Внутренний аудит безопасности банковской системы
Внутренний аудит безопасности банковской системы проводится от лица нарушителя, имеющего доступ к банковской системе изнутри. В ходе аудита будет проверена правильность выдачи прав доступа сотрудникам, сетевые настройки.
Наши специалисты могут проводить тестирование на проникновение в трех форматах: «черный», «серый» и «белый ящик», выбор формата проведения зависит от пожеланий заказчика.
В формате «черный ящик» заказчик предоставляет только внешние домены, доступные из сети интернет. Далее наши специалисты осуществляют поиск связанных IP-адресов, сайтов и подсетей дочерних фирм, предприятий, сервисов компании-заказчика.
«Серый ящик» – заказчик на свое усмотрение предоставляет вводные данные о структуре компании, но не дает полное описание всей структуры компании и ее дочерних предприятий.
«Белый ящик» – заказчик до начала работ предоставляет следующую информацию об элементах инфраструктуры, входящих в границы проекта:
- список IP-адресов (диапазонов IP-адресов) целевых систем;
- список доменных имен целевых систем;
- описание конфигурационных особенностей целевых систем, если это может оказать значение для хода и результата исследования.
В ходе внутреннего аудита безопасности банковской системы проводятся следующие работы:
— актуализация информации о рабочих станция сотрудников, серверных станций, базах данных, внутренних сервисах. Выявляются устаревшие, забытые, не авторизованные администратором тестовые сервисы, через которые нарушитель может атаковать систему компании;
— проверка уровней доступа сотрудников к критической информации, бухгалтерской отчетности, документообороту, переписке;
— проверка работоспособности и эффективности средств защиты данных, в частности путем изучения их работы в момент совершения несанкционированных действий в отношении ресурсов компании;
— поиск возможностей получения доступа к закрытым областям внутренней сети, ее сегментам.
— выявление скомпрометированных учетных данных и незащищенного удаленного доступа к внутренней сети компании;
— поиск утечек персональных данных сотрудников компании-заказчика, в частности адресов электронных почт и связанных с ними паролей;
— тестирование системы резевного копирования;
— проверка работы системы логирования событий;
— проверка возможности перехвата и подмены трафика;
— тестирование периферийных устройств (МФУ, АТС, вендинговые автоматы, СКУД, камеры видеонаблюдения, публичный и внутренний Wi-Fi);
— проверка информированности сотрудников о внутренних правилах ИБ.
Список услуг может изменяться в соответствии с пожеланиями и ограничениями заказчика.
Результатом аудита является отчет об имеющихся недостатках в безопасности системы и рекомендации по их устранению.