Комплексный аудит информационных систем и информационно-технической инфраструктуры

Обследование информационно-технической инфраструктуры представляет собой комплекс мероприятий и услуг, позволяющих оценить текущее состояние информационных систем или автоматизированных систем, эксплуатирующихся организацией с точки зрения их соответствия требованиям информационной безопасности, технических стандартов, норм и правил, а также иным требованиям, предъявляемым к информационным объектам подобного рода.

Обследование информационной инфраструктуры включает в себя:

  • Исследование программной и конструкторской документации.
  • Исследование исходного кода программного обеспечения.
  • Исследование патентной чистоты исходного кода программного обеспечения.
  • Функциональное тестирование программного обеспечения.
  • Нагрузочное тестирование программного обеспечения.
  • Тестирование на проникновение и анализ защищенности.
  • Исследование комплекса технических средств.
  • Анализ информационного обмена.
  • Анализ документации.

Объектами информационно-технической инфраструктуры являются:

  • АСУ ТП.
  • АСУЭРО.
  • ERP.
  • CRM.
  • АСКУЭ.
  • ИС.
  • БД.
  • Проектная документация.
  • Программная документация.

Отдельно следует отметить такие объекты, как: комплексы фотовидеофиксации, включенные в общероссийскую информационную Систему «Безопасный город» и «Безопасный регион». К данным системам применимы специфичные технические стандарты, которые требуют применения специальных познаний в области электротехники, инженерно-технической экспертизы, а также компьютерно-технической эксперты.

  • Исследование программной и конструкторской документации.

Документация является неотъемлемой частью любого информационного и технического объекта. Особенностью исследования документации в рамках обследования информационной инфраструктуры является её разнородность. Речь здесь может идти и о проектной документации в части общестроительных работ, например, в части проектирования ЦОД, программной документации, если речь идёт о проектировании информационной или автоматизированной системы, а также организационно-распорядительной документации в области информационной безопасности. В случаях, когда проводится исследование комплекса технических средств или АПК особое значение приобретает исполнительская документация, в том числе паспорта оборудования, руководства по эксплуатации, протоколы и сертификаты.

  • Исследование исходного кода программного обеспечения.

Исходный код программного обеспечения представляет собой текст компьютерной программы, написанной на каком-либо языке программирования человеком. Исходный код является объектом исследования в рамках анализа уязвимостей при проведении аудита безопасности, а также при проведении сравнения исходного кода одной программы с другой для выявления признаков заимствования. Исходный код может быть представлен на исследование одним из следующих способов: ссылкой на систему контроля и управления версиями «GitLab», «GitHab», «Subversion», в виде отдельных файлов исходного кода, в виде материалов, депонированных в Роспатент.

  • Исследование патентной чистоты исходного кода программного обеспечения.

Необходимость исследования патентной чистоты исходного кода тесно связана с соблюдением прав третьих лиц на объекты интеллектуальной собственности. Процесс создания программного обеспечения тесно связан не только с созданием собственного исходного кода, но и с использованием открытого программного обеспечения. При этом требования лицензионных соглашений могут накладывать ограничения на возможность использования того или иного технического решения, например, с точки зрения ограничений по импорту такого программного обеспечения или необходимости раскрытия исходного кода всем желающим лицам. Чаще всего обладателем крупных информационных систем является государство и в этом случае подобные ограничения оказывают влияние на безопасность и уязвимость использования такой системы в составе критической информационной инфраструктуры.

  • Функциональное тестирование программного обеспечения.

Функциональное тестирование программного обеспечения представляет собой процесс анализа его работоспособности, отказоустойчивости в рамках установления соответствия требованиям технических стандартов, норм, правил и регламентов, а также в рамках установления его соответствия требованиям технического задания. Тестирование производится на основании заранее подготовленной методики, а его результатом является таблица соответствия, содержащая информацию об ожидаемом и фактическом состоянии функциональности программного обеспечения и соответствия фактического состояния программного обеспечения необходимым требованиям.

  • Нагрузочное тестирование программного обеспечения.

Нагрузочное тестирование программного обеспечения представляет собой процесс анализа надежности и отказоустойчивости программного обеспечения в условиях, приближенных к реальным. Нагрузочное тестирование проводиться на различных наборах данных в течение длительного времени по заранее согласованной методике тестирования.

  • Тестирование на проникновение и анализ защищенности.

Тестирование на проникновение (пентест) и анализ защищенности требуется в рамках мероприятий по обеспечению информационной безопасности информационного объекта. В рамках такого анализа проводится ряд технических мероприятий с использованием специализированного программного обеспечения, специалистами производятся попытки получить доступ к данным, обрабатываемым программным обеспечением при условии отсутствия прав доступа к таким данным.

  • Исследование комплекса технических средств.

Нередко программное обеспечение, в том числе информационные системы или автоматизированные системы эксплуатируются в рамках определенного оборудования или имеют специфичные требования к аппаратному обеспечению. В рамках исследований комплекса технических средств специалистами может быть проведена, как инвентаризация технических средств, на которых эксплуатируется и разворачивается программное обеспечение, так и определение достаточности аппаратного обеспечения, например, для масштабирования или корректной репликации данных.

  • Анализ информационного обмена.

Анализ информационного обмена между различным программным обеспечением требуется в рамках решениях задач по интеграции, когда потоки данных в разных информационных системах разнятся. Анализ информационного обмена позволяет получить информацию об информационных потоках, их источниках, форматах и содержании входных и выходных данных.

  • Анализ документации.

Анализ технической документации необходим во всех случаях, когда исследуется программное обеспечение. Техническая документация исследуется, как с позиции содержания и его соответствия требованиям технического задания, так и с позиции соответствия нормативной и нормативно-технической документации.

Ваша заявка успешно отправлена.

Будьте на связи!

наверх