Аудит ИБ
Ключевой составляющей системы контроля за состоянием защиты информационных активов организации является проведение аудита информационной безопасности . Процедура может проходить как в сочетании с общим IТ-аудитом, так и самостоятельно. Зачастую аудит проводится в рамках реализации проектов проведения комплексных мероприятий по обеспечению информационной безопасности и соответствующей интеграции, являясь начальным этапом такого рода проектов.
Аудит безопасности информации включает в себя два основных мероприятия: организационный и технический аудиты. Последний традиционно разделяется на такие виды как общий и инструментальный аудиты.
Наша Компания проводит аудит на предмет соответствия действующим требованиям в следующих предметных сферах :
- Законодательная база и действующие требования в области защиты персональных данных (ФЗ № 152, Приказ ФСТЭК России № 21 и т.п.)
- Требования, действующие в отрасли, установленные для финансовых организаций и в финансовом процессинге, стандарты информационной защиты, а также рекомендации по ее обеспечению (382-П, ГОСТ-Р 57580.1, PCI DSS)
- Законодательная база и требования, установленные в сфере информационной защиты в национальной платежной системе РФ (ФЗ № 161)
- Требования по обеспечению информационной защиты в государственных информационных системах (Приказ ФСТЭК № 17)
- Требования ФЗ «О безопасности критической информационной инфраструктуры РФ» № 181 и Приказа ФСТЭК России № 239
- Вступившего в силу с 25 мая 2018 года Общеевропейского регламента о персональных данных – General Data Protection Regulation (GDPR)
- Практический метод проверки защищенности объектов информатизации — тестирование на проникновение (Pentest)
По результатам проведения аудита оформляется заключение об оценки состояний информационной безопасности и соответствия критериям, которые лежали в основе аудита, и включает в себя рекомендации по обеспечению информационной защиты, проектированию защиты от несанкционированного доступа, улучшению IТ-инфраструктуры, совершенствованию процессов в сфере управления, обеспечения безопасности информации. Дополнительно может быть проведена аттестация объекта информатизации, подтверждающая выполнение требований регуляторов в области защиты информации.
В рамках инструментального аудита проводятся следующие мероприятия:
- Аудит уровня защищенности информационных систем и IТ-инфраструктуры
- Изучение имеющихся в Компании заказчика информационных потоков
- Анализ исходного кода программ на предмет наличия закладок (уязвимостей)
- Pentest (проведение тестирования на проникновение)
Аудит логически продолжается в разработке внутриорганизационной документации по обеспечению информационной безопасности. Это, в частности, могут быть следующие документы:
- Концепция обеспечения безопасности информации
- Политики обеспечения информационной безопасности
- Регламенты обеспечения информационной безопасности
Документы высшего уровня позволяют создать нормативную базу для организации в Компании заказчика всех процессов, направленных на приведение в соответствие с законодательными требованиями, а также требованиями, зафиксированными в нормативных актах регуляторов, и в соответствии с наиболее эффективными практиками обеспечения информационной безопасности с учетом используемых информационных технологий, а также процессов управления и обеспечения ИБ.
Разработка и построение процессов поддержания информационной безопасности и управления в этой сфере – обязательный элемент процессной модели деятельности компаний в условиях, когда уровень зрелости информационных технологий высокий или средний.
Основные результаты
После реализации проекта заказчик получает оценку независимыми экспертами состояния информационной безопасности на обследуемой области, соответствия действующим в отрасли нормативно-правовым актам по защите информации, уровня уязвимости инфраструктуры информационной безопасности, технологий и систем перед существующими угрозами информационной безопасности. Могут также выявляться факты противоправных действий разного характера в информационном пространстве.
