Оценка уровня ИБ

Группа компаний "ИнфоКуб" на высокопрофессиональном уровне проводит следующие виды аудита:

  • комплексный аудит информационной безопасности;
  • аудит по персональным данным ПД (подробнее - аудит по ПД);
  • аудит по критической информационной инфраструктуре КИИ (подробнее - аудит по КИИ);
  • аудит по общему регламенту по защите данных GDPR (подробнее - аудит по GDPR).

Заказ услуг: +7 (342) 254-04-44       SALE@INFOKUBE.RU

 

Комплексный аудит информационной безопасности

Это исследование текущего состояние ИБ в организации, получение объективной оценки уровня ее защищенности, оценка внутренних и внешних ресурсов, разработка рекомендаций по совершенствованию системы защиты. Включает в себя:

- назначение и распределение ролей ИБ, управление и контроль доступа;

- оценка реализации антивирусной защиты;

- оценка возможности перехода на свободное программное обеспечение (*nix системы);

- оценка политики использования ресурсов сети Интернет;

- оценка использования средств защиты информации и средств криптографической защиты информационных ресурсов;

- оценка работы системы управления информационной безопасностью, систем мониторинга информационной безопасности;

- оценка безопасности используемых информационных систем;

- аудит процессов управления информационными активами;

- аудит WEB-приложений;

- аудит процессов обеспечения физической безопасности и др.

Осуществляется с использованием различных методик:

CRAMM (UK Government Risk Analysis and Management Method);

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation SM);

NIST SP800-30 (Risk Management Guide for Information Technology Systems);

ISO/IEC 27005:2011 (Information Technology. Security techniques. Information Security Risk Management) и др.

В процессе оценки рисков происходит:

- инвентаризация информационных активов организации и оценка их стоимости;

- определение методологии оценки рисков с последующей адаптацией под особенности деятельности организации;

- выявление потенциальных угроз и уязвимостей;

- анализ уже принятых мер по обеспечению ИБ и рекомендации дополнительных;

- разработка матрицы рисков;

- оценка рисков ИБ в качественном и количественном аспекте;

- оптимизация процессов управления рисками ИБ;

- разработка итогового отчета и плана обработки рисков по результатам оценки.

Использование международных методик:

OSSTMM (Open Source Security Testing Methodology Manual) – ориентация на технические тесты в совокупности с аспектами социальной инженерии, направленной на сотрудников организации;

NIST SP800-115 – документ, описывающий способы оценки, самооценку, внутренний аудит, внешний аудит, pentest, организацию процесса проведения оценивания, анализ результатов, использование результатов в процессе совершенствования ИБ организации.

PCI DSS – рекомендации по оценке возможности осуществления несанкционированного доступа к данным платежных карт или сетевым ресурсам, обрабатывающим данные платежных карт (требование пункта 11.3 PCI DSS). Описывает внешний тест на проникновение (в рамках этапа осуществляются попытки получить доступ к критичным ресурсам из сети Интернет) и внутренний тест на проникновение (в рамках этапа осуществляются попытки получить доступ к критичным ресурсам из внутренней сети).

ISSAF (The Information Systems Security Assessment Framework ) –методики проведения активного инструментального анализа защищенности.

Результат:

- адаптация методики проведения теста;

- описание выявленных уязвимостей и недостатков в организации обеспечения ИБ;

- рекомендации по устранению выявленных уязвимостей и др.

Детальное описание имеющихся активов организации позволяет значительно повысить уровень защищенности

- применение методов социальной инженерии;

- проведение обучающих лекций по тематикам обеспечения ИБ;

- повышение квалификации в сфере ИБ.

- оказание консультационных услуг в вопросах получения лицензии и прохождения процедур стандартизации в сфере ИТ/ИБ;

- полное сопровождение процессов получения лицензий ФСБ/ФСТЭК и др.

- проведение процедуры оценки соответствия, аттестационных мероприятий на соответствие требованиям по защите информации по тем или иным законодательным нормативам.