Для определения реального положения дел с информационной безопасностью на предприятии интеграторы, специализирующиеся на безопасности, предлагают услугу аудита, который позволяет оценить уровень информационной безопасности, выявить слабые места защиты и выработать план дальнейшего совершенствования систем безопасности.

Понимая важность аудита для эффективного использования бюджетов, выделенных на ИТ-безопасность, компания "ДиалогНаука" провела 5 февраля семинар "Практические аспекты проведения аудита информационной безопасности компании". На нем обсуждались варианты не только "бумажного" аудита, в процессе которого проверяются и корректируются сопроводительные документы, но также и технологического, который позволяет выявить проблемы защиты информационной системы предприятия. Если первый тип аудита, как правило, нужен для получения различных сертификатов на соответствие стандартам, то есть предназначен для внешнего использования, то технологический аудит необходим в первую очередь самой компании, а точнее - ее руководству, которое может по результатам проведенных исследований оптимизировать работу службы информационной безопасности без потери качества ее работы.

Предлагает такого рода услуги (проведение тестов на проникновение и контроль утечек конфиденциальной информации) и сама "ДиалогНаука". По их статистике, 95% попыток проникновения оказываются успешными.

"Я еще ни разу не писал в заключении фразу, что конфиденциальной информации в Internet не обнаружено", - заявил Андрей Масалович, руководитель отдела конкурентной разведки. При этом часто утечки происходят с корпоративного сайта, куда выкладывается конфиденциальная информация для партнеров или заказчиков, которая в результате становится доступной поисковой системе.

Андрей Соколов, который занимается проведением тестов на проникновение, отметил, что компании в основном защищаются от атак через Сеть, использующих ошибки в программном обеспечении и его настройке. Такие атаки удаются в половине случаев. Однако при использовании социальных методов доля успешных атак увеличивается фактически до 100% - во всех 25 тестах, которые Соколов провел за последние полтора года, ему удалось проникнуть в систему заказчика.

В ходе типовой атаки такого рода в Internet проводится поиск конфиденциальной информации о сотрудниках компании, выбирается список жертв, которым рассылается сообщение якобы от имени другого сотрудника компании с просьбой запустить приложенную к письму программу. Сама программа является «троянцем» собственной разработки, который не детектируется ни одним антивирусом, но может установить связь с исследователем безопасности по скрытому каналу. Дальнейшие действия зависят уже от условий контракта. К примеру, когда сотрудникам "ДиалогНауки" однажды предложили проверить, сколько информации можно скрытно скачать из сети заказчика, они добыли 27 Гбайт.

В целом же для сотрудников отдела безопасности проведение подобного типа тестов является хорошим способом увеличения бюджета отдела. По крайней мере, Соколов заверил: "По результатам наших тестов не пострадал ни один сотрудник отдела безопасности".

Поделитесь материалом с коллегами и друзьями