Основные преимущества
Аудит ИБ позволяет получить оценку реального состояния дел в сфере обеспечения информационной безопасности, а следование рекомендациям, полученным от экспертов нашей Компании, дает клиенту возможность повысить эффективность систем защиты информации и надежнее защитить свою инфраструктуру. Воспользовавшись услугой проведения аудита безопасности информации, заказчик получает массу преимуществ:
- Проводится комплексная оценка силами независимых специалистов уровня защиты IT-инфраструктуры. С учетом результатов такой оценки высококвалифицированные специалисты с богатым профессиональным опытом рекомендуют клиенту действенные меры, направленные на повышение эффективности и надежности процессов обеспечения ИБ
- Следуя полученным по результатам аудита рекомендациям, заказчик проводит оптимизацию IT-инфраструктуры и соответствующих бизнес-процессов, исходя из действующих в отрасли требований информационной безопасности, а также обеспечивает более качественный внутренний контроль
- Заказанный в нашей компании аудит – это возможность повысить защищенность информации, обеспечивая при этом конфиденциальность, целостность и доступность, защиту от рисков утечки информации, минимизировать в критически важных составляющих человеческий фактор, повысить безопасность на каждом из уровней: операционной системы, приложения, сетевой, виртуальной, физической инфраструктур и т.п.
- Посредством организации ИБ-аудита можно избежать лишних расходов на информационную безопасность и информационные технологии, так как по результатам такой процедуры даются исключительно рациональные рекомендации с учетом конкретной инфраструктуры компании-заказчика. Удается также снизить риск потерь репутационного характера, вызванных недостаточно высоким уровнем информационной безопасности.
Список конкретизированных услуг, предоставляемых нашей компанией в рамках аудита информационной безопасности:
Персональные данные (152-ФЗ)
Одним из направлений деятельности нашей компании является обеспечение соответствия требованиям Федерального закона Российской Федерации от 27 июля 2006 г. № 152 — ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»).
Задачи, которые мы совместно решаем при проведении работ на соответствие требованиям Федерального закона №152-ФЗ «О персональных данных»:
- выявление информационных систем и каналов передачи персональных данных;
- документирование существующих процессов обработки персональных данных
- ранжирование персональных данных, циркулирующих в компании, составление карт движения и допуска к обработке персональных данных
- обоснование требований к организационно-техническим мерам обработки персональных данных
- обоснование уровня защищенности персональных данных в информационных система используемых для обработки персональных данных
- анализ действующих организационно- технических мер обеспечивающих безопасность обработки персональных данных
- разработка моделей угроз безопасности, возникающих при обработке персональных данных в информационных системах
- проектирование системы защиты персональных данных в информационных системах
- поставка технических решений, внедрение и сопровождение средств защиты информации;
- организация и контроль выполнения требований организационных мер защиты и обработки персональных данных, обучение персонала
- оценка эффективности реализованных мер по обеспечению безопасности ПДн при их обработке в ИСПДн
В качестве дополнительной услуги по обеспечению безопасности персональных данных предлагаем аттестацию ИСПДн на соответствие требованиям 152-ФЗ нашей компанией, имеющей лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Результатом данной услуги является — «Аттестат соответствия», подтверждающий выполнение всех требований по защите персональных данных.
GDPR
С 25 мая 2018 года вступил в силу Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR). Все организации, вне зависимости от своей юрисдикции, должны соблюдать новые правила, если их деятельность связана с обработкой персональных данных субъектов персональных данных, находящихся на территории ЕС (в том числе граждан РФ).
Наши эксперты помогут оптимально и эффективно осуществить организационные и технические меры для обеспечения соответствия порядка обработки и защиты ПДн положениям GDPR, включая следующие услуги:
- оценка применимости требований GDPR к Вашей компании – анализ потоков данных и бизнес-процессов, определение области применения
- аудит, оценка несоответствия требованиям – в результате Вы получаете подробные рекомендации и план действий по приведению деятельности Вашей компании в соответствие с требованиями GDPR
- реализация организационных и технических мер, необходимых для соответствия требованиям GDPR
- оказание консультационной поддержки
ГИС
Ключевым документом, устанавливающим обязательные требования к обеспечению защиты информации ограниченного доступа при ее обработке в государственных (муниципальных) информационных системах, является Приказ ФСТЭК России от 11.02.2013 № 17.
