Bezpečnostný audit

Bezpečnostný audit je ohodnotenie zabezpečenia informačného systému, procedúr, praktík a ohodnotenie úrovne rizík, ktorým informačný systém a informačné aktíva čelia. Bezpečnostný audit IT vo všeobecnosti adresuje bezpečnostné problémy s IT systémami vrátane softvéru, hardvéru, infraštruktúry, procedúr, obchodných procesov a ľudí. Audit je zameraný najmä na riziká a na ohodnotenie rizík straty, kompromitovania alebo zničenia informácií.
Spoločnosť S&T Slovakia má vo svojom portfóliu poskytovaných služieb aj auditnú činnosť. V rámci našej spoločnosti existuje špecializovaná skupina pracovníkov zameraných na procesnú bezpečnosť a bezpečnostné audity. Spomínaní zamestnanci sú členmi medzinárodnej organizácie ISACA združujúcich audítorov informačnej bezpečnosti a sú držiteľmi medzinárodného certifikáciu CISA (Certified Information Security Auditor).

V rámci bezpečnostných auditov vieme zákazníkovi ponúknuť viaceré typy auditu:

  • Audit systému riadenia informačnej bezpečnosti
    Pri tomto type vysoko úrovňového auditu sa postupuje v zmysle medzinárodného štandardu ISO/IEC 27001:2005 (BS ISO/IEC 17799). Výsledkom auditu je záverečná správa hodnotiaca súlad úrovne informačnej bezpečnosti v organizácii práve voči týmto medzinárodným uznávaným štandardom určeným pre budovanie a riadenie informačnej bezpečnosti.

  • Audit konfigurácie zariadení
    V tomto audite sa preveruje bezpečnosť nastavenia a služieb poskytovaných daným zariadením. Môže ísť o konfiguračný audit aktívnych sieťových prvkov infraštruktúry (akými sú firewally, smerovače, prepínače, prístupové servery, VPN tunely), alebo o audit zabezpečenia samotných serverov a operačných systémov. Pri takomto audite sa zariadenie audituje podľa vlastných auditných metodológii zohľadňujúcich odporúčania výrobcu zariadenia, ako aj všeobecne platné „best practices“ v danom profesnom segmente. Je vhodné ak je audit doplnený aj o audit procesov používania a administrácie daných zariadení z pohľadu bezpečnosti. (napr. audit procesov správy smerovača, zálohovania firewallu, kontrolu integrity konfiguračného auditu...)

  • Penetračné testovanie
    Formou penetračných testov získava zákazník jedinečnú príležitosť získať prehľad o reálnych, ale aj potenciálnych slabinách, ktoré môžu predstavovať reálne riziká pre chránené aktíva. Zákazník má taktiež počas testovania príležitosť overiť si funkčnosť a efektívnosť všetkých implementovaných obranných mechanizmov, či už sa jedná o firewally, IDS/IPS riešenia, alebo ochranné mechanizmy na úrovni aplikácií. Počas testovania skupina špecialistov systematicky prehľadáva všetkými dostupnými prostriedkami cielené aktíva, pričom sa snaží simulovať reálneho útočníka, ktorý buď nemá žiadne informácie o cieľových systémoch, prípadne disponuje základnými informáciami o nich. Rozdielom medzi reálnym útočníkom a audítorom je fakt, že cieľom penetračných testov je identifikácia všetkých slabín systému, zatiaľ čo reálny útočník by hľadal iba jednu, ktorú by následne aj zneužil.

  • Procesný audit
    V rámci neho sa posudzuje existencia, funkčnosť a opodstatnenosť vykonávania procesov z vybranej oblasti riadenia informačnej bezpečnosti (napr. riadenie prístupov).