Как мы проводим аудиты безопасности

Аудит безопасности информационных систем — это процесс оценки системы защиты информации на предмет соответствия стандартам и требованиям безопасности, а также выявления уязвимостей и возможных угроз безопасности.

Цели проведения аудита

Основной целью проведения аудита безопасности является выявление уязвимостей в системе защиты информации и предотвращение возможных угроз безопасности. Кроме того, аудит также позволяет определить эффективность системы защиты, а также проверить соответствие информационных систем законодательству и стандартам безопасности.

Стандарты безопасности

При проведении аудитов используются стандарты безопасности. Разделить стандарты можно на российские и зарубежные.

К российским относятся ГОСТ Р ИСО/МЭК 15408, регулирующий разработку продуктов и систем с функциями безопасности.

ГОСТ Р 57580-2017 — национальный стандарт безопасности банковских и финансовых операций. Стандарт является обязательным для всех кредитных и некредитных финансовых организаций.

Одним из часто применяемыз зарубежных стандартов является ISO/IEC 27001, который определяет требования к системе управления информационной безопасностью и содержит список мер, которые должны быть реализованы для обеспечения безопасности информационных систем.

Стандарт PCI DSS предназначен для защиты данных платежных карт и актуален для всех компаний, работающих с большими объемами таких данных.

Этапы проведения аудита

Если обобщить, то процесс аудита безопасности состоит из нескольких этапов:

  1. Подготовительный этап. На этом этапе обсуждаются волнующие как заказчика услуги, так и исполнителя вопросы, выбирается режим проведения аудита: «белый», «серый» или «черный ящик», определяются цели и задачи аудита, определяется стоимость, составляется договор с компанией-исполнителем, подписывается NDA.
  2. Сбор информации. На этом этапе сотрудники исполнителя собирают информацию о системе защиты информации, изучают документацию, протоколы и журналы системы, а также проводят интервью с сотрудниками, ответственными за информационную безопасность.
  3. Анализ собранной информации. На этом этапе аудиторы анализируют собранную информацию и оценивают эффективность системы защиты информации.
  4. Проверка соответствия законодательству и стандартам, если необходимо. На этом этапе проводится проверка соответствия системы защиты информации законодательству и стандартам безопасности.
  5. Поиск уязвимостей и ошибок конфигурации. На этом этапе аудиторы выявляют уязвимости и возможные угрозы безопасности системы защиты информации.
  6. Составление рекомендаций по устранению обнаруженных уязвимостей и повышению защищенности системы заказчика.
  7. Подготовка отчета. По результатам аудита составляется отчет, в котором указываются выявленные уязвимости и возможные угрозы безопасности, даются рекомендации по устранению каждой их них. А также даются общие рекомендации по улучшению системы защиты.

По окончании аудита компания-заказчик получает отчет об обнаруженных недостатках безопасности. Следом стоит ознакомить с отчетом тех, кто будет отвечать за исправление недостатков.

Внедрение рекомендаций по улучшению безопасности

Внедрение рекомендаций — это задача заказчика. Для каждой обнаруженной уязвимости или недостатка безопасности исполнитель дает информацию по исправлению. Пренебрежение рекомендациями не лучшее решение, так как в таком случае уязвимости в системе продолжат свое существование и рано или поздно о них сможет узнать злоумышленник. Тогда уже будет поздно следовать рекомендациям.

Заключение

Прохождение аудита может быть чистой формальностью для галочки, а может действительно сделать систему вашей компании безопаснее и устойчивее перед угрозами информационной безопасности. Каким будет аудит вашей компании — решать только вам, а мы предлагаем максимально качественную и честную работу, направленную на благо заказчика.

Больше на OWNR Security

Оформите подписку, чтобы продолжить чтение и получить доступ к полному архиву.

Continue reading

Прокрутить вверх