Блог
17.09.2020
21.06.2019
24.12.2018
19.08.2016
24.05.2016
14.08.2015
15.05.2015
16.04.2015
27.03.2015
20.11.2014
13.11.2014
Тонкости организации аудита ИБ

 

Аудит информационной безопасности (ИБ) позволяет руководству компании, ее владельцам (акционерам) и третьим сторонам (партнёрам, контрагентам и регулирующим органам) оценить текущее состояние безопасности ИТ-инфраструктуры, а также выработать необходимые меры, направленные на совершенствование подсистем защиты информации, бизнес-процессов и используемых технологий.

В настоящее время компании с достаточно развитой ИТ-инфраструктурой, достигнув определенного уровня зрелости, все чаще прибегают к аудиту ИБ и, планируя данное мероприятие впервые, сталкиваются с рядом вопросов, например:

  • Какие ИТ-активы включить в зону оценки аудита?
  • Какие работы будут проведены аудиторами, и какова их очередность?
  • Какие выгоды получит компания от аудита ИБ на практике?

В данной статье представлен подход компании Astrum к проведению аудита информационной безопасности, а также раскрываются основные вопросы, которые могут возникнуть у компаний при организации данных мероприятий.

 

Цели и задачи аудита ИБ

При первичном аудите ИБ как правило ставятся общие задачи:

  1. Получить срез по текущему состоянию ИТ-инфраструктуры.
  2. Выявить узкие места в подсистемах защиты информации и слабости конфигурирования ИТ-инфраструктуры.
  3. Определить соответствие требованиям действующего законодательства и/или международным стандартам.
  4. Выработать необходимые меры, направленные на совершенствование системы обеспечения информационной безопасности (СОИБ).

Конечно, могут ставиться и другие более узкие задачи, например обследование внешнего периметра, тестирование на проникновение, проверка знаний персонала и пр., но такие задачи лучше планировать потом, когда пройдет первичный аудит ИБ, а также будут сделаны первые выводы. Поэтому далее будут описаны этапы именно аудита ИБ, который проводится в компании впервые.

Мероприятия предполагается поделить условно на 5 этапов.

 

Этап 1 – Первичный сбор информации

До начала аудита важно понять, какие ИТ-технологии и решения используются в компании, какие нормативные документы и стандарты уже внедрены, на каком оборудовании построена ИТ-инфраструктура и т.д. Все это позволит в первом приближении оценить объемы работ, сформировать команду аудиторов по компетенциям и далее эффективно спланировать аудит. В рамках первичного сбора информации предлагается заполнить ряд форм-опросников и описать организационную структуру компании. В случае если уже подписан договор или соглашение о неразглашении (NDA), то могут быть запрошены схемы локальной сети, организационные документы и пр.

 

Этап 2 – Планирование работ

Определение зоны оценки

Ключевая задача в самом начале аудита - определить зону оценки, а также непосредственно ИТ-активы, которые будут входить в зону оценки. Укрупнено выделим следующие направления для обследования, входящие в зону оценки при аудите ИБ.

Процессы ИБ

  • Обеспечение ИБ при работе с персоналом.
  • Обучение и повышение осведомленности персонала в вопросах ИБ.
  • Управление доступом к информационным системам.
  • Обеспечение защиты от вредоносного кода.
  • Мониторинг событий информационной безопасности.
  • Реагирование и управление инцидентами ИБ.
  • Обеспечение ИБ на различных стадиях жизненного цикла объектов информационной инфраструктуры.
  • Обеспечение работы средств криптографической защиты информации.
  • Организация резервного копирования и восстановления данных.
  • Работа с мобильными устройствами и носителями информации.
  • Обеспечение ИБ при использовании ресурсов сети Интернет и корпоративной электронной почты.
  • Оценка рисков ИБ.
  • Обеспечение ИБ при работе с третьими лицами.
  • Анализ защищенности и поиск уязвимостей.
  • Обеспечение сетевой безопасности.

