Аудит информационной безопасности: зачем и когда его проводить

Информация – один из наиболее ценных активов предприятия. Поэтому ИТ-инфраструктуру предприятий организуют так, чтобы работа с данными была выстроена с учетом основного правила информационной безопасности: соблюдения целостности, доступности и конфиденциальности информации. Компании создают системы управления информационной безопасностью (СУИБ), регулярно инициируют аудит информационной безопасности, чтобы выявить возможные «узкие» места и предотвратить несанкционированный доступ к информации.

Последнее необходимо потому, что помимо технологий защиты развиваются и механизмы взлома, кражи чувствительной информации, такой как персональные и коммерческие данные. Избежать хакерской атаки можно одним способом – систематически модернизировать систему СУИБ. Чтобы поддерживать механизмы безопасности на достаточном уровне, организации вынуждены затрачивать средства на поиск персонала, задача которого заключается в поддержке работы ИБ (включая и обучение, переподготовку).

Что такое аудит ИБ?

Цель аудита информационной безопасности – проверить реальный уровень защиты, выявить потенциальные уязвимости. Аудит проводят по всему предприятию, сетям, используемым внутри организации, отдельным сегментам или оборудованию. И даже в отношении конкретных серверов, бизнес-процессов, сайтов, мобильных приложений, через которые данные о клиентах поступают в учетные базы компании.

Периодическая проверка качества информационной безопасности обязательна для организаций, работающих с персональными данными. Это относится к интернет-магазинам независимо от товара, услуг, реализуемых через них, к сервисам транспортных компаний, информационным ресурсам, предполагающим регистрацию пользователей с указанием ФИО, контактов и пр. Например, если хотите быть уверены в соответствии системы закону «О персональных данных», вы можете использовать инфраструктуру облачного провайдера Timeweb Cloud.

Виды аудита ИБ

Независимо от масштабов, локальных задач и планируемых мероприятий по аудиту информационной безопасности компании, их делят на внутренние и внешние.

Внутренний аудит

Процедура обычно регламентирована политикой информационной безопасности (ИБ) на предприятии и другими внутренними нормативами. Они предписывают систему обработки информации, детализируют бизнес-процессы. Аудит ИБ проводят ответственные сотрудники по заранее утвержденному графику. При использовании собственного персонала важно иметь квалифицированных специалистов.

Внешний аудит

Внешний аудит проводится силами сторонних экспертов, которым в рамках обслуживания по договору временно открывают доступ к корпоративным ресурсам организации. Такой подход дает более объективные результаты и необходим, если штатный персонал не обладает нужными компетенциями. Заказывать внешний аудит или обойтись внутренним, решает руководитель и акционеры. Иногда инициируют проверку по решению надзорных органов.

Последовательность внутреннего аудита ИБ

Рассмотрим обобщенный пример аудита информационной безопасности. Действия внутри фирмы нацелены на обнаружение критичных проблем, несоответствия имеющихся инструментов современным требованиям. Задача простая – предотвратить потерю данных, а еще не испортить репутацию перед клиентами, партнерами. Чтобы обойтись без простоев работы, при согласовании графика учитывают специфику конкретных подразделений.

И проводят аудит в периоды наименьшей загрузки информационной системы. Если необходимо выполнять внутренний мониторинг ежедневно, принцип сохраняется – контрольные мероприятия переносят, например, на ночное время. В любом случае за процесс и оценку результата отвечает ответственный сотрудник из отдела информационной безопасности.

Задача персонала заключается в отслеживании основных показателей, объективно отражающих целостность, доступность и конфиденциальность баз данных. Если объемы информации огромные, привлекают несколько сотрудников, и каждый работает строго в зоне своей ответственности. Они как фиксирует отклонения, так и оперативно вносит корректировки в ИБ для компенсации негативных последствий (зачастую пока еще вероятных).

Основные этапы аудита информационной безопасности:

1. Составить перечень потенциально уязвимых ресурсов предприятия.
2. Согласовать вариант аудита, например, в виде учений, документальный и пр.
3. Предусмотреть расширенные полномочия сотрудников на период проведения.
4. Провести аудит, собрать и проанализировать результаты.

Особенности внешнего аудита

Наиболее важное отличие внешнего аудита от внутреннего – его независимость от мнения коллег, давления руководителя или иного заинтересованного сотрудника. Он гарантированно выполняется на пользу предприятия, а не для хорошей отчетности. Результат же будет максимально полезным для оценки эффективности защиты СУИБ, выявления рисков утечки данных при доступе извне или недобросовестности кого-то из сотрудников.

Помимо оборудования и компетенций сотрудников, желательно оценивать критерии:

1. Отзывы предыдущих клиентов.
2. Примеры выполненных внешних аудитов.
3. Наличие профильных лицензий, сертификатов.

