Аудит информационной безопасности представляет собой комплексное обследование информационной защищенности объекта, направленное на определение уязвимостей, «узких мест» в существующей системе защиты.

Не секрет, что хорошая система безопасности образуется на основе комплексного подхода к безопасности. Комплексный подход обеспечивает защиту информации по ряду направлений: на организационном, правовом, техническом уровнях. Комплексные системы безопасности – это сложные системы, а чем сложнее система, тем больше внимания нужно уделять обеспечению ее правильного функционирования. Уязвимость одной из деталей этой системы может свести на нет все усилия по обеспечению безопасности информации. Поэтому необходимо четко представлять работу системы ИБ и обеспечить полный контроль состояния защищенности системы. Для этих целей проводится аудит ИБ.

Аудит ИБ, проводимый компанией ИБТранс, включает в себя анализ организационных мер по безопасности, анализ наличия нормативной документации, в соответствии с которой обеспечивается безопасность и соответствие требованиям этой документации, а также анализ технических компонентов системы на предмет полноты охвата данными компонентами всех требований безопасности, наличия их потенциальных уязвимостей.

Основные этапы аудита системы:

1. Определение структуры и компонентов системы, взаимосвязь компонентов
2. Анализ нормативных документов в области безопасности (политики безопасности, регламенты взаимодействия, руководства, рекомендации и т.д.) и соответствия функций безопасности требованиям этой документации
3. Составление модели угроз информационной безопасности обследуемой системы
4. Определение типов обрабатываемых данных
5. Обследование уровня защищенности компонентов системы:
   • Анализ конфигурации серверов и рабочих станций на соответствие требованиям защищенности от угроз безопасности
   • Анализ конфигурации сетевых элементов (маршрутизаторов, коммутаторов, межсетевых экранов)
   • Сканирование вычислительной сети предприятия в целях нахождения уязвимостей
   • Сканирование рабочих станции, серверов и хранилищ данных
   • Тестирование сетевых вторжений в локальную сеть обследуемой системы
6. Анализ организационной структуры обследуемой системы, выявление недостатков организационной структуры системы касательно безопасности обрабатываемой информации.
7. Составление отчетов аудита безопасности, заключений о состоянии защищенности информационной системы.

Компания ИБТранс проводит обследование информационной безопасности систем обработки данных в соответствии с рекомендациями ряда нормативных документов в области аудита:

• ISO 27002 -Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности
• ISO 15408 -Общие критерии оценки безопасности информационных технологий
• ISO 18028 -Международные стандарты сетевой безопасности серии
• ISO 18045 -Общая методология оценки безопасности информационных технологий
• ISO 15443 -Информационные технологии. Методы защиты. Структура обеспечения безопасности IT
• CEM 97/017, CEM-99/045 –Общая методология оценки безопасности информационных технологий