Аудит информационной безопасности

4 декабря, 20204 декабря, 2020| adminadmin| 0 Comment
Аудит информационной безопасности post thumbnail image

Аудит информационной безопасности — это процесс оценки уровня защищенности ИТ-инфраструктуры, проводимый на основании целевых показателей информационной безопасности. В ходе аудита обычно проверяют организационно-распорядительные документы (приказы, распоряжения и т.п.), относящиеся к обеспечению информационной безопасности, настройки межсетевых экранов и систем защиты периметра сети, журналы безопасности сетевых серверов и сетевого оборудования и многое другое в зависимости от поставленных перед аудиторами целей. Аудит позволяет понять, насколько ИТ-инфраструктура компании защищена от внешних угроз и несанкционированного доступа, а также при необходимости — насколько её уровень информационной безопасности соответствует требованиям регуляторов, отраслевых или международных стандартов.

Когда нужен аудит ИБ

Проведение аудита безопасности информационных систем может потребоваться в различных ситуациях:

  • Перед выбором средства защиты информации — чтобы сформулировать релевантные требования к функциональным возможностям продукта и выявить слабые места сетевого периметра, а также оценить текущий уровень безопасности компании. Результаты аудита помогут с цифрами в руках обосновать выбор того или иного средства защиты информации и аргументировать саму необходимость покупки средства.
  • После внедрения приобретённого технического решения — чтобы оценить эффективность защиты и при необходимости скорректировать её.
  • Для проведения сертификации на соответствие стандартам — PCI DSS, СТО БР ИББ, GDPR, ГОСТ Р 57580.1-2017, ISO/IEC 27001:2005 и другим.
  • Чтобы разобраться в существующих средствах защиты и привести всё к единому стандарту.
  • Чтобы расследовать инцидент, связанный с кибератакой, утечкой данных или другим нарушением информационной безопасности.

Цели проведения аудита безопасности

В зависимости от перечисленных ситуаций цели аудита условно можно разделить на внутренние и внешние.

Внутренние:

  • расследование ИБ-инцидентов,
  • определения уровня осведомлённости пользователей в области информационной безопасности и разработка плана обучения и тренировки их навыкам безопасного поведения,
  • разработка или корректировка нормативных документов в сфере защиты информации,
  • разработка требований к уровню защищенности ИТ-инфраструктуры для последующей реализации комплекса мер сотрудниками ИТ-подразделения.

Внешние:

  • определение текущего уровня защищённости компании,
  • формирование перечня рисков, которые могут угрожать безопасности,
  • выявление слабых мест в защите сетевого периметра,
  • оценка соответствия компании ИБ-стандартам,
  • разработка рекомендаций по внедрению новых и доработке имеющихся средств защиты.

Методы ИБ-аудита

Активный или инструментальный (пентест)

Этот метод имитирует действия злоумышленников в ходе реальных кибератак. Например, аудиторы могут попытаться взломать интернет-магазин компании, или систему онлайн-банкинга, если проводится исследование сети кредитной организации. Также проверяются на уязвимости системы управления контентом, которые используются на сайте заказчика (Битрикс, Вордпресс, Друпал и т.п.).

В ходе активного аудита может быть проведено тестирование сетевого периметра, в ходе которого выявляются открытые сетевые порты и уязвимые сетевые сервисы, а также предпринимаются попытки с их помощью проникнуть в сеть компании.

В ходе инструментального аудита может быть проведён стресс-тест корпоративной сети, имитирующий реальную атаку на отказ в обслуживании. Это даст понимание того, что будет происходить в случае реального нападения, и разработать стратегию проактивной защиты от DDoS.

Экспертный

Проводится экспертами-аудиторами, которые изучают состояние информационной безопасности компании и сравнивают его с неким эталонным описанием, в качестве которого может выступать, например, перечень требований, выдвинутых руководством компании, либо представление об идеальной системе безопасности в соответствии с мнением экспертов.

Аудит на соответствие стандартам

Проведение такого аудита сводится к сравнению характеристик информационной безопасности компании с требованиями конкретных стандартов, например, PCI DSS или ГОСТ Р ИСО/МЭК 27001. По результатам такого аудита составляется официальный отчёт, содержащий:

  • уровень соответствия безопасности информационной системы компании выбранному стандарту;
  • замечания и несоответствия, отсортированные по категориям;
  • рекомендации аудиторов по приведению системы обеспечения ИБ в соответствие с требованиями стандарта.

Комплексный аудит ИБ

Может включать в себя любые комбинации перечисленных методов аудита.

Этапы проведения аудита ИБ

Разработка регламента проведения аудита

На этом этапе определяется, что и каким образом будет проверяться, назначается состав рабочих групп и ответственные. Обычно в регламент включают:

  • список информационных активов,
  • состав рабочей группы и перечень ответственных,
  • модель угроз ИБ и категории нарушителей,
  • расписание проведения инструментального аудита и стресс-тестирования сетевого периметра.

Сбор исходных данных

На этом этапе команда аудиторов изучает сеть компании и собирает информацию в соответствии с регламентом. Действия аудиторов не ограничиваются исключительно запуском программ и могут включать опрос сотрудников и анализ нормативных документов.

Анализ собранных данных

Команда аудиторов обобщает собранные сведения и формирует аудиторское заключение, в котором описывает состояние сети компании. В зависимости от поставленных задач и полученных результатов аудиторы могут также разработать рекомендации по повышению уровня защищённости сетевой инфраструктуры.

Кто может быть ИБ-аудитором

Путь наименьшего сопротивления для многих компаний — использование внутренних ресурсов. Для этого обычно собирают рабочую группу из сотрудников службы внутреннего аудита, ИТ и ИБ, назначают куратора от высшего руководства и ставят задачу. При наличии опыта и времени такая команда вполне может провести аудит, однако при этом следует принимать во внимание следующие факторы:

  • эффект «замыленности» взгляда: штатные сотрудники с большой вероятностью могут «проглядеть» привычные вещи, создающие угрозу;
  • стремление «сгладить» проблему или «не сдавать своих»: сотрудники ИБ и ИТ могут попытаться скрыть факты нарушения действующих регламентов, чтобы избежать взыскания;
  • компетенции даже опытных сотрудников может оказаться недостаточно для проведения комплексного обследования, поэтому его эффективность будет ограниченной;
  • участники рабочей группы уже имеют определённую рабочую нагрузку, поэтому добавление «факультатива» в виде аудита ИБ создаёт риск того, что работа будет выполнена по принципу минимальных трудозатрат, что делает её бессмысленной.

Исключить влияние перечисленных негативных факторов на результаты аудита информационной безопасности позволяет привлечение внешних компаний. Дополнительными преимуществами в этом случае станут:

  • профессиональное владение лучшими практиками и отраслевыми стандартами проведения аудита ИБ,
  • непредвзятость аудиторов по сравнению с работниками компании,
  • меньшие сроки проведения аудита за счёт сосредоточенности аудиторов исключительно на этой задаче.

Рекомендации

Аудит информационной безопасности — эффективный способ получить объективную оценку уровня защищённости компании в соответствии с заданным набором критериев. Сформированная на базе результатов аудита стратегия развития информационной безопасности позволит грамотно управлять рисками и снижать уязвимость компании для кибератак.

Чтобы аудит ИБ отражал реальную ситуацию, необходимо привлекать к его проведению внешних подрядчиков, выбирая зарекомендовавших себя профессионалов. Учитывая мировую тенденцию к росту угроз безопасности, понимание уровня киберрисков компании является необходимым условием для успешной работы и непрерывного развития бизнеса.

 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *