Внутренний аудит безопасности банковской системы

Внутренний аудит безопасности банковской системы проводится от лица нарушителя, имеющего доступ к банковской системе изнутри. В ходе аудита будет проверена правильность выдачи прав доступа сотрудникам, сетевые настройки.

Наши специалисты могут проводить тестирование на проникновение в трех форматах: «черный», «серый» и «белый ящик», выбор формата проведения зависит от пожеланий заказчика.

В формате «черный ящик» заказчик предоставляет только внешние домены, доступные из сети интернет. Далее наши специалисты осуществляют поиск связанных IP-адресов, сайтов и подсетей дочерних фирм, предприятий, сервисов компании-заказчика.

«Серый ящик» – заказчик на свое усмотрение предоставляет вводные данные о структуре компании, но не дает полное описание всей структуры компании и ее дочерних предприятий.

«Белый ящик» – заказчик до начала работ предоставляет следующую информацию об элементах инфраструктуры, входящих в границы проекта:

  • список IP-адресов (диапазонов IP-адресов) целевых систем;
  • список доменных имен целевых систем;
  • описание конфигурационных особенностей целевых систем, если это может оказать значение для хода и результата исследования.

В ходе внутреннего аудита безопасности банковской системы проводятся следующие работы:

— актуализация информации о рабочих станция сотрудников, серверных станций, базах данных, внутренних сервисах. Выявляются устаревшие, забытые, не авторизованные администратором тестовые сервисы, через которые нарушитель может атаковать систему компании;

— проверка уровней доступа сотрудников к критической информации, бухгалтерской отчетности, документообороту, переписке;

— проверка работоспособности и эффективности средств защиты данных, в частности путем изучения их работы в момент совершения несанкционированных действий в отношении ресурсов компании;

— поиск возможностей получения доступа к закрытым областям внутренней сети, ее сегментам.

— выявление скомпрометированных учетных данных и незащищенного удаленного доступа к внутренней сети компании;

— поиск утечек персональных данных сотрудников компании-заказчика, в частности адресов электронных почт и связанных с ними паролей;

— тестирование системы резевного копирования;

— проверка работы системы логирования событий;

— проверка возможности перехвата и подмены трафика;

— тестирование периферийных устройств (МФУ, АТС, вендинговые автоматы, СКУД, камеры видеонаблюдения, публичный и внутренний Wi-Fi);

— проверка информированности сотрудников о внутренних правилах ИБ.

Список услуг может изменяться в соответствии с пожеланиями и ограничениями заказчика.

Результатом аудита является отчет об имеющихся недостатках в безопасности системы и рекомендации по их устранению.

Прокрутить вверх