Защита электронного банкинга

Надежные решения в области аутентификации, электронной подписи
Информационная безопасность

Комплекс программных средств эффективной защиты конечных точек - Lumension
Инструментальный анализ (аудит)

Комплексный технический анализ корпоративных информационных систем

Главная → Инструментальный аудит

Инструментальный аудит

12 мая 2017

инструментальный анализ (аудит) в Алматы Инструментальный аудит информационной безопасности (далее – ИБ) позволяет получить объективную и независимую оценку эффективности ряда ключевых процессов обеспечения ИБ в Компании, определить уровень защищённости ее информационных активов, а так же определить ряд приоритетных мер по улучшению данных процессов для снижения существующих рисков ИБ.

Целями проведения инструментального обследования ИБ являются:

получение объективных данных о текущем состоянии обеспечения информационной безопасности корпоративной информационной системы Компании (в том числе от внешних угроз со стороны потенциальных злоумышленников);
разработка рекомендаций по повышению уровня информационной безопасности корпоративной информационной системы.

Первым шагом при выполнении работ, совместно с уполномоченными представителями Компании, определяются границы проведения аудита ИБ. Для определения границ проведения аудита ИБ идентифицируются подлежащие аудиту активы Компании. После их идентификации определяется их физическое и логическое местоположения, и на основании полученной информации производится:

определение физической области аудита (список и местоположение объектов Заказчика, подлежащих аудиту);
определение логической области аудита (например, названия подсетей, диапазоны IP адресов и т.д.);

В целях обеспечения конфиденциальности информации перед началом первого этапа подписывается соглашения о неразглашении конфиденциальной информации.

Инструментальный анализ защищённости проводится для выявления технологических уязвимостей в программно-аппаратном обеспечении автоматизированных систем (далее – АС) Компании.

Технологические уязвимости обусловлены наличием ошибок в программно-аппаратном обеспечении АС, использование которых нарушителем может привести к успешной реализации атаки. Примерами технологических уязвимостей являются уязвимости типа «buffer overflow» (переполнение буфера), «SQL Injection» (модификация SQL-запроса) или «format string» (форматирующая строка).

В процессе инструментального обследования используются специализированные программные средства. Сетевое сканирование реализуется в два основных этапа. На первом этапе осуществлялся сбор исходной информации о хосте, включающей в себя перечень открытых портов, список пользователей, зарегистрированных на хосте, информацию о типе сетевых служб, запущенных на хосте и т.д. На втором этапе проводится поиск уязвимостей в тех сетевых службах, информация о которых была собрана на первом этапе.

В рамках инструментального аудита также проводится анализ конфигурационных настроек общесистемного и прикладного программного обеспечения АС. Данный аудит направлен на выявление эксплуатационных уязвимостей, к которым относятся ошибки в настройке программного или аппаратного обеспечения АС. В качестве примеров уязвимостей этого типа можно привести использование нестойких к угадыванию паролей, отсутствие модулей обновления, некорректную конфигурацию сетевых служб и т.д.

В процессе проведения инструментального аудита ИБ проводится базовая оценка следующих процессов обеспечения ИБ:

управление аутентификацией и парольная защита;
криптографическая защита и управление ключами;
управление конфигурациями;
управление уязвимостями.

ТОО «NewWayTechnologies» готова силами своих аудиторов провести обследование корпоративной информационной системы заказчика и подготовить аналитический отчет с рекомендациями по модернизации сети передачи данных, настройки сетевого оборудования, серверной инфраструктуры, подсистем резервирования.

Инструментальный аудит в Алматы

Источник: dialognauka.ru

← Вернуться