Информационное комплексное управление безопасностью
Информационное комплексное управление безопасностью
Это исследование текущего состояние ИБ в организации, получение объективной оценки уровня ее защищенности, оценка внутренних и внешних ресурсов, разработка рекомендаций по совершенствованию системы защиты. Включает в себя:
- назначение и распределение ролей ИБ, управление и контроль доступа;
- оценка реализации антивирусной защиты;
- оценка возможности перехода на свободное программное обеспечение (*nix системы);
- оценка политики использования ресурсов сети Интернет;
- оценка использования средств защиты информации и средств криптографической защиты информационных ресурсов;
- оценка работы системы управления информационной безопасностью, систем мониторинга информационной безопасности;
- оценка безопасности используемых информационных систем;
- аудит процессов управления информационными активами;
- аудит WEB-приложений;
- аудит процессов обеспечения физической безопасности и др.
Осуществляется с использованием различных методик:
CRAMM (UK Government Risk Analysis and Management Method);
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation SM);
NIST SP800-30 (Risk Management Guide for Information Technology Systems);
ISO/IEC 27005:2011 (Information Technology. Security techniques. Information Security Risk Management) и др.
В процессе оценки рисков происходит:
- инвентаризация информационных активов организации и оценка их стоимости;
- определение методологии оценки рисков с последующей адаптацией под особенности деятельности организации;
- выявление потенциальных угроз и уязвимостей;
- анализ уже принятых мер по обеспечению ИБ и рекомендации дополнительных;
- разработка матрицы рисков;
- оценка рисков ИБ в качественном и количественном аспекте;
- оптимизация процессов управления рисками ИБ;
- разработка итогового отчета и плана обработки рисков по результатам оценки.
Использование международных методик:
OSSTMM (Open Source Security Testing Methodology Manual) – ориентация на технические тесты в совокупности с аспектами социальной инженерии, направленной на сотрудников организации;
NIST SP800-115 – документ, описывающий способы оценки, самооценку, внутренний аудит, внешний аудит, pentest, организацию процесса проведения оценивания, анализ результатов, использование результатов в процессе совершенствования ИБ организации.
PCI DSS – рекомендации по оценке возможности осуществления несанкционированного доступа к данным платежных карт или сетевым ресурсам, обрабатывающим данные платежных карт (требование пункта 11.3 PCI DSS). Описывает внешний тест на проникновение (в рамках этапа осуществляются попытки получить доступ к критичным ресурсам из сети Интернет) и внутренний тест на проникновение (в рамках этапа осуществляются попытки получить доступ к критичным ресурсам из внутренней сети).
ISSAF (The Information Systems Security Assessment Framework ) –методики проведения активного инструментального анализа защищенности.
Результат:
- адаптация методики проведения теста;
- описание выявленных уязвимостей и недостатков в организации обеспечения ИБ;
- рекомендации по устранению выявленных уязвимостей и др.
- применение методов социальной инженерии;
- проведение обучающих лекций по тематикам обеспечения ИБ;
- повышение квалификации в сфере ИБ.
- оказание консультационных услуг в вопросах получения лицензии и прохождения процедур стандартизации в сфере ИТ/ИБ;
- полное сопровождение процессов получения лицензий ФСБ/ФСТЭК и др.
- проведение процедуры оценки соответствия, аттестационных мероприятий на соответствие требованиям по защите информации по тем или иным законодательным нормативам.