Аудит
Проведение аудита информационной безопасности позволяет решать следующие задачи:
- повышение уровня защищенности информационных ресурсов компании;
- приведение процессов управления информационной безопасности в соответствие с требованиями стандартов и законодательства;
- контроль уровня защищенности внедряемой системы;
Тестирование на проникновение – тест, в ходе которого перед экспертом ставится задача получить доступ к определенным данным и он практически не ограничен в выборе хакерских средств для достижения поставленной цели. Результатом аудита является отчет, описывающий удачный сценарий проникновения с описанием использованных уязвимостей. В рамках тестирования могут использоваться методы социальной инженерии, с помощью которых оценивается способность сотрудников компании противостоять обманным и манипулятивным техникам, нацеленным на получение конфиденциальной информации.
Комплексное тестирование защищенности систем – аудит защищенности информационных систем, включающий в себя инвентаризацию ресурсов, ручной и автоматизированный поиск уязвимостей на всех уровнях (сетевой, уровень ОС, СУБД, прикладной), попытки эксплуатации уязвимостей, проверка возможности реализации различных векторов атак и др. Цель подобного тестирования - выявление максимального количества эксплуатируемых уязвимостей для последующего их устранения.
Аудит системы управления информационной безопасностью – аудит процессов управления информационной безопасностью на соответствие требованиям международного стандарта ISO 27001:2005 или российского ГОСТ Р 27001:2006.
Также мы проводим аудиты на соответствия требованиям российского законодательства (федеральный законы N 152-ФЗ "О персональных данных", N 161-ФЗ "О национальной платежной системе" и др.)
Аудит безопасности кода – анализ исходных текстов программного обеспечения с целью выявления уязвимостей, связанных с ошибками кодирования, преднамеренным внесением программных закладок, наличием недокументированных возможностей и др.