Важно учитывать, что для проверки придется предоставить аутсорсеру доступ к корпоративным ресурсам, в том числе и к конфиденциальным данным. Поэтому перед сотрудничеством желательно подписать договор NDA, который предполагает запрет на копирование и распространение информации. Средства аудита информационной безопасности исполнитель выбирает самостоятельно.

Например, различные инструменты сбора информации об аппаратном обеспечении рабочих мест и серверов, о периферийном оборудовании, карты локальных сетей. Или изучение электронных и бумажных документов, касающихся информационной безопасности ИС, приказы, распоряжения и инструкции по вопросам хранения, порядка доступа и передачи информации.

Варианты внешнего аудита

То же относится к методикам его проведения. Например, популярна проверка документации, имеющей отношение к защите ИС, анализ их неуязвимости с применением разных инструментов, позволяющих обнаружить потенциальные уязвимости в установленном на предприятии оборудовании. Возможно проведение сертификации систем на соответствие ISO 27001, 27701, PCI DSS, оценка соответствия согласно 17 приказа ФСТЭК и пр.

В зависимости от договоренности проверку выполняют раздельно или комплексно. Многое зависит от текущего состояния ИТ-инфраструктуры и задач, выполняемых аутсорсером. Главное, это достижение тех результатов, какие ожидает заказчик. Например, специалист пробует взломать систему путем имитации реальной хакерской атаки, с последующим копированием информации или нарушением работоспособности.

Популярные варианты проверки защиты:

1. Наличие открытых уязвимостей «железа», софта, включенного в IT-инфраструктуру.
2. Несанкционированное присоединение к корпоративным каналам связи.
3. Оперативность реакции службы безопасности на обнаруженные атаки.
4. Стабильность работы оборудования и программного обеспечения.
5. Риски получения доступа к инфраструктуре через персонал, партнеров.

Когда востребован внешний аудит ИБ

Оптимальное решение – проводить проверку информационной безопасности регулярно, минимум раз в год. Такой подход упрощает выделение средств на нее, позволяет даже включить процедуру в годовой бюджет предприятия. Но иногда возникают обстоятельства, когда аудит необходим вне очереди.

Примеры ситуаций:

1. Запланировано изменение структуры компании вроде открытия новых филиалов, слияния с другой организацией и пр.
2. Изменились долгосрочные планы предприятия, включающие поддержание действующей ИТ-инфраструктуры, ее масштабирование, модернизацию.
3. Появилась потребность в оценке предприятия, в том числе перед изменением СУИБ и в рамках внедрения новых технологий.

При наличии стандартов аудита информационной безопасности сотрудники фирмы часто имеют право инициировать внешний аудит самостоятельно, без отдельного согласования процедуры. Это обычно дает наиболее объективные результаты, ведь коллектив не готов к проверке, у персонала нет времени на подготовку. Например, можно вне очереди проверить защиту от DDoS на сайт компании, корпоративный портал, через который происходит взаимодействие подразделений.

Как проводят внешний аудит ИБ

Основание для проверки информационной безопасности силами сторонней организации одно – заключение договора между клиентом и аутсорсером. Текстом документа закрепляют требования к предстоящей проверке, порядок ее выполнения, полномочия исполнителя, включая сроки доступа к закрытой информации.

Основные этапы внешнего аудита ИБ:

1. Определить требования к процедуре проверки. Обе стороны должны определить сферы и направления аудита. Например, проводить комплексный аудит всего предприятия или затрагивать только отдельные подразделения. Сразу оговариваются и сроки проведения работ.
2. Собрать и систематизировать данные. Речь идет о перечне источников информации, лиц, имеющих доступ к ним с указанием уровня, способов обмена, хранения, использования всех учитываемых данных.
3. Оценить бизнес-процессы, связанные с информацией. Этап включает проверку корректности работы инфраструктуры в целом, владение персоналом корпоративными нормами. Также сюда входит оценка раздачи прав доступа к корпоративным ресурсам, уровня защиты от вредоносного ПО.
4. Сформировать отчет по завершении аудита. В нем отражают результат по выявленным недочетам ИБ, рекомендации по устранению проблем и предотвращению пока еще потенциальных рисков.

Приведенный перечень представляет собой примерный план действий. Его меняют исходя из задач и текущих условий. То же относится к периодам проведения как внешней, так и внутренней проверки. Они зависят от внутреннего регламента, требований законодательства и даже возникающих внешних обстоятельств, способных повлиять на безопасность. В среднем СУИБ проверяют при помощи аутсорсеров 1-2 раза в год и своими силами 4-6 раз в год.

Выводы

Аудит информационной безопасности – один из наиболее популярных способов изучения реального уровня защищенности ИБ от киберугроз. Выделение внешнего и внутреннего довольно условно. В первом случае компания получает наиболее объективную картину, глобальную оценку реального состояния ИТ-инфраструктуры. Во втором – возможность оперативно исправлять любые обнаруженные недочеты.