+998 78 147 00 37

Этап 1

В ходе обследования системы управления информационной безопасностью проводилась оценка следующих защитных мер:

  • Наличия политики информационной безопасности, политики управления рисками ИБ, политики управления уязвимостями ИБ, политика использования паролей и др.
  • Проверка соответствия местным законодательным актам и лучшим международным практикам управления ИБ.
  • Текущего уровня организации информационной безопасности, включая изучение инфраструктуры компании, распределение и управление ролями, ответственности и обязанностей в области информационной безопасности, взаимодействие с органами власти, использование мобильных устройств и организацию удалённой работы.
  • Обеспечения информационной безопасности при приёме, увольнении сотрудников, а также во время работы.
  • Уровня управления активами, связанными с информацией и средствами обработки информации, включая идентификацию активов, правила работы с документацией, классификацию информации по уровню конфиденциальности, использование различных носителей информации.
  • Управления доступом, включая политики управления доступами, доступ к сетям и сетевым сервисам, процедуры регистрации пользователей, предоставления доступа и управления правами доступа.
  • Криптографических методов защиты информации.
  • Физической безопасности.
  • Оценка операционной деятельности по обеспечению информационной безопасности, включая рабочие процедуры и ответственность, защиту от вредоносных программ, резервное копирование, регистрацию и мониторинг событий, управление операционным ПО, управление технической уязвимостью используемых информационных систем и управление аудитом информационных систем.
  • Актуальности плана обеспечения непрерывности работоспособности и восстановления деятельности.
  • Управления изменениями в системах.
  • Управления сетевой безопасностью.
  • Приобретения, разработки и сопровождения информационных систем.
  • Управления безопасностью в отношениях с поставщиками.
  • Управления инцидентами в сфере информационной безопасности.
  • Аспектов информационной безопасности при управлении непрерывностью бизнеса.
  • Соответствия законодательным и договорным требованиям.

 Этап 2

Проведено сканирование на уязвимости с использованием репозитория уязвимостей Mitre Att&ck и Nessus Tenable, в частности:

  • Открытые порты;
    • Версии ПО или ОС, более не поддерживаемые вендорами или имеющими уязвимости, закрытые патчами в обновлениях последующих версий;
    • Анализ уязвимостей, связанных с использованием модулей и плагинов в различном ПО категорий BlueKeep, Log4Shell, WannaCry, Petya и др.;
    • Некорректная конфигурация ПО с возможностью удаленного подключения и/или компиляции кода;
    • Версии используемых стандартов шифрования и хэширования (SSL, TLS, SHA1, SHA2, SHA256);
    • Возможности SQL-injection атак;

Использование стандартных учетных данных в административном управлении ПО или ОС.

Компания:

Продолжительность:

Отрасль:

Тип предоставляемой услуги:

Смотреть другие проекты

Формирование технического задания на доработку медицинской информационной системы MedAdvise
Внедрение сервисного подхода и процессной модели управления IT.
Обследование информационной безопасности, разработка документации и процессов СУИБ