Аудит информационной безопасности. Анализ на соответствие требованиям регуляторов.

Аудиты

В ходе аудита информационной безопасности проводится анализ сетевой инфраструктуры, логической и физической схемы сети, интервьюирование сотрудников, выявление бизнес-процессов и анализ рисков нарушения их работоспособности с точки зрения ИБ.

В ходе анализа рисков рассматриваются все основополагающие составляющие ИБ, а именно возможность нарушения конфиденциальности, целостности и доступности информации.

С помощью аудита ИБ возможно:

-Провести инвентаризацию ИБ активов организации;

- Получить информацию о текущем состоянии ИБ в организации;

- Оценить защищенность корпоративной сети от внешних и внутренних угроз;

- Оценить степень соответствия ИБ требованиям регуляторов, национальных и международных стандартов;

- Собрать исходные данные для оценки необходимого объема работ, по созданию/модернизации системы защиты информации.

В результате оказания услуги по аудиту информационной безопасности, заказчик получит отчет о текущем состоянии ИБ в организации, сможет сформировать представление о потенциальных уязвимостях, недостатках и возможных рисках нарушения ИБ, в результате реализации выявленных уязвимостей.

Компания Тринити обладает значительными компетенциями в области проведения аудитов информационной безопасности. При проведении аудитов ИБ, мы опираемся на компетенции наших сотрудников, знание Федеральных законов и отраслевых требований в сфере ИБ, программные и инструментальные средства контроля защищенности, и Best Practice в сфере информационной безопасности и защиты информации.

Комплексный тест на проникновение
Мы проведем технический тест на проникновение, реализуем комплекс мероприятий по имитации действий квалифицированного внешнего злоумышленника и инсайдера, включающий в себя сбор информации о сетевой инфраструктуре, выделение целевых точек проникновения, поиск уязвимостей на них, разработку и реализацию векторов проникновения.

Мы проведем социотехнический тест на проникновение, предназначенный для наглядной демонстрации текущего уровня осведомлённости ваших сотрудников в вопросах информационной безопасности. На данном этапе производится сбор и анализ публично доступной информации о сотрудниках, подготовка и проведение атак на сотрудников с использованием методов «социальной инженерии» через различные точки коммуникаций (соц. сети, эл. почта и т.д.) с целью получения удалённого контроля над их рабочими станциями.

Мы проведем оценку защищённости веб-приложений, которая представляет собой комплекс мероприятий: от анализа конфигурации веб-окружения до ручных и автоматизированных проверок веб-приложения.

Мы проведем оценку защищённости беспроводных сетей, идентифицируем точки беспроводного доступа и проведем анализ возможности проникновения через них в корпоративную информационную систему компании.

Сценарии:
1. «Черный ящик» (Исполнитель не получает дополнительной информации).
2. «Серый ящик» (Исполнителю предоставляется в ходе работ дополнительная информация).
3. «Белый ящик» (Исполнителю предоставляется детальная информация об инфраструктуре вплоть до доступа к исходным кодам функционирующих информационных систем).
Проведение аудитов по программам Visa и MasterCard
Помимо требований стандарта PCI DSS, распространяющегося на все организации, работающие с данными платежных карт и являющего перечнем «базовых» требований, применимых в любым процессам обработки данных платежных карт, платежные системы имеют отдельные программы и требования по безопасности, направленные на повышение уровня обеспечения ИБ в таких процессах как персонализация карт, предоставление сервиса 3-D Secure, обработка ПИН-кодов карт при проведении транзакций в терминальных устройствах.

Специалисты нашей компании аккредитованы как аудиторы безопасности международных платежных систем по программам Visa и MasterCard. Таким образом, мы можем провести сертификационный аудит на соответствие требованиям PCI Card Production and Provisioning Physical Security Requirements, PCI Card Production and Provisioning Logical Security Requirements, PCI PIN Security Requirements и Visa 3-D Secure Security Requirements Enrollment Servers and Access Control Servers.
Аудит по требованиям PCI Card Production and Provisioning Physical and Logical Security Requirements
Международные платежные системы Visa и MasterCard предъявляют свои требования для производителей платежных карт, а также для бюро персонализации и компаний, участвующих в цикле производства и персонализации платежных карт (например, подготовке данных). Под данные требования попадают организации, которые производят и/или персонализируют карты для третьей стороны. Такие компании должны ежегодно подтверждать соответствие требованиям стандартов PCI Card Production Physical и PCI Card Production Logical посредством прохождения ежегодного аудита.
Наши специалисты сертифицированы международными платежными системами Visa и MasterCard и готовы провести для Вас аудит по требованиям PCI Card Production Physical и PCI Card Production Logical.

Наши эксперты помогут:
- спроектировать защитные меры и мероприятия, относящиеся как к физической, так и к логической безопасности в соответствии с требованиями стандартов PCI Card Production Physical and Logical Secuirty Requirements;
- оценить соответствие требованиям и провести сертификационный аудит по требованиям Visa и MasterCard;
- сертифицировать новую фабрику/бюро персонализации или технологию производства/персонализации платежных карт.
Аудит по требованиям PCI PIN Security Requirements
При проведении card-present транзакций, ПИН-код, введенный держателем карты на ПИН-клавиатуре банкомата или POS-терминала, шифруется на специальных ключах для дальнейшей проверки его подлинности. Согласно программе безопасности PIN Security Program платежной системы Visa организации, вовлеченные в управление ключами шифрования ПИН-кодов, должны соответствовать стандарту PCI PIN Security Requirements.

