Digital-лабораторія
IT технологій

UK EN

Аудит інформаційної безпеки (ІБ)

Аудит безпеки електронних ресурсів та ІТ-систем
Сканування і оцінка захищеності
Виявлення недоліків, багів, вразливостей
Аудит відповідності OWASP, CIS, ISO/IEC, GDPR, PCI-DSS, SOC2, HIPAA

🔍 Що таке аудит інформаційної безпеки?

Аудит інформаційної безпеки (Information Security Audit) – це процес виявлення потенційних загроз, ризиків, недоліків та вразливостей в інформаційних системах (ІС), електронних ресурсах, об’єктах ІТ-інфраструктури, а також експертна оцінка їх захищеності. Аудит ІБ проводиться з використанням різноманітних технік, методик та програмно-апаратних засобів. Він може бути зовнішнім (не потребує доступу в систему) або внутрішнім (потребує доступу в систему).

Структурна схема аудиту по стандарту ISO/IEC 27001.

Існує також Аудит відповідності, який зосереджений на дотриманні конкретних стандартів, а також Експрес-аудит – швидка вибіркова перевірка стану захищеності. Розрізняють також Аудит ІТ-інфраструктури – це комплексний цілеспрямований захід щодо перевірки ІТ-системи, включає паспортизацію, інвентаризацію, документацію, оцінювання.

Аудит проводиться за ініціативою керівництва компанії, яка виступає замовником. Основні вимоги до проведення Аудиту ІБ – незалежність, неупередженість, об’єктивність, правдивість, добросовісність, конфіденційність. Завдання аудиту безпеки – виявити інформаційні загрози на всіх рівнях ІС. Аудит інформаційної безпеки рекомендується проводити не рідше 1 разу на рік.

Історія виникнення аудиту сягає сивої давнини. Назва походить від латинського audio – “слухати”. На території України перші аудитори з’явилися ще в IX-XII столітті, в епоху Княжої доби. Ними були скарбники, бояри, посли, купці, копні судді, які вели статистику витрат та облік матеріальних цінностей (тканина/зерно/коштовності), перевіряли військовий арсенал, земельні володіння і господарства, заслуховували міщан та вирішували диспути. Деякі з них разом з купцями подорожували по торговому шляху “Із варягів у греки”, де оцінювали місцеві активи, здійснювали закупівлі. У подальшому аудит активно застосовувався у сфері торгівлі та особливого поширення набув в Італії (Флоренція, Венеція) і Великобританії. Останню країну вважають родоначальницею аудиту. За однією з версій, відомий політик та економіст Джордж Вотсон порекомендував шотландським комерсантам провести перевірку їхньої бухгалтерської звітності. Результат перевершив усі очікування, після чого шотландці почали регулярно проводити аудити. У XX столітті аудит набув добре знайомих нам рис, зокрема з’явився аудит електронно-обчислювальних систем (ЕОМ). IT Аудитори перевіряли справність цифрових пристроїв та систем, цілісність накопичувачів інформації, тестували, виявляли слабкі місця, оцінювали на відповідність стандартам, проводили сертифікації і атестації.

Аудит інформаційної безпеки включає:

Сканування вразливостей: динамічне (DAST), статичне (SAST), інтерактивне (IAST)
Аналіз системних журналів (логів)
Аналіз системних процесів
Аналіз програмного забезпечення
Аналіз захищеності операційної системи
Аналіз захиcту файлової системи
Аналіз системи резервного копіювання
Аналіз захищеності баз даних
Аналіз захищеності облікових записів
Аналіз внутрішніх правил та політик безпеки
Аналіз конфігурації мережевого екрана (WAF/NGDW/IPS/IDS)
Аналіз СУІБ (SIEM/DLP)
Аналіз DNS
Аналіз CMS
Аналіз веб-сервера
Аналіз конфігурації мережевого обладнання (модеми, роутери, маршрутизатори)
Аналіз мереж: локальної (LAN), бездротової (WLAN)
Аналіз захищеності мережевих портів (TCP/UDP)
Локалізація вузьких місць
Виявлення каналів витоку інформації
Виявлення шляхів несанкціонованого доступу
Оцінка поточного рівня захищеності системи
Рекомендації для підвищення рівня захищеності

Компанія KR. Laboratories проводить комплексний аудит інформаційної безпеки. Наші сертифіковані фахівці дотримуються ризик-орієнтованого підходу й допоможуть вам розібратися із загрозами інформаційної безпеки будь-якої складності. Нижче можете ознайомитися з видами аудиту, які ми проводимо.

