Аудит информационной безопасности

Информационная безопасность Информационная безопасность - залог сохранности ваших коммерческих данных. По статистике, факты утечки информации выявляются в момент ее использования вашими конкурентами, бывшими сотрудниками или заинтересованными лицами. Использование коммерческих данных может оказаться фатальной для компании:  потеря коммерческого преимущества, пятно на репутации или потеря клиентской базы.

Аудит информационной безопасности - это процесс выявления возможных факторов несанкционированного доступа к коммерческой информации со стороны внутреннего и внешнего радиуса сети.

Аудит внутренней безопасности.

Ключевым фактором аудита внутренней безопасности является анализ существующих политик доступа к внутренним информационным ресурсам. Здесь проверяются уже составленные правила доступа в службе каталогов на соответствия внутренним регламентам организации. Удаляются неиспользуемые учетные записи, проверяются права на каталоги и оценивается стойкость установленных паролей. Аналогичный процесс производится в отношении баз данных: проверяются правила в отношении прав совместного доступа, экспорта данных, создания резервных копий, параметров соединения и т.д.

Первый этап проверки затрагивает все информационные ресурсы, которые находятся в совместном использовании сотрудников компании.

Второй этап подвергают проверке серверные ресурсы организации - их назначение, месторасположение, способы подключения, установленное программное обеспечение, процессы резервирования данных, политики безопасности в среде операционных систем, сетевые сервисы и др.

Аудит внешней безопасности

Точка соприкосновения внешней и внутренней сети рассматривается, как единственное уязвимое место при оценке факторов внешней безопасности. Этой точкой чаще всего является маршрутизатор. Здесь определяется состав оборудования, активные сервисы, сетевые соединения, порядок обработки и фильтрации трафика.

Результат аудита

По результатам проверки, все выявленные замечания получают оценку и обоснование. Данная информация оформляется в виде развернутого отчета с рекомендациями по устранению факторов риска. Все оценки анализа и предложения строятся на основе рекомендаций поставщиков программного обеспечения, общих моделей безопасности и государственных стандартов

(ГОСТ РИСО/МЭК 17799 – 2005; ГОСТ РИСО/МЭК 27001– 2006; )