Задачи, которые мы совместно решаем при проведении работ по защите информации в Государственных информационных системах (ГИС):
- анализ и проведение классификации ГИС, исходя из требований законодательства Российской Федерации
- разработка модели угроз и нарушителя ИБ в ГИС
- определение организационных и технических мер защиты, которые требуются для устранения угрозы нарушения безопасности информации в ГИС
- проектирование комплексной системы защиты информации ГИС
- разработка исполнительной документации, определяющей комплекс мер, необходимых для защиты информации
- внедрение технических средств защиты информации
- обучение персонала
- аттестация ГИС
КИИ
В целях исполнения требований Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Приказа ФСТЭК России от 14.03.2014 № 31 предлагаем следующие услуги:
- проведение обследования информационной инфраструктуры, выявление и формирование перечня объектов КИИ
- проведение категорирования объектов КИИ или обоснование отсутствия необходимости их категорирования
- разработка требований по обеспечению безопасности информации значимых объектов КИИ
- разработка технического задания на создание системы безопасности объектов КИИ
- проектирование системы безопасности объектов КИИ
- разработка проектов организационно-распорядительных документов, регламентирующих порядок работы и обеспечения безопасности объектов КИИ
- организация работ по проведению оценки эффективности системы безопасности объектов КИИ
- организация работ по проведению аттестационных испытаний системы безопасности объектов КИИ на соответствие требованиям безопасности информации и получению аттестата соответствия
- подключение к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России (ГосСОПКА)
В ходе аудита и категорирования мы проводим комплексное обследование инфраструктуры, разрабатываем проект акта категорирования системы, готовим отчёт с оценкой степени соответствия нормативным актам, рекомендациями по приведению в соответствие.
PCI DSS
В отношении организаций, осуществляющих хранение, обработку и передачу сведений с карт American Express, MasterCard, Visa, JCB, Discover и других платежных систем международного уровня должны выполняться требования, зафиксированные в стандарте PCI DSS. Платежными системами устанавливаются, в какой форме и с какой периодичностью подтверждается соответствие стандартным требованиям, а также какая ответственность наступает в случае нарушения данных требований. С целью обеспечения выполнения организациями требований действующих стандартов в нашей Компании предлагаются различные варианты сотрудничества в сфере обеспечения соответствия PCI DSS с учетом особенностей клиента и поставленных задач:
PCI DSS Compliance
- В рамках предоставления этой услуги информационная безопасность приводится в соответствие с зафиксированными в стандарте PCI DSS требованиями с нуля:
- Проведение предварительного аудита, который сопровождается планированием мероприятий по приведению ИБ в соответствие
- Непосредственное применение запланированных мер
- Заключительный сертификационный аудит
Сертификационный аудит PCI DSS
- Проводится в компаниях, которые обеспечили защиту в соответствии со стандартными требованиями собственными силами и испытывают необходимость в независимой заключительной оценке на предмет соответствия.
- Обеспечение поддержки системы в состоянии, соответствующем требованиям стандарта PCI DSS. В рамках предоставления этой услуги оказывается помощь тем компаниям, у которых уже есть действующий сертификат соответствия и компания заинтересована в получении повторного подтверждения на регулярной основе
- Проведение сертификации программного обеспечения в соответствии с требованиями, предусмотренными стандартом PA-DSS. Совет по безопасности индустрии платежных карт (PCI SSC) в 2008 году утвердил Стандарт безопасности платежных приложений (PA-DSS — Payment Application Data Security Standard), цель которого – поддержать выполнение предусмотренных PCI DSS требований. Платежные системы MasterCard и VISA требуют от приложений, которые осуществляют обработку операций по авторизации или расчетам по картам, прохождения сертификации по PA-DSS.
