Аудит — один из важнейших инструментов, который позволяет предприятиям оценить состояние и надежность своей ИТ-инфраструктуры. Специалисты различают несколько направлений аудита.
Инфраструктурный аудит
Инфраструктурный аудит — это процесс оценки технических характеристик ИТ-инфраструктуры компании для выявления проблем, рисков или устаревших компонентов.
Основные задачи:
- Оценка эффективности и надежности серверов, сетевого оборудования, систем хранения данных и других компонентов.
- Выявление узких мест в производительности или потенциальных проблем в масштабируемости.
- Анализ соответствия инфраструктуры стандартам и лучшим практикам.
Инфраструктурный аудит выявляет соответствие или несоответствие эксплуатируемой ИТ-инфраструктуры требованиям бизнеса. Кроме того, он позволяет оптимизировать стоимость владения и сформировать стратегию дальнейшего развития ИТ-инфраструктуры. В понятие инфраструктурного аудита входит несколько направлений, которые могут быть выполнены вместе или отдельно друг от друга, чтобы выявить ошибки в определенной части корпоративной инфраструктуры.
Анализ инфраструктуры виртуализации
Аудит этого компонента направлен на оценку архитектуры и настроек виртуальной инфраструктуры, виртуальных машин, гипервизоров и систем управления виртуализацией. Основной акцент делается на производительности, отказоустойчивости и безопасности виртуальных сред.
Анализ серверной инфраструктуры
Здесь анализируются физические сервера, их конфигурация, производительность, а также системы охлаждения и питания. Цель — обеспечить максимальное использование ресурсов серверов при сохранении их надежности.
Анализ сетевой инфраструктуры
Этот вид аудита охватывает все элементы корпоративной сети: от коммутаторов и маршрутизаторов до брандмауэров и систем обнаружения вторжений. Основные параметры оценки: производительность, безопасность и стабильность сетевых соединений.
Анализ систем и сетей хранения данных
Аудит включает оценку конфигураций систем хранения, их производительности, а также стратегий резервного копирования и восстановления данных.
Аудит платформенных сервисов
Аудит оценивает сервисы, которые предоставляются на уровне платформы, например, почтовые серверы. Здесь ключевое внимание уделяется безопасности, производительности и интеграции сервисов.
Аудит внешних сервисов
Это направление аудита занимается оценкой и контролем внешних ИТ-ресурсов, которыми пользуется компания. В их числе могут быть облачные инфраструктуры, различные SaaS-решения, сервисы гиперскейлеров. Основной фокус аудита — безопасность данных, соответствие требованиям регулятора и качество предоставляемых услуг.
Анализ соответствия требованиям обеспечения непрерывности бизнеса
Этот комплексный вид аудита охватывает все вышеупомянутые области для оценки функционирования ИТ-инфраструктуры при разных сценариях сбоев.
Кейс инфраструктурного аудита
Аудит сетевой инфраструктуры cети ювелирных магазинов «585GOLD»
Компания «585GOLD» обратилась в ITGLOBAL.COM для аудита сетевой инфраструктуры из-за участившихся сбоев оборудования.
Аудит выявил большое число артефактов: лишние подсети, vrf, VLAN, неработающие зоны безопасности на межсетевых экранах и неактивные BGP-соседства. Существующая конфигурация увеличивала риск серьезных сбоев, которые могли привести к недоступности услуг дата-центра и проблемам в функционировании магазинов и офисов.
Эксперты ITGLOBAL.COM дали ряд рекомендаций по оптимизации общей топологии, дизайна OSPF и BGP, а также предложили два пути модернизации сети — на базе оборудования Cisco или Juniper.
Аудит информационной безопасности
Аудит информационной безопасности — это процесс оценки безопасности информационных систем в организации с целью обнаружения уязвимостей и рисков.
Основные задачи:
- Оценка политик и процедур безопасности информации.
- Тестирование на наличие уязвимостей (через пентесты или сканирование уязвимостей).
- Анализ соответствия стандартам безопасности и регулятивным требованиям (например, ФЗ-152, GDPR, PCI DSS).
Аудит информационной безопасности позволяет выявить и устранить потенциальные угрозы и уязвимости, а также гарантировать соответствие установленным стандартам и регулированиям. Аудит информационной безопасности также подразделяется на различные компоненты:
Аудит ИБ
Глубокий анализ и оценка всех компонентов системы безопасности на предмет соответствия установленным требованиям и лучшим практикам отрасли. Компоненты, входящие в состав аудита: сети, операционные системы, системы виртуализации, СУБД, системы менеджмента ИБ, помещения с оборудованием, настройки используемых средств ИБ, специфические компоненты информационной инфраструктуры.
