Консалтинговые услуги в области информационной безопасности
Услуги по предварительной оценке соответствия системы менеджмента информационной безопасностью требованиям ISO/IEC 27001:2013
Вопросы обеспечения и поддержания информационной безопасности для современной организации являются жизненно важными.
Наличие сертифицированной системы менеджмента информационной безопасности в соответствии с требованиями стандарта ISO/IEC 27001:2013 поможет организации сберечь её активы и обеспечить целостность, надежность и конфиденциальность информации.
Система менеджмента информационной безопасности (СМИБ) – часть общей системы управления, основанной на оценке рисков, с целью создания, внедрения, постоянного мониторинга, поддержания в рабочем состоянии и улучшении защиты информации Компании.
В ходе предварительной оценки соответствия системы менеджмента информационной безопасностью требованиям ISO/IEC 27001:2013 будут выполнены следующие работы:
- Анализ документации СМИБ
- Анализ существующих процессов менеджмента ИБ и свидетельств функционирования СМИБ
- Оценка полноты и эффективности реализуемых в организации мер по обеспечению ИБ
- Интервьюирование персонала СМИБ, оценка уровня компетентности и осведомленности
- Анализ расхождений с требованиями ISO/IEC 27001:2013
- Подготовка экспертного заключения о соответствии СМИБ требованиям ISO/IEC 27001:2013
- Разработка рекомендаций по устранению имеющихся недостатков и обеспечению соответствия требованиям ISO/IEC 27001:2013
Аудит информационной безопасности — это независимая экспертиза актуального состояния локальной или корпоративной информационной сети, определяющая степень ее согласованности с установленными нормами, требованиями и задачами компании.
Квалифицированный аудит IT безопасности дает детальную картину защищенности информационной сети предприятия, помогает локализовать существующие проблемы и, как итог, является основой в построении надежной структуры защиты от сетевых рисков.
Опционально, в некоторых случаях компания, проводящая аудит информационной безопасности предприятия может провести тестовую попытку взлома защиты корпоративной сети с целью выявления в ней слабых мест.
Существует понятие внешнего и внутреннего аудита. В первом случае, речь идет о единичной экспертизе, инициатором которой могут выступать держатели акций предприятия, высшее руководство или покупатели бизнеса. Многие специалисты в области информационной безопасности рекомендуют проводить внешний аудит ИТ безопасности на регулярной основе!
В свою очередь, внутренний аудит — это непрерывный процесс, регламентированный нормами и правилами, установленными в интересах компании, согласно ее коммерческим задачам и требованиям к безопасности корпоративных сетей.
Схема, по которой происходит внешний аудит безопасности информационных систем, за небольшими исключениями, у большинства аутсорсинговых компаний одинакова:
- Инициирование аудиторской проверки
- Сбор данных в рамках договора аудита
- Анализ полученной информации
- Разработка рекомендательных предложений
- Составление детального отчета обо всех этапах аудита
Инициаторы проверки безопасности ИТ системы предприятия должны полностью доверять и оказывать всяческое содействие аудиторам. От этого во многом зависит достоверность результата исследований.
Не стоит ждать от аудиторской проверки безопасности ИТ инфраструктуры компании решения всех проблем или готового плана модернизации вкупе с оптимизацией. Аудит дает общую картину состояния системы, показывает слабые места или направления требующие внимания. Технические детали и конкретные шаги – это работа внутренних аудиторов.
Аудит информационной безопасности компании необходим. Невозможно создать надежную защиту корпоративных сетей без полноценного анализа их состояния.
Актуализация/проектирование процессов в области информационной безопасности
Процесс обеспечения информационной безопасности Компании является непрерывным процессом и происходит в рамках жизненного цикла не только системы управления информационной безопасности, но и всего бизнеса Компании. В рамках мероприятий по совершенствованию системы информационной безопасности требуется постоянная корректировка документации, пересмотр правил и регламентов, обеспечивающих функционирование системы информационной безопасности с учетом развития Компании, изменений законодательства, новые тенденции кибератак и иные постоянно меняющиеся факторы.
Документация по обеспечению информационной безопасности формирует нормативную основу всей деятельности компании по комплексной защите информации. Зачастую наличие тех или иных локальных нормативных актов является требованием государственных регуляторов.
Построение комплексной системы защиты информации в Компании производится в несколько этапов:
- Анализ имеющейся ситуации и задач в сфере ИБ, выявление неактуальных и дублирующихся документов, формирование перечня недостающих документов
- Актуализация/проектирование процедур обеспечения информационной безопасности
- Определение иерархии и взаимосвязей документов ИБ
- Разработка требуемых документов по ИБ, актуализация положений, регламентов, инструкций в соответствии с изменениями требований законодательства, а также в целях исключения дублирований и противоречий в документах
- Обновление взаимосвязей документов ИБ
- Оформление документации в соответствии с требованиями СТ РК, отраслевыми или корпоративными стандартами
Тестирование на проникновение — это взлом ради защиты. Суть работы заключается в моделировании и выполнении действий потенциального злоумышленника. Перед началом тестирования на проникновение определяются цели взлома и модель нарушителя, согласно которой действуют наши специалисты.