Сохранение приложений в состоянии, соответствующем требованиям PA-DSS. Все изменения, которые вносятся в платежное программное обеспечение, которое прошло сертификацию, должны анализироваться и в определенных случаях приводят к тому, что приложения сертифицируются повторно. Масштабы такой сертификации и документы, которые оформляются по ее результатам, зависят от того, какие именно изменения произошли. Формирование подхода к проведению повторных сертификаций основано на высказанных разработчиком предпочтениях и практике релиза обновлений разработчиками программного обеспечения:
- Сканирование WEB приложений, PCI ASV.
- Проведение комплексного тестирования на проникновение по PCI DSS. В рамках такой услуги оценивается, возможен ли несанкционированный доступ к данным карт или сетям, в которых обрабатываются такие данные (по п.11.3 PCI DSS).
- Оказание помощи в оформлении листа самооценки по PCI DSS. Эта услуга востребована у сервис-провайдеров и мерчантов, у которых немного транзакций. Наша компания помогает оценить соответствие с оформлением листа самооценки.
- Разработка по заказу банков-эквайеров программ для определения того, соответствуют ли мерчанты требованиям стандарта PCI DSS. Международные платежные системы установили, что эквайеры отвечают за то, выполнены ли их мерчантами упомянутые требования. Предоставление такой услуги включает в себя разработку программы, при помощи которой осуществляется контроль соответствующих показателей на базе программ обеспечения безопасности, действующих в международных платежных системах (Site Data Protection и Account Information Security).
Организация вышеупомянутых работ дает возможность обеспечивать соответствие требованиям, которые предъявляются стандартом, минимизировать риск того, что данные карт будут скомпрометированы, и избежать применения платежными системами санкций.
НПС
Обеспечение соответствия требованиям Федерального закона №161-ФЗ «О национальной платежной системе».
Задачи, которые мы совместно решаем при проведении работ на соответствие требованиям Федерального закона №161-ФЗ «О национальной платежной системе»:
- анализ соответствия требованиям законодательства, анализ внутренних нормативных документов, проведение интервью с сотрудниками и анализ процессов обеспечения информационной безопасности в компании. Результатам этого этапа является подробный отчет о проведенном анализе и оценка уровня соответствия информационной системы
- разработка рекомендаций по корректировке системы, основываясь на результатах анализа, разработка программных мер по совершенствованию системы обеспечения информационной безопасности компании и приведению ее в соответствие с текущими требованиями законодательства по защите информации в Национальных платежных системах
- разрабатывается подробный список организационно-технических мер, которые требуется внедрить в компании
- разработка или доработка необходимых документов, основываясь на рекомендациях, строго соблюдая требования регламентирующих документов и учитывая особенности бизнес-процессов (требуемый пакет документов, правил и инструкций)
- проектирование и внедрение технических решений, основываясь на результатах анализа и с учетом потребностей бизнеса (подготовка возможных вариантов решения задач по построению или совершенствованию системы обеспечения информационной безопасности компании)
- обучение персонала и повышения осведомленности сотрудников требуемым регламентам, правилам и инструкциям в области обеспечения информационной безопасности
ГОСТ-Р 57580.1
Перечень мер по обеспечению информационной безопасности в организациях финансовой сферы до недавнего времени имел вид всего лишь рекомендаций и составлялся на местном уровне. С принятием стандарта на уровне государства устанавливается нижняя планка информационной защиты (минимальный список технических и организационных мероприятий). Таким образом не накладывается ограничение, а формулируются основные принципы и определяется точка отсчета для проектирования и использования средств обеспечения защиты в организациях финансовой сферы.
