|
|
Аудит информационной безопасности
Главная | Консалтинг | Информационная безопасность | Аудит |
Аудит информационной безопасности Оценка рисков информационной безопасности
- инвентаризация информационных активов
- идентификация угроз и уязвимостей ИБ
- выбор методики оценки рисков ИБ
- определение уровня остаточных рисков
- оценка рисков и создание реестра рисков
- расчет и обоснование экономических показателей инвестирования в информационную безопасность (индекс ROSI)
Аудит на соответствие закону «О персональных данных»
- инвентаризация информационных активов, содержащих персональные данные
- идентификация бизнес-процессов, использующих персональные данные
- разработка внутренней нормативной базы по работе с персональными данными
- оценка рисков при работе с персональными данными
Комплексный технический аудит на внешнее проникновение
Возможные сценарии внешнего проникновения:
- «Черный ящик». Тестирование происходит при отсутствии любой информации об объекте информатизации
- «Серый ящик». При выполнении тестирования, аудитор получает минимальную информацию об архитектуре информационной системы
- «Инсайдер». Аудитор получает права и привилегии пользователя ИС и проводит аудит изнутри ИС банка
- «Шпион». Аудитор полностью самостоятельно проникает на территорию банка, его ИС и пытается провести аудит изнутри банка
Технический аудит элементов инфраструктуры
- Аудит безопасности сетевого оборудования
- Аудит безопасности СУБД (Oracle, Microsoft SQL)
- Аудит безопасности CRM
- Аудит безопасности SAP R3
- Аудит безопасности операционных систем (Windows, UNIX)
- Аудит безопасности Web-серверов
|
|
