Заказчик:
Банк из Топ-10
Отрасль:
Финансы
Годы:
Январь 2020 – декабрь 2024
Сроки:
2020 – 2024
Задача:
Провести проверку и анализ реализованных мер защиты информации в информационных система, а также оценить соответствие информационных систем внутренним нормативным документам и требованиям законодательства в области информационной безопасности. Перед нами стояла задача провести аудит без возможности остановки или деградации анализируемых систем.
Что сделали:
Совместно с Заказчиком разработали методику проведения аудита. В рамках работ были исследованы информационные системы, выявлены и систематизированы ошибки настроек информационной безопасности. Оценено соответствие информационных систем внутренним нормативным документам и требованиям законодательства в области информационной безопасности.
Анализ состояния информационных систем охватил аппаратные и программные средства, каналы связи с другими системами, интерфейсы, а также обрабатываемые конфиденциальные данные. Особенностью подхода стало широкое исследование элементов информационных систем и связанных с ней объектов и процессов с полный исключением ущерба, простоя или деградации целевых систем. Такой подход позволил получить результаты, сопоставимые с тестированием на проникновение, но без рисков для функционирования систем.
На основании проведенных работ был подготовлен отчет по каждой исследуемой информационной системе. В отчете указаны выявленные ошибки настроек информационных систем, их категории критичности, а также рекомендации по устранению несоответствий и повышению уровня защищённости.
Анализ состояния информационных систем охватил аппаратные и программные средства, каналы связи с другими системами, интерфейсы, а также обрабатываемые конфиденциальные данные. Особенностью подхода стало широкое исследование элементов информационных систем и связанных с ней объектов и процессов с полный исключением ущерба, простоя или деградации целевых систем. Такой подход позволил получить результаты, сопоставимые с тестированием на проникновение, но без рисков для функционирования систем.
На основании проведенных работ был подготовлен отчет по каждой исследуемой информационной системе. В отчете указаны выявленные ошибки настроек информационных систем, их категории критичности, а также рекомендации по устранению несоответствий и повышению уровня защищённости.
Инструменты:
Система SGRC
Особенности:
- Проведение аудита без риска простоя, ущерба или деградации систем с результатами, сопоставимыми с тестированием на проникновение.
- Проверено более 200 информационных систем Заказчика.
- В отличие от «классического» аудита, в рамках данных работ объем выборки инфраструктурных элементов для проверки стремился к полному покрытию, что обеспечило более глубокую оценку защищённости всех элементов инфраструктуры.
Результат:
Заказчик повысил свою осведомлённость о текущем уровне защиты информационных систем, получил отчет с выявленными несоответствиями и детализированными рекомендациями по их исправлению, укреплению системы защиты информации и минимизации рисков. Также предоставлены рекомендации по повышению безопасности данных, сетевой инфраструктуры и серверов Заказчика.
Работы позволили Заказчику оценить не только потенциальные риски отсутствия организационных и технических мер защиты информационных систем, но и целесообразность внедрения дополнительных решений для усиления информационной безопасности.
Работы позволили Заказчику оценить не только потенциальные риски отсутствия организационных и технических мер защиты информационных систем, но и целесообразность внедрения дополнительных решений для усиления информационной безопасности.
Контакты
+7 (495) 150 99 86
info@glt.su
sales@glt.su
info@glt.su
sales@glt.su
г. Москва, ул. Фруктовая, д.7, к.2
+7 (495) 150 99 86
info@glt.su
sales@glt.su
г. Москва, ул. Фруктовая, д.7, к.2
info@glt.su
sales@glt.su
г. Москва, ул. Фруктовая, д.7, к.2