
«Ай-Ти Эрудит» предлагает услуги по проведению аудита информационной безопасности (ИБ).
Услуги предназначены обеспечить:
- Экспертную оценку текущего состояния системы защиты информации (СЗИ).
- Оценку информационных рисков по специальным методикам и критериям на основе российских и международных стандартов.
- Рекомендации по совершенствованию системы защиты информации.
НАЗНАЧЕНИЕ УСЛУГ
Аудит информационной безопасности рекомендуется компаниям
- с повышенными или возрастающими требованиями к доступности, конфиденциальности и целостности информационных ресурсов;
- с сильной зависимостью бизнеса от информационных технологий (операторы связи, банки, страховые компании);
- активно развивающим ИТ-системы (крупные производственные и торговые компании с территориально-распределенными сетями).
ПРЕИМУЩЕСТВА УСЛУГ
- получение максимальной отдачи от инвестиций, вкладываемых в систему защиты информации;
- повышение уровня защиты информации компании-заказчика после учета результатов аудита, и минимизация бизнес-рисков, связанных с использованием ИТ;
- получение оценки затрат по созданию/модернизации системы безопасности, степени необходимости и примерных объемов работ проекта.
ОПИСАНИЕ УСЛУГ
"Ай-Ти Эрудит" предлагает комплексный аудит системы защиты информации компании-заказчика, а также аудит информационной безопасности отдельных ИТ-систем (сетей передачи данных, вычислительных систем и систем хранения данных, и др.).
В своей работе специалисты "Ай-Ти Эрудит" руководствуются требованиями нормативно-правовой и законодательной базы РФ в области обеспечения информационной безопасности. В качестве основы для проведения аудита информационной безопасности используются зарубежные стандарты.
Для обеспечения информационной безопасности компания "Ай-Ти Эрудит" применяет комплексный подход, основанный на методике оценки рисков и угроз. Подход сочетает оценку следующих мер и средств:
- организационных мер в области информационной безопасности (ИБ);
- обеспечения физической безопасности;
- программно-технических средств защиты информации.
Данный подход позволяет учитывать все возможные угрозы информационным ресурсам и поддерживать ИТ-инфраструктуру от случайных или преднамеренных воздействий естественного или искусственного характера.
Этап 1. Предварительный анализ
На данном этапе проводятся сбор исходных данных от заказчика, их предварительный анализ, а также организационные мероприятия по подготовке проведения аудита. Работы этапа ведутся при активном участии заказчика и включают:
- анализ требований заказчика;
- получение данных от заказчика: параметры функционирования ИТ-инфраструктуры в отношении системы информационной безопасности, класс защищенности информационной системы в соответствии с руководящими документами Гостехкомиссии России;
- проведение оценки соответствия внедренных ранее решений проектной документации;
- изучение организационно-штатной структуры и нормативно-распорядительных документов заказчика в области информационных технологий и защиты информации.
Этап 2. Согласование методики аудита
На базе данных предыдущего этапа проводятся разработка и согласование с заказчиком скорректированных целей, а также методики и плана проведения аудита. Работы этапа включают:
- формирование и согласование задания на аудит;
- разработку системы критериев для оценки системы защиты информации;
- разработку и согласование методики проводимых в ходе аудита испытаний.
Этап 3. Обследование
На данном этапе "Ай-Ти Эрудит" проводит тестовые испытания системы защиты информации по методике, разработанной на предыдущем этапе. Специалисты компании пользуются необходимым инструментарием: специализированными средствами контроля защищенности, а также сетевым оборудованием для сбора статистики, анализа сетевого трафика и генерации измерительного трафика. Работы этапа включают:
- классификацию информационных ресурсов;
- анализ уязвимостей активного сетевого оборудования, серверов, рабочих станций, межсетевых экранов с помощью специальных средств анализа защищенности;
- определение угроз безопасности информации и разработку модели вероятного нарушителя применительно к конкретным условиям функционирования.
Этап 4. Обработка результатов
На основании исходных данных и результатов тестовых испытаний "Ай-Ти Эрудит" выполняет:
- анализ угроз и оценку информационных рисков;
- разработку системы контрмер, снижающих риски до допустимых уровней;
- выработку рекомендаций по совершенствованию системы защиты информации с приложением списка конкретных уязвимостей активного сетевого оборудования, серверов, межсетевых экранов и др.;
- подготовку итогового отчета, содержащего оценку текущего уровня информационной безопасности, информацию об обнаруженных проблемах и рекомендации по их устранению.
ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ "Ай-Ти Эрудит"
В дополнение к аудиту информационной безопасности "Ай-Ти Эрудит" также предлагает:
- Разработку нормативной и проектной документации по обеспечению информационной безопасности Заказчика, в частности: концепции ИБ, политики ИБ, проектов на создание СЗИ.
- Разработку технического задания на систему защиты информации.