Оценка соответствия
Включает в себя оценку соответствия требованиям нормативных документов ЦБ РФ и ФСТЭК России в сфере информационной безопасности: 719-П (защита финансовых переводов), 152-ФЗ (о персональных данных), защищенность биометрических персональных данных и прочие.
Сертификация PCI DSS
Стандарт безопасности данных платежных карт (PCI DSS) был разработан для защиты данных клиентов при проведении платежных операций. Сертификация этого стандарта подтверждает, что организация обеспечивает должный уровень безопасности при обработке платежных данных. Предаудиты такого типа помогают подготовиться к официальному QSA-аудиту и сертификации по отраслевому стандарту, а также заполнить лист самооценки SAQ.
Комплексное тестирование на проникновение
Этот метод заключается в симуляции атаки на информационные системы с целью выявления и устранения уязвимостей, прежде чем они будут эксплуатироваться настоящими злоумышленниками. Среди видов данной модели тестирования: Pentest (анализ защищенности ИТ-инфраструктуры глазами злоумышленника), тестирование на проникновение внешнего периметра по модели Black Box и анализ защищенности мобильных и web-приложений.
Центр мониторинга и реагирования на инциденты ИБ (SOC)
SOC (Security Operations Center) — это команда профессионалов, которая круглосуточно следит за безопасностью информационных систем, обнаруживает и анализирует инциденты, а также принимает меры по их устранению.
Категорирование объектов КИИ
Этот процесс заключается в определении степени важности объектов критической информационной инфраструктуры и их соответствующем размещении в категориях в зависимости от уровня риска и значимости для организации, помогая выполнить требования ФЗ №187 «О безопасности критической информационной инфраструктуры Российской Федерации».
Кейсы
Укрепление информационной безопасности IVOLGA CAPITAL
Компания IVOLGA CAPITAL обратилась к ITGLOBAL.COM SECURITY для проверки соответствия своих процессов инфобезопасности требованиям Банка России № 757-П.
Проект состоял из трех этапов.
- Комплексный аудит ИБ, исследование инфраструктуры и выявление несоответствий. Также команда аудитора предоставила детальные рекомендации по улучшению архитектуры и оптимизации процессов.
- Аудитор разработал пошаговый план по внедрению новых процессов ИБ, соответствующих Положению Банка России № 757-П и ГОСТ 57580.
- Аудитор дал рекомендации по структурированию процессов ИБ, начиная с мониторинга инфраструктуры и заканчивая предоставлением доступа.
Благодаря сотрудничеству с ITGLOBAL.COM, IVOLGA CAPITAL укрепила свои процессы ИБ, сократила риски, связанные с утечками информации, соответствует требованиям Банка России и готова к проверкам.
Предаудит PCI DSS для НКО «Мобильная карта»
Компания «Мобильная карта» реализует проект «ПЕРВЫЙ ЦУПИС», предоставляя платежные сервисы для букмекерских контор.
Компания регулярно проходит сертификационные аудиты для соответствия международным и национальным стандартам безопасности. В 2019 году «Мобильная карта» выбрала ITGLOBAL.COM в качестве аудитора для оценки соответствия ряду нормативных актов и стандартов.
По результатам аудита «Мобильная карта» продемонстрировала высокий уровень соответствия стандарту PCI DSS, Положению 382-П и ГОСТ Р 57580. Мелкие недочеты были устранены на месте, и компания успешно прошла последующий независимый QSA-аудит.
Пентест платежного сервиса FINOM по модели Black Box
Международная компания FINOM предоставляет финансовые решения для бизнеса: от инвойсинга до виртуальных карт. Учитывая европейские стандарты GDPR, в приоритете была безопасность портала.
Поэтому FINOM привлекла ITGLOBAL.COM для проведения пентеста по модели Black Box.
Процесс тестирования:
- Пентестеры провели рекогносцировку веб-приложения FINOM по публичным источникам;
- Определили уровень защищенности площадки, на которой размещено приложение, проанализировали безопасность ее настроек и конфигурацию;
- Смоделировали несколько разнотипных атак, чтобы выявить слабые места и возможность несанкционированного доступа к личному кабинету FINOM.
Тестирование выявило несколько некритичных уязвимостей, которые заказчик оперативно устранил.
Аудиторы ITGLOBAL.COM подготовили подробный отчет о результатах тестирования. Документ был принят и одобрен европейским банком-партнером FINOM.
Заключение
Регулярные ИТ-аудиты помогают на ранних стадиях обнаруживать и устранять, возникающие риски и предотвращая сбои, снижение производительности и другие угрозы.