Содержание:
- Особенности аудита информационной безопасности
- Варианты аудита информационной безопасности
- Этапы проведения внешнего аудита
- Результат аудита ИБ
- Как выбрать организацию для проведения аудита
Корпоративная информационная система (ИС) — это структура, объединяющая различные сервисы, которые обеспечивают функционирование компании. ИС регулярно растет и меняется. Системы хранения и обработки информации постоянно усложняются, поэтому защитить данные становится все труднее. Выявить недостатки и определить состояние систем информационной безопасности помогает процедура аудита.
Особенности аудита информационной безопасности
Аудит ИБ — это независимая проверка системы защиты данных, которая соответствует нескольким критериям, например, требованиям закона или стандартам компании. Аудит проводится в отношении технологических процессов и сотрудников организации.
Цели и задачи аудита информационной безопасности:
- оценка актуальной степени защиты систем информации;
- устранение и защита каналов, по которым может произойти утечка информации;
- оценка актуальных средств информационной защиты и приведение их к современным стандартам;
- тщательный анализ нарушений правил информационной безопасности;
- приведение документации по защите информации в соответствии с мировыми стандартами;
- моделирование ситуаций утечки данных.
При реализации указанных целей и задач аудит безопасности и соответствующие экспертизы дают нужный результат.
Каждый сервис собирает и накапливает информацию о событиях, происходящих в информационной системе. Эта функция называется протоколированием. Все возможные события делятся на три категории:
внешние — вызванные действиями других сервисов;
внутренние — вызванные действиями самого сервиса;
клиентские — вызванные действиями пользователей и администраторов.
Виды аудита информационной безопасности
Аудит ИБ бывает двух видов:
Внешний — проводится независимой консалтинговой компанией, которая предоставляет услуги в области информационной безопасности.
Внутренний — осуществляется службой внутреннего контроля компании, отделом информационной безопасности или ИТ.
Схема комплексного внешнего аудита информационной безопасности включает в себя такие этапы:
Анализ документации — проверка нормативных документов компании на соответствие законам, национальным и корпоративным стандартам, актуальным российским и мировым практикам. К документам для анализа относят стратегию, концепцию и политику информационной безопасности, инструкции, регламенты, руководства, договоры с контрагентами.
Аудит защищенности сети — это проверка эффективности реализованных механизмов защиты информации перед существующими угрозами и рисками. Компания, проводящая аудит, инвентаризует сетевое и коммуникационное оборудование, средства и механизмы защиты, анализирует информационные потоки, защищенность периметра сети и беспроводной инфраструктуры, состоятельность актуальных средств защиты, подготавливает предложение по повышению качества ИТ-безопасности с учетом современных мировых практик.
Тестирование на проникновение (пентест) — оценка безопасности компьютерных систем и сетей средствами, которые имитируют взлом сети как техническим путем, так и методами социальной инженерии. Внутреннее и внешнее тестирование на проникновение позволит выявить уязвимости и слабые места системы обеспечения информационной безопасности.
Проверка осведомленности сотрудников определяет уровень знаний и степень следования работниками нормам и правилам IT-безопасности организации. Также данная проверка может проводиться для того, чтобы выполнить требования законов и стандартов, в частности 152-ФЗ «О персональных данных», 98-ФЗ «О коммерческой тайне», ISO 27001 и др.
Проверку можно выполнять по отдельности или комплексно в зависимости от потребностей предприятия и требований законодательства.
Этапы проведения внешнего аудита
Обычно внешний аудит ИБ проводится в несколько этапов:
Сформировать запрос к аудиту. Заказчик вместе с исполнителем определяют области, направления и глубину проверки. Лучше проводить экспертизу во всей компании, а не в отдельных подразделениях. Если бюджет и сроки не позволяют выполнить комплексный аудит, проверьте отдельную область в СУИБ. Например, механизм привлечения подрядчиков и предоставления им доступа к данным компании.
Собрать и систематизировать данные. Составляется перечень источников информации, лиц с правом доступа и указанием уровня, а также анализируются порядок обмена, хранения и использования данных.
Оценить информационные процессы. Проверяется, насколько корректно персонал компании работает с данными в соответствии с документами, регламентирующими ИБ. В рамках оценки также анализируется механизм наделения правами доступа, эффективность защиты от вредоносных программ, порядок внутреннего наблюдения ИБ.
Подготовить заключение по результатам проведенного аудита, в которое вносится информация о выявленных недостатках и проблемах, а также рекомендованные методики их устранения.
Результат аудита ИБ
Результат аудита — экспертный отчет о степени соответствия организации критериям экспертизы, а также рекомендации по улучшению ИТ-инфраструктуры, защиты информации, процессов обеспечения и управления информационной безопасностью и документационного обеспечения заказчика.
Стоит отметить, что в рамках аудита ИБ обнаруженные уязвимости не устраняются, а лишь фиксируются. Ликвидация угроз — это отдельная процедура.
Логическое продолжение аудита — разработка корпоративных правовых документов верхнего уровня, которые регулируют вопросы безопасности информации в организации:
корпоративная политика ИБ;
концепция обеспечения информационной безопасности;
корпоративная модель угроз ИБ.
Документы верхнего уровня — правовая основа проведения комплекса работ по стандартизации процессов и технологий информационной безопасности. В результате таких мероприятий ИБ компании будет соответствовать законодательству, нормативным документам, лучшим современным практикам.
Сформированные и выстроенные процессы обеспечения и управления ИБ — неотъемлемая часть процессной модели функционирования компаний со средним и высоким уровнями развития ИТ.
Для публичных компаний аудит ИБ — обязательный элемент независимой внешней оценки стоимости компании.
Как выбрать организацию для проведения аудита
Независимый внешний аудитор — компания, которая занимается проверкой информационной безопасности и обладает необходимым программным обеспечением и оборудованием, а также штатом квалифицированных сотрудников.
При выборе внешнего аудитора обратите внимание не только на сайт с описанием услуг или коммерческое предложение, но и на:
- реализованные проекты;
- сертификаты и лицензии, выданные регуляторами рынка информационной безопасности;
- отзывы клиентов.
В ходе экспертизы аудитору может потребоваться доступ к внутренним сетям и конфиденциальной информации компании. Поэтому перед началом работ подпишите с исполнителем соглашение о неразглашении (NDA), которое запрещает копировать, использовать и распространять внутренние данные.
Чтобы своевременно выявлять уязвимости, регулярно проводите аудит ИБ. Все издержки и затраты на него оправдаются. Мероприятия по экспертизе информационной безопасности снижают риск утечки данных или потери контроля над серверами.