Види аудиту інформаційної безпеки

Аудит безпеки хмарних платформ і технологій

Аналіз захищеності хмарних платформ, віртуальних середовищ, технологій: AWS, GCP, Azure, OVH, ORACLE, HETZNER, Alibaba, DigitalOcean, Office 365, G-Suite, Kubernetes, Docker, VirtualBox, HYPER-V, VMware. Перевірка IAAS, SAAS, PAAS, On-Premise інфраструктур. Публічних (Public), приватних (Private), гібридних (Hybrid) хмарних середовищ. Виявлення внутрішніх та зовнішніх загроз, порушень доступу, пошук шкідливого коду та зловмисного ПЗ. Аналіз API-інтерфейсів, мікросервісів, інтеграцій, облікових записів. Аналіз відповідності сертифікаціям, вимогам, стандартам безпеки.

Аудит інформаційної безпеки підприємства

Перевірка інформаційної та кібербезпеки підприємства. Аналіз захищеності внутрішньокорпоративних інформаційних систем, засобів зв'язку, цифрових пристроїв та активів. Перевірка політики захисту даних. Відповідність стандартам CIS, NIST, ITIL, COBIT. Аналіз захищеності додатків, ресурсів, бізнес-процесів. Аудит безпеки співробітників.

Аудит безпеки мобільних пристроїв і систем

Аналіз захищеності смартфонів, операційних систем Android/iOS. Перевірка системних процесів, служб, конфігурації пристрою, APK-застосунків. Виявлення руткітів, бекдорів, троянів, spyware та інших шкідливих програм.

Аудит безпеки SMART-контрактів (Blockchain)

Аналіз Blockchain-мереж, перевірка вихідного коду смарт-контракту, пошук помилок і вразливостей. Аудит транзакцій криптовалюти. Безпека NFT. Дослідження Ethereum мережі. Створення звіту з рекомендаціями для покращення захисту смарт-контрактів.

Аудит відповідності OWASP TOP 10

Аналіз захищеності сайтів і веб-додатків згідно стандарту OWASP Top 10, який являє собою список найбільш поширених ризиків і загроз в роботі електронних ресурсів та інформаційних систем.

Аудит відповідності GDPR

Аналіз компаній, SAAS/PAAS платформ, електронних ресурсів згідно з міжнародним регламентом про захист персональних даних GDPR. Аналіз захищеності персональних, конфіденційних даних. Перевірка засобів шифрування, аудит цифрових активів.

Аудит відповідності SOC 2

Аналіз ІТ-інфраструктури, продуктів і рішень, програмного забезпечення на відповідність вимогам стандарту SOC 2, який включає комплексну перевірку безпеки і конфіденційності даних по більше, ніж 70 пунктам.

Аудит безпеки ІТ-інфраструктури

Аналіз архітектури, структури, технічних характеристик, захищеності інфраструктури компаній, організацій, приватних осіб. Аудит VPS/VDS-серверів, Endpoint-систем (Windows/Linux/MacOS), корпоративних мереж (LAN, WLAN, Ethernet, Wi-Fi, DHCP), веб-додатків. Перевірка файлових (WebDAV) і поштових MAIL-серверів (IMAP/POP3/SMTP), баз даних (MySQL), DNS/FTP/SSH/RDP/NTP-сервісів, HTTP/SSL/TLS-протоколів. Сканування вразливостей на всіх рівнях OSI-моделі.

Аудит безпеки VPS-серверів

Аналіз захищеності серверів на базі Linux (CentOS, Ubuntu, Debian, RedHat). Комплексний та експрес-аудит. Аналіз системних логів, фаєрвола, мережевих TCP/UDP портів, прав та політик доступу, мережевих протоколів, сервісів, з'єднань. Виявлення ознак зламу, недоліків, вразливостей, помилок. Аналіз працездатності сервера.

Аудит безпеки IoT пристроїв

Аналіз архітектури безпеки та мережевих налаштувань Інтернету речей (IoT): гаджети, розумні розетки, датчики, сканери, Wi-Fi/Bluetooth/NFC/GPS-системи, Smart House. Сканування, дослідження на наявність вразливостей, контроль доступу. Перевірка інтерфейсів, служб, протоколів, з'єднань, оновлень, сертифікатів, шифрування. Аналіз системних служб, журналів, правил, політик. Моніторинг спожитого трафіку, аналіз мережевих пакетів (Wireshark/tcpdump).

Аудит безпеки програмного забезпечення (ПЗ)

Аналіз вихідного коду систем, застосунків, розширень, додатків.Перевірка відповідності стандартам безпечного програмування. Статичний і динамічний аналіз коду. Пошук вразливостей в коді. Інспектування, валідація, рекомендації.

Аудит відповідності PCI-DSS

Аналіз захищеності фінансових установ, банків, платформ електронної комерції, торгових точок, постачальників послуг згідно стандарту PCI-DSS. Включає перевірку захисту платіжних даних, POS-терміналів, банківських рахунків та карт, транзакцій.

