идентификацию уязвимостей серверов, сетевого оборудования и сетевых средств защиты

Моделирование атак в отношении целевых систем с использованием специализированных средств и сведений об известных уязвимостях

Идентификация уязвимостей включает в себя, в том числе анализ конфигурации по спискам проверки на соответствие техническим стандартам и рекомендациям производителей, а также проверки, определяемые спецификой конкретных систем

Идентификацию уязвимостей для всех хостов, доступных (или ставших доступными в ходе работ) из сети Интернет (в том числе, сервисов HTTP и DNS, VPN-сервисов, web-приложений, сервисов электронной почты, системных и прикладных сервисов). Производится выявление как уязвимостей, связанных с некорректной реализацией, так и уязвимостей, связанных с некорректной конфигурацией сетевых сервисов, ОС, приложений, сетевых устройств и средств защиты