Комплексный аудит информационной безопасности

Комплексный аудит информационной безопасности
Задать вопрос
Наши специалисты ответят на любой интересующий вопрос по услуге

Основной целью проекта является определение актуальных рисков информационной безопасности в компании и формирование плана работ по их снижению. Работы по снижению рисков выражаются в построении оптимизированной системы защиты. Оптимизация достигается за счет решения целевых задач выработанных в ходе аудита. 

Второстепенная цель – выявление текущих инцидентов информационной безопасности и уровня защищенности информационных ресурсов компании. В рамках данных работ мы получаем информационный срез – “Как есть”.

ЗАДАЧИ ПРОЕКТА

  • Формализация и структурирование информации по элементам и сервисам существующей информационной системы;
  • Определение основных технических, организационных и правовых рисков;
  • Оценка соответствия существующего уровня защиты требованиям законодательства и современным потребностям информационной безопасности;
  • Оценка уровня исходной защищенности и анализ информационных потоков (с применением, в том числе, и технических инструментариев).

Задачи аудита с технологической стороны, представлены на рисунке №1.

Рисунок №1 “Задачи – технологическая часть”

Конечные цели (в рамках построения системы защиты)

В результате внедрения проекта по комплексной защите информации в информационной системе, должны быть исключены (снижены) риски, связанные с:  

  • Финансовыми потерями в результате хищения (утечки) конфиденциальной и служебной информации;
  • Финансовыми потерями в результате злоупотребления должностными обязанностями сотрудников компании;
  • Потерей репутации в результате хищения (утечки) конфиденциальной и служебной информации;
  • Простоем информационных сервисов, связанным со злонамеренными действиями злоумышленников и непреднамеренными действиями легитимных пользователей;
  • Простоем информационных сервисов, связанным со случайным, либо злонамеренным ограничением доступности сервиса.

Используемая методология

Пример используемой методологии представлен в таблице №1

Таблица №1 “Пример методологии комплексного аудита ИБ”

Выгода комплексного аудита

  • Формирование требований к системе защиты
  • Формирование согласованной сметы на общий комплекс работ
  • Наличие отчета с описанием бизнес рисков, монетизация рисков
  • Пилотирование технических решений

За счет точной оценки можно выбрать целевые группы пользователей и ресурсов, оптимизировав затраты проекта.

На рисунке №2 приведена демонстрация основных компонентов комплексного аудита информационной безопасности.

Рисунок №2 “Основные элемента аудита ИБ”

РЕЗУЛЬТАТЫ ПРОЕКТОВ ПО АУДИТАМ 

Кредитная организация

Был выявлен факт пересылки контактов клиентов с условиями Ипотек. После клиента переманивали более низким процентом – сейчас ведется превентивный мониторинг при работе с клиентскими базами с автоматическим реагированием (предотвращённый ущерб - миллионы)

Ритейл

Были выявлены коррупционные схемы, сотрудники которые пытались вынести закрытую информацию и сотрудники, которые откровенно саботировали свои служебные обязанности. В том числе были выявленные уязвимости в общей Wi-Fi сети, через неё была возможность получить доступ к системе видеонаблюдения. Данные риски были минимизированы.

Промышленная организация

Были обнаружены уязвимости автоматизированной системы управления производством при желании конвейер мог остановить любой сотрудник с доступом в АС – сейчас система управления производством изолирована от общей сети и Интернет, регламентами и ТС доступ к ней ограничен.

Государственная компания

Были обнаружены уязвимости WI-FI сети, из которой можно было попасть в серверный сегмент и получить доступ к администрированию системы видеонаблюдения. Кроме того, с Интернета были доступны на администрирование сервисы со слабыми паролями. Данные риски были минимизированы.

Федеральный холдинг

Были выявлены сотрудники (около 7%) от числа сотрудников компании, которые на исполнение своих служебных обязанностей тратили не более 10% рабочего времени. За время проведения аудита зачёт структурных оптимизаций пилот окупился, более чем в 20 раз.

В каждом из переведенных случаев система защиты закрывала целевой риск наиболее сильно влияющий на прямые и косвенный финансовые потери.

Заказать услугу
Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.

Отзывы

Хотел поблагодарить Компанию  "Акстел-Безопасность" за своевременное и качественное оказание высокотехнологических работ по направлению информационной безопасности.

Отзыв ООО "АПТ" Размер: 164.1 Кб
ООО "Азиатские Промышленные Технологии"
Шумкин С.В, генеральный директор