К таким организациям можно отнести эквайеров и сервис-провайдеров, обслуживающих сети банкоматов и POS-терминалов, организации обеспечивающие загрузку и управления ключами шифрования ПИН в банкоматах и POS-терминалах.

Наша компания сертифицирована в Visa как PIN Security Assessor и готова провести для Вас аудит по требованиям PCI PIN Security Requirements. Аудит проводится в соответствии с методологией Visa и включает в себя:
- подготовительные работы, в рамках которых о планируемых работах оповещается платежная система, запрашиваются сведения об оцениваемой инфраструктуре и готовится детальный план обследования,
- онсайт аудит, проводящийся сертифицированным PIN Security аудитором,
- разработку отчета об аудите, включающего описание проверенной инфраструктуры, перечень выявленных несоответствий требованиям и подробные рекомендации по устранению каждого из выявленных недостатков,
- сопровождение в ходе устранения несоответствий, в ходе которого аудитором рассматриваются и оцениваются предоставленные свидетельства устранения несоответствий, по необходимости выдаются дополнительные рекомендации или запрашиваются дополнительные свидетельства.

После устранения всех недостатков аудитором оформляется и подписывается документ Visa Attestation of Compliance, который в дальнейшем предоставляется в платежную систему Visa как свидетельство успешного прохождения аудита.

Наши эксперты могут помочь с подготовкой к прохождению аудита, в частности:
- помочь в организации процессов управления ключами,
- предоставить шаблоны процедур управления ключами,
- помочь с корректной настройкой устройств управления ключами (HSM).
Аудит по требованиям 3-D Secure Security Requirements
Использование карты для оплаты покупок в сети Интернет помимо неоспоримого удобства несет и повышенные риски мошенничества. Для снижения данных рисков платежной системой Visa был разработан протокол 3-D Secure, реализующий дополнительный уровень защиты, при котором держатель карты при проведении оплаты сначала перенаправляется на сайт банка-эмитента, выпустившего карту, где проходит аутентификацию. В ближайшем будущем данный стандарт будет доработан и выпущен под эгидой PCI SSC, что придаст ему дополнительный статус и повысит его важность.

Система, проводящая аутентификацию владельца карты называется Access Control Server и как правило поддерживается либо самим банком-эмитентом, либо сторонним Access Control Server сервис провайдером.

Требования 3-D Secure Security Requirements Enrollment Server and Access Control Servers были разработаны платежной системой Visa в дополнение к протоколу и носят обязательный характер для Access Control Server (ACS) сервис провайдеров и банков-эмитентов, предоставляющих сервис Access Control Server другим банкам, например, банкам аффилиатам.

Документ 3-D Secure Security Requirements дополняет стандарт PCI DSS (все ACS сервис провайдеры должны также соответствовать PCI DSS) и содержит требования по обеспечению безопасности к серверам, входящим в состав Access Control Server, а также требования к процессу управления криптографическими ключами, использующимися для формирования CAVV и подписи PARes, подтверждающими факт прохождения аутентификации владельца карты.

Наша компания сертифицирована в Visa как ACS Security Assessor и готова провести для Вас аудит по требованиям Visa 3-D Secure Security Requirements. Аудит проводится в соответствии с методологией Visa и включает в себя:
- подготовительные работы, в рамках которых о планируемых работах оповещается платежная система, запрашиваются сведения об оцениваемой инфраструктуре и готовится детальный план обследования,
- онсайт аудит, проводящийся сертифицированным ACS аудитором,
- разработку отчета об аудите, включающего описание проверенной инфраструктуры, перечень выявленных несоответствий требованиям и подробные рекомендации по устранению каждого из выявленных недостатков,
- сопровождение в ходе устранения несоответствий, в ходе которого аудитором рассматриваются и оцениваются предоставленные свидетельства устранения несоответствий, по необходимости выдаются дополнительные рекомендации или запрашиваются дополнительные свидетельства.

После устранения всех недостатков аудитором оформляется и подписывается документ Visa Attestation of Compliance, который в дальнейшем предоставляется в платежную систему Visa как свидетельство успешного прохождения аудита.
Наши эксперты могут помочь c внедрением сервиса 3-D Secure (Access Control Server), в частности:
- выбрать 3-D Secure решение, которое позволит выполнить применимые требования,
- спроектировать инфраструктуру сервиса Access Control Server,
- помочь с реализацией необходимых мер защиты инфраструктуры Access Control Server,
- помочь в организации процессов управления ключами,
- предоставить шаблоны процедур управления ключами,
- помочь с корректной настройкой устройств управления ключами (HSM).

Подробно проконсультируем, подберем ИБ решение, выполним требования регуляторов. Развернем и настроим.

Оставьте свои контакты,

и мы свяжемся с вами в ближайшее время.

Аудиты

Подробно проконсультируем, подберем ИБ решение, выполним требования регуляторов. Развернем и настроим.

Оставьте свои контакты,

Подпишитесь на рассылку