1. Главная
  2. Блог
  3. Аудит информационной безопасности

Аудит информационной безопасности: особенности и этапы проведения

27 января 2022
2050

Содержание:

  1. Особенности аудита информационной безопасности
  2. Варианты аудита информационной безопасности
  3. Этапы проведения внешнего аудита
  4. Результат аудита ИБ
  5. Как выбрать организацию для проведения аудита

Корпоративная информационная система (ИС) — это структура, объединяющая различные сервисы, которые обеспечивают функционирование компании. ИС регулярно растет и меняется. Системы хранения и обработки информации постоянно усложняются, поэтому защитить данные становится все труднее. Выявить недостатки и определить состояние систем информационной безопасности помогает процедура аудита.

Особенности аудита информационной безопасности

Аудит ИБ — это независимая проверка системы защиты данных, которая соответствует нескольким критериям, например, требованиям закона или стандартам компании. Аудит проводится в отношении технологических процессов и сотрудников организации.

Цели и задачи аудита информационной безопасности:

  • оценка актуальной степени защиты систем информации;
  • устранение и защита каналов, по которым может произойти утечка информации;
  • оценка актуальных средств информационной защиты и приведение их к современным стандартам;
  • тщательный анализ нарушений правил информационной безопасности;
  • приведение документации по защите информации в соответствии с мировыми стандартами;
  • моделирование ситуаций утечки данных.

При реализации указанных целей и задач аудит безопасности и соответствующие экспертизы дают нужный результат.

Каждый сервис собирает и накапливает информацию о событиях, происходящих в информационной системе. Эта функция называется протоколированием. Все возможные события делятся на три категории:

  • внешние — вызванные действиями других сервисов;

  • внутренние — вызванные действиями самого сервиса;

  • клиентские — вызванные действиями пользователей и администраторов.

Виды аудита информационной безопасности

Аудит ИБ бывает двух видов:

Внешний — проводится независимой консалтинговой компанией, которая предоставляет услуги в области информационной безопасности.

Внутренний — осуществляется службой внутреннего контроля компании, отделом информационной безопасности или ИТ.

Аудит информационной безопасности

Схема комплексного внешнего аудита информационной безопасности включает в себя такие этапы:

  1. Анализ документации — проверка нормативных документов компании на соответствие законам, национальным и корпоративным стандартам, актуальным российским и мировым практикам. К документам для анализа относят стратегию, концепцию и политику информационной безопасности, инструкции, регламенты, руководства, договоры с контрагентами.

  2. Аудит защищенности сети — это проверка эффективности реализованных механизмов защиты информации перед существующими угрозами и рисками. Компания, проводящая аудит, инвентаризует сетевое и коммуникационное оборудование, средства и механизмы защиты, анализирует информационные потоки, защищенность периметра сети и беспроводной инфраструктуры, состоятельность актуальных средств защиты, подготавливает предложение по повышению качества ИТ-безопасности с учетом современных мировых практик.

  3. Тестирование на проникновение (пентест) — оценка безопасности компьютерных систем и сетей средствами, которые имитируют взлом сети как техническим путем, так и методами социальной инженерии. Внутреннее и внешнее тестирование на проникновение позволит выявить уязвимости и слабые места системы обеспечения информационной безопасности.

  4. Проверка осведомленности сотрудников определяет уровень знаний и степень следования работниками нормам и правилам IT-безопасности организации. Также данная проверка может проводиться для того, чтобы выполнить требования законов и стандартов, в частности 152-ФЗ «О персональных данных», 98-ФЗ «О коммерческой тайне», ISO 27001 и др.

Проверку можно выполнять по отдельности или комплексно в зависимости от потребностей предприятия и требований законодательства.

