Технологии
защиты данных
+7 (499) 348-19-80
Заказать звонок

Выявление уязвимостей информационных систем

Чем выявление уязвимостей информационных систем отличается от классического аудита ИБ?

Фактически — имитацией направленной атаки, позволяющей получить актуальные данные об организационных, технических, физических и иных мерах противодействия злоумышленникам как извне, так и внутри компании.

Как выполняется такое тестирование?

  1. Выполняется сканирование информационной инфраструктуры и поиск возможных векторов атаки.
  2. Проверяется соответствие мер защиты наиболее современным моделям угроз.
  3. При возможности, выполняется непосредственно проникновение.
  4. Описываются точные границы, в которых был проведён тест.
  5. Описываются точные методы и средства теста.
  6. Описываются выявленные уязвимости в порядке приоритета по рискам.
  7. Описывается сценарий проникновения и возможные результаты.
  8. Составляется отчёт с оценкой рисков и мерами по устранению уязвимостей.
  9. Составляется отчет, содержащий рекомендации по устранению выявленных уязвимостей и повышению уровня ИБ.
  10. Результат – план работ по совершенствованию процессов обеспечения ИБ и технических мер безопасности.

Выполняется ли тестирования по PCI DSS, разделу 11.3?

Да, для финансовых организаций это одно из достаточно важных требований к подобному тестированию. Инструментальная проверка периметра выполняется в соответствии с этим стандартом, а также, при необходимости, иными более строгими и детальными стандартами.

Стоит ли заказывать и аудит ИБ, и выявление уязвимостей информационных систем?

Как правило, это дополняющие друг друга комплексы работы. Аудит позволяет обеспечить широкий охват и получить данные по изменению процессов, в целом повышая уровень ИБ организации, а pen-test (тестирование на проникновение для выявления уязвимостей) носит более ситуационный характер, но отличается куда большей детализацией относительно имеющихся уязвимостей. Кроме того, подобное тестирование отличается очень высокой достоверностью результатов.

Можно ли заказывать такое тестирование, если построением ИБ занимается другой подрядчик?

Да, pen-test – это независимая задача с высокой достоверностью результата, поэтому такое тестирование очень часто используется не только для оценки рисков, но и для проверки работ подрядчика, ответственного за те или иные сферы ИБ.

Яндекс.Метрика