Аудит відповідності ISO/IEC

Аналіз компаній, бізнес-установ, організацій, об'єктів інфраструктури на відповідність стандартам безпеки ISO/IEC 27001:2013, ISO/IEC 9001, які включають більше 20 політик захисту даних. Перевірка СУІБ, нормативної документації.

Аудит відповідності HIPAA

Аналіз організацій, установ, компаній, сервісів, що працюють у сфері охорони здоров'я або обробляють пов'язану з цим інформацію. Перевірка захищеності персональних, конфіденційних, медичних даних. Аналіз СУІБ і ТЗІ.

Міжнародні стандарти інформаційної безпеки

NIST

NIST (The United States National Institute of Standards and Technology) - методологія з кібербезпеки, розроблена Національним Інститутом Технологій США. Містить рекомендації щодо оцінки захищеності, внутрішнього і зовнішнього аудиту, тестування на проникнення, організації процесів безпеки, вдосконалення СУІБ. Існує кілька версій цього документу, зокрема NIST 800-115 та NIST 800-181.

ISO/IEC

ISO/IEC 27001 (Information technology — Security techniques — Information security management systems — Requirements) - це один з найстаріших та найавторитетніших стандартів безпеки, заснований у 1947 році. Містить численні правила і регуляції для менеджменту та управління ризиками.

PCI-DSS

PCI DSS (The Payment Card Industry Data Security Standard) - стандарт безпеки, розроблений у 2004 році компаніями MasterCard, Visa, American Express, JCB International та Discover Financial Services. Покликаний допомогти захистити транзакції з дебетовими та кредитними картками від шахрайства та крадіжки

MITRE

MITRE (General Data Protection Regulation) - це некомерційна організація, яка досліджує і популяризує кібербезпеку, заснована федеральною агенцією США у Массачусетсі, при MIT Lincoln Laboratory. Організацією були випущені два фреймворки з кібербезпеки: MITRE ATT&CK та MITRE D3FEND, що визначають тактику нападу та тактику захисту відповідно.

COSO

COSO (The Committee of Sponsoring Organizations of the Treadway Commission) - це організація, яка розробляє вказівки для підприємств щодо оцінки внутрішнього контролю, управління ризиками та запобігання шахрайству. Створена в США у 1980-х роках.

ITIL

ITIL (Information Technology Infrastructure Library) - це бібліотека стандартів, у яких описані кращі світові практики і рекомендації щодо управління ІТ-послугами, процесами, керування проєктами, відділами, ризиками.

IPPF

IPPF (International Professional Practices Framework) - це стандарт з рекомендаціями та вказівками для аудиторів. Створений Інститутом внутрішніх аудиторів (IIA). Містить основні принципи внутрішнього аудиту.

GTAG

GTAG (Global Technology Audit Guides) - це набір стандартів з технологічного аудиту, розроблений Інститутом внутрішніх аудиторів (IIA).

CIIP

CIIP (Critical Information Infrastructure Protection) - це комплексний фреймворк з кібербезпеки, створений міжнародною організацією ITU (International Telecommunications Union).

ISF

ISF (Information Security Forum) - це організація з інформаційної безпеки, створена у 1989 році в Лондоні, Великобританія. Нею був розроблений однойменний фреймворк з кібербезпеки.

FAIR

FAIR (Factor Analysis of Information Risk) - це фреймворк з інформаційної безпеки, розроблений некомерційною організацією FAIR, місія якої полягає у створенні та просуванні найкращих практик управління ризиками.

CIS

CIS Controls (The Center for Internet Security) - це група стандартів з кібербезпеки. Проєкт було розпочато у 2008 році Інститутом SANS (США). Потім право власності було передане Раді з кібербезпеки США (CCS) у 2013 році, а у 2015 році організації Центр Інтернет-безпеки (Center for Internet Security, CIS). Початково фреймворк був відомий як "Рекомендації з аудиту консенсусу", а також як SANS Critical Security Controls (SANS Top 20).

GDPR

GDPR (General Data Protection Regulation) - регламенту про безпеку і конфіденційність даних, створений Європейським Союзом. Вперше опублікований у 2016 році. Застосовується для захисту від порушення даних і застосовується до всіх компаній, які обробляють персональні дані людей, які проживають в ЄС, включаючи компанії, які фізично не розташовані в Європейському Союзі.

HIPAA

HIPAA (Health Insurance Portability and Accountability Act) - нормативний стандарт у сфері охорони здоров'я, який передбачає захист медичної інформації пацієнтів. Ухвалений в США у 1996 році. Поширюється на всіх постачальників медичних послуг (лікарні, клініки, лікарі, стоматологи, центри, установи, організації, будинки престарілих, аптеки, психологи, терапевти).

