Что такое аудит информационной безопасности и зачем он нужен

Информация — главный актив на любом предприятии. И чтобы её защитить, компании вынуждены выстраивать продуманную и дорогостоящую систему управления информационной безопасностью. Однако даже самая изощренная защита может дать сбой без регулярной экспертизы. Для этого существует весьма перспективное направление в IT под названием аудит ИБ.

Понятие аудита ИБ

Аудит в широком смысле — это проверка, которую осуществляют независимые подрядчики, чтобы оценить ту или иную деятельность на соответствие определенным стандартам. Обычно аудит связан с финансово-экономической деятельностью, но бывают и особые его разновидности.

Аудит информационной безопасности как раз из их числа — это комплекс мероприятий, которые организуют, чтобы оценить текущее состояние защиты данных на конкретном объекте или предприятии.

Объектами аудиторской проверки могут стать:

1. Корпоративные сети;
2. Системы и подсистемы защиты данных;
3. Приложения и ПО на офисном оборудовании и мобильных устройствах;
4. Серверы (физические или облачные).

Под аудит информационной безопасности могут попасть даже сотрудники предприятия или конкретного отдела — их могут проверять на соблюдение правил ИБ, а также наличие сертификатов и допусков к обращению с секретными данными.

Зачем проводить аудит информационной безопасности

Не следует путать мероприятия по защите данных и аудит. В первом случае речь идет о комплексе мероприятий, которые действуют на постоянной основе, во втором — о проверках, или своего рода киберучениях.

При этом даже самая изощренная защита будет небезупречной, особенно если игнорировать актуальные угрозы и периодически не проверять, как все функционирует. Аудит инфобезопасности в данном случае нужен, чтобы:

• Дать адекватную оценку всем элементам защиты;
• Оптимизировать и перераспределить расходы на ИБ;
• Дать комплексную оценку зрелости системе управления ИБ;
• Продлить или получить аттестацию по международному стандарту;
• Привести в соответствие с 152-ФЗ «О персональных данных» или подтвердить его.

В крупных компаниях, связанных с IT или хранением персональных данных, проводят аудит ИБ не реже 1 раз в год, либо при каждом внедрении новых средств защиты информации.

Для некоторых организаций есть отдельные указания. Например, Положение ЦБ №683-П предписывает банкам каждые два года производить оценку соответствия стандарту ГОСТ 57580.1-2017. Соответственно, у каждой службы ИБ есть возможность вписать все свои мероприятия (разработка, внедрение, настройка, опытная эксплуатация и т.д.) в этот двухлетний цикл.

Виды аудита инфобезопасности

Чаще всего выделяют:

1. Внутренний аудит ИБ

Он регламентируется внутренними предписаниями и приказами предприятия. Проводится, как правило, по распоряжению директора компании, а некоторые мероприятия — на постоянной основе. Такой вид аудита достаточен, если служба ИБ внедряет какие-то новые решения, либо на предприятие набирают новых сотрудников.

2. Внешний аудит ИБ

Проводится сторонними экспертными организациями по договору с компанией. Такие организации, как правило, получают доступ к внутренним сетям и инфраструктуре, тестируют их различными методами и выдают заключение. Назначить внешний аудит информационной безопасности может, например, совет директоров предприятия, или правоохранительные органы, если есть подозрение на недостатки в СУИБ.

Внешний аудит ИБ также может проводиться по-разному, например:

• Экспертная проверка документации и внутренних регламентов;
• Анализ защищенности СУИБ и её элементов, включая поиск уязвимостей в системах физической и программной защиты;
• Проверка с целью аттестации отдельных элементов или всей инфраструктуры, приведение их к стандартам Приказа №17 ФСТЭК, ISO 27001, PCI DSS и других.

Его также могут назначать, если:

1. Происходит слияние, укрупнение или реорганизация фирмы;
2. Меняются планы развития или цели компании, приходит новое руководство или начальник службы ИБ;
3. Необходимо оценить бизнес-активы;
4. Появляется необходимость кардинальным образом перестроить всю систему управления ИБ.

Как проводится аудит информационной безопасности

Вариантов, как может проводиться внешний и внутренний аудит ИБ, много и все они разные:

1. Документальная проверка
2. Проверка технических средств и инфраструктуры (серверов, камер, сканеров);
3. Учения по кибербезопасности;
4. Тестирование на проникновение (пентест), Red Teaming
5. Комплексная проверка.

Как правило, процесс разбит на этапы:

• Определение требований — заказчик указывает, что хочет получить от аудита (сертификация, устранение возможных нарушений законодательства), исходя из возможностей бюджета;
• Сбор и систематизация информации — аудитор анализирует источники данных, способы их обмена, хранения и использования;
• Проверка информационных процессов — корректность обращения с данными со стороны персонала и сотрудников службы ИБ, распределение прав доступа и порядок внутренних проверок ИБ. Сюда включается также знание НПА по работе с информацией, регламентов сотрудниками;
• Отчет и заключение по итогам аудита. В финальную резолюцию включаются все выявленные недостатки и рекомендации по их устранению.

Внешние аудиторы могут прибегать и к нестандартной экспертизе в формате имитации атак, называемой Red Teaming. Эта услуга в настоящее время чрезвычайно популярна, поскольку проводится в формате учений и помогает проверить реальную эффективность СУИБ.

Группа пентестеров распределяет обязанности, проводит разведку, а затем атакует уязвимости в системе, чтобы добраться до ценной информации. Цель — получить как можно более высокие доступы и не быть обнаруженными. Служба ИБ в этот момент стремится отразить атаку, думая, что в ней участвуют реальные киберпреступники. Её задача пресечь проникновение, обнаружить атакующих и расследовать инцидент.

По итогам, атакующая сторона (Red Team) составляет отчет о проделанной работе, указывает на скомпрометированные элементы безопасности и дает рекомендации по устранению нарушений.

Где учат аудиту информационной безопасности

Наиболее общее представление о том, как делать аудит информационной безопасности, дают всем безопасникам ещё в вузе. Однако регламенты и правила постоянно меняются, поэтому чаще всего новые специалисты учатся по ходу работы.

По факту, аудиторами ИБ становятся опытные сотрудники, как правило, из бывших структур инфобезопасности: они знают стандарты, владеют методологией проведения проверок и необходимыми техническими навыками.

Онлайн-курсы

Также есть курсы дополнительного обучения аудиту ИБ, где изучаются основные виды, практические методы и средства проведения проверок, консалтинг и аутсорсинг в информационной безопасности.