Цели:
- Выявление и минимизация технических и технологических рисков информационной системы (продукта) IT компании
- Выявление и минимизация рисков, связанных с информационной безопасностью системы компании
- Выявление и минимизация рисков, связанных с ИТ процессами компании
- Установление возможности масштабирования продуктов компании.
Технический аудит – комплексный анализ продуктов IT компании независимыми сертифицированными экспертами, в результате которого выявляются уязвимости и недостатки данных продуктов, риски для бизнеса, связанные с ними, а также разрабатываются рекомендации по их минимизации и устранению.
Tech DD необходимо проводить в следующих случаях:
- Инвестирование в IT проекты (программное обеспечение, игры и т.д.)
- Покупка/продажа IT компании
- Подготовка ко вступлению в ПВТ (для отдельной категории заявителей – крипто и блокчейн проекты)
- Подтверждение соответствия локальным и международным стандартам (PCI DSS, HIPAA, ISO 27001, SOC 2, GDPR и др.)
- Совершение крупной сделки.
Tech DD может включать в себя проверку различных технических аспектов продуктовой IT компании. При вхождении инвестора в капитал изучению подлежит максимально широкий перечень вопросов, позволяющий произвести анализ всех рисков, связанных с техническими аспектами самого продукта IT компании. Невозможность масштабирования системы, вероятность возникновения инцидентов безопасности, сложность поддержки или критические уязвимости в системе могут послужить серьезным поводом для торга или отказа от сделки (в связи с необходимостью существенных доработок или переписывания системы). В зависимости от целей аудита и сферы применения программного продукта можно ограничить список работ, входящих в технический аудит, например, требования ПВТ к аудиту информационных систем отдельной категории заявителей (крипто и блокчейн проекты) сосредоточены преимущественно на вопросах безопасности.
Примерный перечень работ, которые могут входить в Tech DD:
- Ручное тестирование на проникновение
- Автоматическое сканирование на уязвимости
- Ручной анализ исходного кода
- Анализ архитектуры системы
- Анализ инфраструктуры системы
- Анализ ИТ процессов (управление изменениями, управление доступом, безопасность системных настроек, мониторинг, физическая безопасность, управление инцидентами, управление непрерывностью, управление рисками)
- Анализ высокой доступности системы (нагрузочное тестирование)
- Анализ масштабируемости системы
- Анализ на соответствие информационной системы требованиям ПВТ
- Проверка технической реализации соответствия GDPR
- Проверка соответствия системы требованиям иных стандартов (по согласованию с заказчиком)
- Оценка рисков
- Разработка рекомендаций
- Подготовка финального отчета
Наши эксперты
- Наши консультанты – это опытные сертифицированные специалисты, которые постоянно отслеживают последние технологические тенденции и изменения в области безопасности, а также выступают на профильных конференциях в Беларуси и за рубежом.
- Глубокие знания и опыт наших экспертов подтверждаются общепринятыми международными сертификациями: Certified Information Systems Security Professional (CISSP), Offensive Security Web Expert (OSWE), Microsoft Certified Professional, Microsoft Certified Technology Specialist и др.
Методология
Наши специалисты руководствуются строгим кодексом профессиональной этики и следуют международным методологиям, признанным в отрасли:
- ISACA standards – Information Systems Audit and Control Association standards
- OWASP – Open Web Application Security Project Testing Guide
- PTES – Penetration Testing Execution Standard
- OSSTMM – Open Source Security Testing Methodology Manual
- ISSAF – Information Systems Security Assessment Framework
Оставить заявку на проведение теста можно, заполнив онлайн-форму
Либо, написав на электронную почту: veronica.yudina@it-band.by
Смотрите также:
Тестирование на проникновение