Объекты информационной инфраструктуры

  • Активное сетевое оборудование.
  • Серверные и пользовательские операционные системы.
  • Средства, обеспечивающие интернет-коммуникации (Mail, Proxy, VoIP, Messengers).
  • Инфраструктурные сервисы и службы (AD, DNS, DHCP, и пр.).
  • Виртуальная инфраструктура.
  • Системы управления базами данных (СУБД).
  • Основные бизнес-приложения.

Подсистемы защиты информации

  • Подсистема межсетевого экранирования.
  • Подсистема антивирусной защиты.
  • Подсистема организации доступа в сеть Интернет и контентной фильтрации.
  • Подсистема фильтрации электронной почты.
  • Подсистема резервного копирования.
  • Подсистема управления обновлениями системного и прикладного программного обеспечения.
  • Подсистема управления уязвимостями.
  • Подсистема мониторинга и анализа событий информационной безопасности.
  • Подсистема противодействия утечкам конфиденциальной информации.
  • Подсистема обнаружения/предотвращения атак.
  • и пр.

Определение рабочей группы проекта

После определения зоны оценки и идентификации, основных ИТ-активов, разрабатывается план-график проведения аудита, который должен содержать перечень интервьюируемых лиц, ответственных за выполнение процедур ИБ, сопровождение ключевых объектов информационной инфраструктуры, представителей бизнес-подразделений.

Итогом данного этапа должен стать перечень ИТ-активов в зоне оценки, а также согласованный со всеми участниками план-график по основным направлениям аудита ИБ с установленными датами и временем интервьюирования ответственных сотрудников.

 

Этап 3 – Интервьюирование и обследование

Когда план-график проведения аудита согласован, можно приступать к общению с ключевыми специалистами. Сам процесс интервьюирования может быть организован как очно, так и удаленно посредством современных решений для совместных коммуникаций.

В процессе интервьюирования выясняется детальная информация по основным объектам информационной инфраструктуры, проводится обзор параметров конфигурирования, запрашиваются необходимые конфигурационные файлы, экранные снимки, документы и пр.

В итоге (по результатам предыдущих 3-х этапов) у аудитора должна быть следующая информация:

  • Заполнены специализированные анкеты-опросники по направлениям.
  • Определены все объекты ИТ-инфраструктуры, обеспечивающие основные бизнес-процессы компании.
  • Получена детальная информация по текущему конфигурированию объектов ИТ-инфраструктуры и подсистем защиты информации.
  • Получены описания выполнения процедур ИБ, а также соответствующие документы.

 

Этап 4 – Анализ и оценка полученных данных

На данном этапе рабочая группа аудиторов занимается детальным анализом собранной информации. Выполняется анализ конфигурационных файлов и настроек, производится анализ полноты и содержания существующей организационно-распорядительной документации, производится оценка вероятности реализации угроз ИБ на объектах ИТ-инфраструктуры, осуществляется поиск явных слабостей или недочетов конфигурирования в подсистемах защиты информации и пр. В процессе анализа с большой долей вероятности возникнет потребность в уточнении информации.

 

Этап 5 – Разработка отчета аудита и рекомендации

Заключительный этап – разработка подробного отчета по итогам аудита, а также выделение основных тезисов для руководства компании.

В рамках отчета разрабатываются рекомендации по минимизации рисков выявленных угроз ИБ, рекомендации по совершенствованию СОИБ, рекомендаций по настройке и конфигурированию применяемых ИТ-решений и средств защиты. По всем представленным рекомендациям проводится приоритизация с точки зрения критичности.

Так же хорошая практика — по ходу аудита выбирать узкие места, устранение которых не требует отвлечения серьезных ресурсов, и сразу направлять предложения для оперативного устранения уязвимости или совершенствования.

 

Выгоды для компании

Аудит ИБ позволяет получить независимую оценку состояния информационной безопасности в компании.

В процессе аудита выявляются уязвимости в ИТ-инфраструктуре, угрозы ИБ, а также определяются связанные с ними риски для бизнеса. Аудит ИБ дает возможность снизить финансовые затраты за счет правильно расставленных приоритетов при внедрении мер по обеспечению информационной безопасности.