Этапы проведения внешнего аудита

Обычно внешний аудит ИБ проводится в несколько этапов:

  1. Сформировать запрос к аудиту. Заказчик вместе с исполнителем определяют области, направления и глубину проверки. Лучше проводить экспертизу во всей компании, а не в отдельных подразделениях. Если бюджет и сроки не позволяют выполнить комплексный аудит, проверьте отдельную область в СУИБ. Например, механизм привлечения подрядчиков и предоставления им доступа к данным компании. 

  2. Собрать и систематизировать данные. Составляется перечень источников информации, лиц с правом доступа и указанием уровня, а также анализируются порядок обмена, хранения и использования данных.

  3. Оценить информационные процессы. Проверяется, насколько корректно персонал компании работает с данными в соответствии с документами, регламентирующими ИБ. В рамках оценки также анализируется механизм наделения правами доступа, эффективность защиты от вредоносных программ, порядок внутреннего наблюдения ИБ.

  4. Подготовить заключение по результатам проведенного аудита, в которое вносится информация о выявленных недостатках и проблемах, а также рекомендованные методики их устранения.

Результат аудита ИБ

Результат аудита — экспертный отчет о степени соответствия организации критериям экспертизы, а также рекомендации по улучшению ИТ-инфраструктуры, защиты информации, процессов обеспечения и управления информационной безопасностью и документационного обеспечения заказчика.

Стоит отметить, что в рамках аудита ИБ обнаруженные уязвимости не устраняются, а лишь фиксируются. Ликвидация угроз — это отдельная процедура.

Логическое продолжение аудита — разработка корпоративных правовых документов верхнего уровня, которые регулируют вопросы безопасности информации в организации:

  • корпоративная политика ИБ;

  • концепция обеспечения информационной безопасности;

  • корпоративная модель угроз ИБ.

Документы верхнего уровня — правовая основа проведения комплекса работ по стандартизации процессов и технологий информационной безопасности. В результате таких мероприятий ИБ компании будет соответствовать законодательству, нормативным документам, лучшим современным практикам.

Сформированные и выстроенные процессы обеспечения и управления ИБ — неотъемлемая часть процессной модели функционирования компаний со средним и высоким уровнями развития ИТ.

Для публичных компаний аудит ИБ — обязательный элемент независимой внешней оценки стоимости компании.

Аудит информационной безопасности

Как выбрать организацию для проведения аудита

Независимый внешний аудитор — компания, которая занимается проверкой информационной безопасности и обладает необходимым программным обеспечением и оборудованием, а также штатом квалифицированных сотрудников.

При выборе внешнего аудитора обратите внимание не только на сайт с описанием услуг или коммерческое предложение, но и на:

  • реализованные проекты;
  • сертификаты и лицензии, выданные регуляторами рынка информационной безопасности;
  • отзывы клиентов.

В ходе экспертизы аудитору может потребоваться доступ к внутренним сетям и конфиденциальной информации компании. Поэтому перед началом работ подпишите с исполнителем соглашение о неразглашении (NDA), которое запрещает копировать, использовать и распространять внутренние данные.

Чтобы своевременно выявлять уязвимости, регулярно проводите аудит ИБ. Все издержки и затраты на него оправдаются. Мероприятия по экспертизе информационной безопасности снижают риск утечки данных или потери контроля над серверами.

Интересное
Информационная безопасность предприятия
16 июня 2023
Инструкция по установке и настройке ПО ViPNet Prime
25 октября 2023
Astra Linux
15 марта 2022
Позвоните нам!
Ваш заказ готов к оформлению
Личный кабинет
Вам будет доступна история заказов, управление рассылками, свои цены и скидки для постоянных клиентов и прочее.
Ваш логин
Ваш пароль
Забыли пароль?
Создать личный кабинет
+7 (499) 938-43-96
Работаем для вас пн-пт с 9:00 до 18:00
Заказать звонок
г. Москва, ул. Барклая, д. 13, стр. 1
Интернет-магазин Комрунет
г. Москва, ул. Барклая, д.13, стр.1
+74951059152sale@komrunet.ru