Аудит информационной безопасности (ИБ) позволяет руководству компании, ее владельцам (акционерам) и третьим сторонам (партнёрам, контрагентам и регулирующим органам) оценить текущее состояние безопасности ИТ-инфраструктуры, а также выработать необходимые меры, направленные на совершенствование подсистем защиты информации, бизнес-процессов и используемых технологий.
В настоящее время компании с достаточно развитой ИТ-инфраструктурой, достигнув определенного уровня зрелости, все чаще прибегают к аудиту ИБ и, планируя данное мероприятие впервые, сталкиваются с рядом вопросов, например:
В данной статье представлен подход компании Astrum к проведению аудита информационной безопасности, а также раскрываются основные вопросы, которые могут возникнуть у компаний при организации данных мероприятий.
Цели и задачи аудита ИБ
При первичном аудите ИБ как правило ставятся общие задачи:
Конечно, могут ставиться и другие более узкие задачи, например обследование внешнего периметра, тестирование на проникновение, проверка знаний персонала и пр., но такие задачи лучше планировать потом, когда пройдет первичный аудит ИБ, а также будут сделаны первые выводы. Поэтому далее будут описаны этапы именно аудита ИБ, который проводится в компании впервые.
Мероприятия предполагается поделить условно на 5 этапов.
Этап 1 – Первичный сбор информации
До начала аудита важно понять, какие ИТ-технологии и решения используются в компании, какие нормативные документы и стандарты уже внедрены, на каком оборудовании построена ИТ-инфраструктура и т.д. Все это позволит в первом приближении оценить объемы работ, сформировать команду аудиторов по компетенциям и далее эффективно спланировать аудит. В рамках первичного сбора информации предлагается заполнить ряд форм-опросников и описать организационную структуру компании. В случае если уже подписан договор или соглашение о неразглашении (NDA), то могут быть запрошены схемы локальной сети, организационные документы и пр.
Этап 2 – Планирование работ
Определение зоны оценки
Ключевая задача в самом начале аудита - определить зону оценки, а также непосредственно ИТ-активы, которые будут входить в зону оценки. Укрупнено выделим следующие направления для обследования, входящие в зону оценки при аудите ИБ.
Процессы ИБ
Объекты информационной инфраструктуры
Подсистемы защиты информации
Определение рабочей группы проекта
После определения зоны оценки и идентификации, основных ИТ-активов, разрабатывается план-график проведения аудита, который должен содержать перечень интервьюируемых лиц, ответственных за выполнение процедур ИБ, сопровождение ключевых объектов информационной инфраструктуры, представителей бизнес-подразделений.
Итогом данного этапа должен стать перечень ИТ-активов в зоне оценки, а также согласованный со всеми участниками план-график по основным направлениям аудита ИБ с установленными датами и временем интервьюирования ответственных сотрудников.
Этап 3 – Интервьюирование и обследование
Когда план-график проведения аудита согласован, можно приступать к общению с ключевыми специалистами. Сам процесс интервьюирования может быть организован как очно, так и удаленно посредством современных решений для совместных коммуникаций.
В процессе интервьюирования выясняется детальная информация по основным объектам информационной инфраструктуры, проводится обзор параметров конфигурирования, запрашиваются необходимые конфигурационные файлы, экранные снимки, документы и пр.
В итоге (по результатам предыдущих 3-х этапов) у аудитора должна быть следующая информация:
Этап 4 – Анализ и оценка полученных данных
На данном этапе рабочая группа аудиторов занимается детальным анализом собранной информации. Выполняется анализ конфигурационных файлов и настроек, производится анализ полноты и содержания существующей организационно-распорядительной документации, производится оценка вероятности реализации угроз ИБ на объектах ИТ-инфраструктуры, осуществляется поиск явных слабостей или недочетов конфигурирования в подсистемах защиты информации и пр. В процессе анализа с большой долей вероятности возникнет потребность в уточнении информации.
Этап 5 – Разработка отчета аудита и рекомендации
Заключительный этап – разработка подробного отчета по итогам аудита, а также выделение основных тезисов для руководства компании.
В рамках отчета разрабатываются рекомендации по минимизации рисков выявленных угроз ИБ, рекомендации по совершенствованию СОИБ, рекомендаций по настройке и конфигурированию применяемых ИТ-решений и средств защиты. По всем представленным рекомендациям проводится приоритизация с точки зрения критичности.
Так же хорошая практика — по ходу аудита выбирать узкие места, устранение которых не требует отвлечения серьезных ресурсов, и сразу направлять предложения для оперативного устранения уязвимости или совершенствования.
Выгоды для компании
Аудит ИБ позволяет получить независимую оценку состояния информационной безопасности в компании.
В процессе аудита выявляются уязвимости в ИТ-инфраструктуре, угрозы ИБ, а также определяются связанные с ними риски для бизнеса. Аудит ИБ дает возможность снизить финансовые затраты за счет правильно расставленных приоритетов при внедрении мер по обеспечению информационной безопасности.