Федеральное агентство по техническому регулированию и метрологии своим приказом утвердило ГОСТ «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (Р 57580.1 – 2017), введенный действие с начала 2018 года. В нем зафиксированы степени информационной защиты и требования, которые им соответствуют, в отношении базового набора мер по защите данных. Разработка документа осуществлялась в Банке России с целью выполнения содержащихся в нем норм организациями, осуществляющими деятельность в финансовой сфере (как кредитным, так и некредитным), а также субъектами платежной системы. Требования ГОСТа распространяются на группу объектов информационной системы, которые используются организациями с целью оказания потребителям финансовых услуг.
Специалисты нашей компании ориентируются в вопросах информационной защиты на экспертном уровне и всегда готовы прийти на помощь, когда необходимо обеспечить соответствие закрепленным в госстандарте требованиям.
Перечень мероприятий:
- Предварительная оценка на предмет соответствия стандартизированным требованиям
- Определение рисков для безопасности информации
- Разработка мер по совершенствованию системы ИБ
- Реализация разработок
- Итоговая оценка соответствия выполнения требований Стандарта.
Благодаря приведению системы ИБ в соответствие с госстандартом появляется возможность улучшить общую защищенность используемых в организации информационных систем, предотвратить наложение регулятором санкций и сделать обслуживание потребителей финансовых услуг бесперебойным и более стабильным.
Тестирование
на проникновение
Тестирование на проникновение (пентест, тест на преодоление защиты) является наиболее реалистичным методом проверки защищенности объектов информатизации, на практике выявляющий эффективность внедренных систем защиты и принятых мер безопасности, а также является отличной проверкой работы службы безопасности в реальных условиях. Данный метод подразумевает санкционированную имитацию действий настоящего злоумышленника специалистами нашей компании и направлен на доступ к защищаемым данным посредством обнаружения и последующей эксплуатации выявленных цепочек уязвимостей в сетевом оборудовании, средствах защиты информации, серверном, системном и прикладном программном обеспечении. В отличие от реальной атаки хакеров, тестирование на проникновение не подразумевает нанесение ущерба компании и полностью контролируется. В рамках заданного срока и заранее определенной модели нарушителя проводится исследование ИТ-инфраструктуры и выявление возможных уязвимостей. По результатам такого тестирования формируется отчет с перечнями выявленных уязвимостей, возможных векторов атак и рекомендациями по их устранению или применению компенсационных мер. Регулярное периодическое тестирование на проникновение является требованием стандартов PCI DSS и ISO 27001, а также позволяет оценить уровень защищенности компании в динамике. В зависимости от текущего состояния защищенности компании и ее активов, ставятся разные цели перед пентестом: начиная от выявления максимального количества уязвимостей и получения максимального административного доступа ко всем элементам системы, включая закрытые исходные коды продуктов компании, заканчивая полным отсутствием какой-либо информации об исследуемой системе. Тестирование на проникновение может подразделяться на несколько видов в зависимости от степени раскрытия информации для наших специалистов, а также информированности службы безопасности заказчиков.
Может включать в себя следующие этапы работ:
- Инвентаризация ресурсов
- Мониторинг и поиск утечек информации
- Социально-техническое тестирование
- Подготовка отчетной документации о результатах тестирования
Квалификация специалистов АСС АйТи предоставляет возможность проводить не только комплексные работы по тестированию на проникновение, но и предлагать отдельные экспертные услуги в рамках данного направления в соответствие с требуемыми задачами и направленностями бизнеса заказчика.
Отдельные экспертные услуги:
- Сбор разведданных, инвентаризация и мониторинг утечек информации
- Внешнее тестирование на проникновение в сеть
- Внутренне тестирование на проникновение в сеть
- Тестирование на физическое проникновение
- Тестирование безопасности Wi-Fi сетей
- Пентест Web-приложений
- ATM Security (безопасность банкоматов)
- Выявление внутреннего фрода
- Услуги консультационного характера, заключающиеся в аналитике имеющейся информации, консалтинге на тему повышения уровня защищенности и утилизации рисков информационной безопасности
Другие услуги