COBIT

COBIT (Control Objectives for Information and Related Technology) - це стандарт, який складається з ряду документів для управління ІТ-процесами та ІТ-безпекою.Створено Асоціацією з аудиту та контролю інформаційних система (ISACA) спільно із Інститутом управлінням ІТ (ITGI) у 1996 році.

ITAF

ITAF (Information Technology Assurance Framework) - це збірник рекомендацій для аудиторів, розроблений всесвітньовідомою некомерційною організацією ISACA (Information Systems Audit and Control Association).

IOTSF

IOTSF (IoT Security Foundation) - це набір стандартів з безпеки Інтернету речей (IoT). Містить велику кількість практик, матеріалів, рекомендацій з захисту IoT-пристроїв.

FISMA

FISMA (The Federal Information Security Management Act) - нормативний акт, створений у 2002 році, який зобов'язує організації розробляти та впроваджувати програми безпеки та захисту даних, зменшувати ризики.

ISA/IEC

ISA/IEC 62443 - це серія міжнародних стандартів безпеки для промислових систем автоматизованого управління, розроблена комітетом ISA (International Society of Automation, заснований у 1945 році) і прийнята Міжнародною електротехнічною комісією (IEC).

HITRUST

HITRUST CSF - це фреймворк з організації безпеки, створений для забезпечення конфіденційності на основі різних ризиків та стандартів, зокрема HIPAA, GDPR, PCI-DSS. Складається з 49 цілей контролю за 156 специфікаціями управління.

CCM

CCM (Cloud Control Matrix) - це фреймворк з кібербезпеки для хмарних платформ і технологій, розроблений світовою організацією Cloud Security Alliance (CSA). Складається зі 197-ти цілей управління і контролю, структуровані в 17 областях, що охоплюють ключові аспекти хмарних технологій.

Етапи аудиту інформаційної безпеки

01. Підготовка і планування

Заповнюються опитувальні листи. Проводяться співбесіди з замовником. Визначаються об'єкти і межі аудиту. Вивчаються супровідні документації. Обирається тип і методологія. Формуються та узгоджуються цілі, дати, терміни. Складаються і підписуються відповідні документи, договори. Підбирається інструментарій. Визначаються права і обов'язки аудитора. Призначаються відповідальні за проведення аудиту.

02. Збір даних

Виконується інвентаризація всіх технічних, програмних, апаратних засобів, електронних ресурсів, адміністративних вузлів, цифрових активів. Складається топологія мережі. Збираються характеристики усіх компонентів.

03. Аналіз даних

Аналізуються зібрані дані. Виявляються та описуються знайдені інформаційні загрози, вразливості. Здійснюється оцінка відповідності стандартам і законодавчим актам.

04. Звітність

Оформлюються результати аудиту і подаються у вигляді звіту, який інформує про виявлені недоліки, загрози, вразливості. Документуються усі виконані аудитором перевірки, сортуються таблиці, діаграми, знімки екрана. Описуються методи, інструменти, які були використані в процесі аудиту. Розробляються експертні висновки і рекомендації.

05. Контроль

Відстеження змін та впровадження рекомендацій аудиту.

🚀 Спробуйте послугу тестування на проникнення (пентест)

⚡ Переваги Аудиту ІБ

Виявлення слабких місць, помилок, вразливостей

Оцінка ефективності, надійності, стабільності та продуктивності

Прогнозування можливих проблем і фінансових витрат

Попередження репутаційних збитків

Оцінка відповідності міжнародним стандартам та вимогам

Виявлення шляхів оптимізації інформаційної безпеки

Підвищення довіри користувачів

Наші інструменти

Попередній

Далі

Наші сертифікати

Попередній

Далі

Як ми працюємо?

1 крок

Отримуємо заявку

Ви залишаєте заявку на нашому сайті. Ми зв’яжемося з Вами для уточнення деталей. Надішлемо електронний бриф до заповнення, щоби краще зрозуміти Ваші цілі та задачі.

2 крок

Визначаємо вартість

На основі отриманої від Вас інформації, розраховуємо вартість роботи. Ви отримуєте комерційну пропозицію, яка міститиме покроковий план роботи, умови і терміни виконання.

3 крок

Укладаємо договір

Укладаємо договір про нерозголошення конфіденційної інформації (NDA). Цим договором ми закріплюємо наші домовленості та відповідальність.

4 крок

Виконуємо роботу

Здійснюємо усі необхідні заходи та процедури для проведення аудиту інформаційної безпеки.

6 крок

Надаємо звіт

По закінченні роботи надаємо PDF-звіт, який включає список перевірок, детальний опис виявлених недоліків та вразливостей, а також технічні висновки і рекомендації.