Целью может быть какое-либо нежелательное действие по отношению к системе, при этом представляющее интерес для злоумышленника. Наиболее лакомыми кусками являются сервисы, из которых легко извлечь материальную выгоду, например, связанные с переводом денег. Нарушитель последовательно совершает шаги, приближающие его к этой цели, например, крадет пароли пользователей, получает несанкционированный доступ к определенным данным, повышает привилегии вплоть до получения всех прав администратора системы.
В качестве модели нарушителя может быть принята любая роль, с точки зрения которой имеет смысл взглянуть на защищенность объекта тестирования. Это может быть внешний анонимный пользователь, зашедший на сайт компании, её клиент, посетитель офиса, или недавно принятый на работу сотрудник, а может быть и системный администратор или менеджер среднего звена.
Тестирование на проникновение может проводиться методом «черного», «серого» и «белого ящика», в зависимости от количества предоставляемой информации о системе. Этот фактор имеет существенное значение, поскольку тестирование выполняется в условиях ограниченного времени, которое в случае недостатка информации придется потратить на её сбор и анализ.
Метод «черного ящика» предполагает, что никакой информации о тестируемой системе не предоставляется, и специалист по тестированию на проникновение должен собрать все интересующие его сведения самостоятельно.
Метод «белого ящика» предусматривает передачу исполнителю всех значимых с точки зрения безопасности сведений о системе, которые он запросит. Речь идёт о таких вещах как схема сети, описание внутренней архитектуры системы, а также применяемых средств защиты.
Метод «серого ящика» является компромиссом между двумя упомянутыми ранее. В этом варианте заказчик передает экспертам заранее согласованный ограниченный набор сведений.
Реальный злоумышленник, в отличие от специалистов по тестированию на проникновение, в большинстве случаев не стеснен сроками выполнения работ по договору и имеет значительный запас времени на предварительный сбор информации. Поэтому правильный выбор модели нарушителя и метода тестирования важен для объективности результатов работы.
Тестирование на проникновение является обязательной проверкой защищенности по некоторым стандартам информационной безопасности. Например, требование 11.3 Стандарта безопасности данных индустрии платежных карт (PCI DSS) регламентирует его выполнение извне и изнутри платёжной информационной инфраструктуры на сетевом и прикладном уровне.
Результатом тестирования на проникновение является отчет с подробным описанием выявленных уязвимостей и действий по их эксплуатации, а также описанием составленных векторов атак вместе с достигнутыми результатами их реализации. Описание сопровождается документальными свидетельствами (снимками экрана и фотографиями).
Услуги в сфере обеспечения непрерывности деятельности
Большинство организаций рано или поздно сталкиваются с остановкой рабочих процессов, из-за чего несут серьезные убытки. Часто именно такие ситуации становятся триггером для подготовки к подобным событиям и разработки планов действий в кризисных ситуациях, тогда как предварительная подготовка помогла бы избежать реализации рисков для компании.
Зачем проходить аудит?
- Оценить процессы обеспечения непрерывности работы компании в соответствии с ISO 22301, текущий уровень зрелости и зоны для улучшения.
- Оценить негативные последствия при остановке ключевых процессов с учетом недоступности тех или иных активов (Business Impact Assessment).
- Сформировать целевые показатели по обеспечению непрерывности деятельности (Maximum Tolerable Downtime, Recovery Point Objective, Recovery Time Objective и др.).
- Разработать стратегии, планы и другие документы, связанные с обеспечением непрерывности и восстановлением деятельности компании.
Этапы аудита
- Предварительный анализ
- Анализ внутренней документации
- Уточнение особенностей работы
- Создание плана проекта
- Аудит на территории заказчика
- Проведение интервью
- Сбор свидетельств аудита
- Анализ и оценка процессов
- Подготовка отчета
- Создание отчета о процессах обеспечения непрерывности
- Разработка рекомендаций, стратегий и планов
Результаты работы
- Понимание текущей ситуации с точки зрения непрерывности бизнеса и устойчивости в кризисных ситуациях
- Оценка потенциального ущерба в случае прерывания процессов и воздействии на критичные активы
- Рекомендации, как повысить устойчивость и зрелость процессов по обеспечению непрерывности
- Сформированные внутренние метрики для мониторинга, обратной связи, а также план действий в кризисной ситуации
