Вся Россия

Что такое аудит информационной безопасности и зачем он нужен

KEDU
Автор статьи

Содержание

Дата публикации 28.06.2024
Главная картинка статьи Что такое аудит информационной безопасности и зачем он нужен
Источник фото freepik

Информация — главный актив на любом предприятии. И чтобы её защитить, компании вынуждены выстраивать продуманную и дорогостоящую систему управления информационной безопасностью. Однако даже самая изощренная защита может дать сбой без регулярной экспертизы. Для этого существует весьма перспективное направление в IT под названием аудит ИБ.

Понятие аудита ИБ

Аудит в широком смысле — это проверка, которую осуществляют независимые подрядчики, чтобы оценить ту или иную деятельность на соответствие определенным стандартам. Обычно аудит связан с финансово-экономической деятельностью, но бывают и особые его разновидности.

Аудит информационной безопасности как раз из их числа — это комплекс мероприятий, которые организуют, чтобы оценить текущее состояние защиты данных на конкретном объекте или предприятии.

Объектами аудиторской проверки могут стать:

  1. Корпоративные сети;
  2. Системы и подсистемы защиты данных;
  3. Приложения и ПО на офисном оборудовании и мобильных устройствах;
  4. Серверы (физические или облачные).

Под аудит информационной безопасности могут попасть даже сотрудники предприятия или конкретного отдела — их могут проверять на соблюдение правил ИБ, а также наличие сертификатов и допусков к обращению с секретными данными.

Зачем проводить аудит информационной безопасности

Не следует путать мероприятия по защите данных и аудит. В первом случае речь идет о комплексе мероприятий, которые действуют на постоянной основе, во втором — о проверках, или своего рода киберучениях.

При этом даже самая изощренная защита будет небезупречной, особенно если игнорировать актуальные угрозы и периодически не проверять, как все функционирует. Аудит инфобезопасности в данном случае нужен, чтобы:

  • Дать адекватную оценку всем элементам защиты;
  • Оптимизировать и перераспределить расходы на ИБ;
  • Дать комплексную оценку зрелости системе управления ИБ;
  • Продлить или получить аттестацию по международному стандарту;
  • Привести в соответствие с 152-ФЗ «О персональных данных» или подтвердить его.

В крупных компаниях, связанных с IT или хранением персональных данных, проводят аудит ИБ не реже 1 раз в год, либо при каждом внедрении новых средств защиты информации.

Для некоторых организаций есть отдельные указания. Например, Положение ЦБ №683-П предписывает банкам каждые два года производить оценку соответствия стандарту ГОСТ 57580.1-2017. Соответственно, у каждой службы ИБ есть возможность вписать все свои мероприятия (разработка, внедрение, настройка, опытная эксплуатация и т.д.) в этот двухлетний цикл.

Виды аудита инфобезопасности

Чаще всего выделяют:

1. Внутренний аудит ИБ

Он регламентируется внутренними предписаниями и приказами предприятия. Проводится, как правило, по распоряжению директора компании, а некоторые мероприятия — на постоянной основе. Такой вид аудита достаточен, если служба ИБ внедряет какие-то новые решения, либо на предприятие набирают новых сотрудников.

2. Внешний аудит ИБ

Проводится сторонними экспертными организациями по договору с компанией. Такие организации, как правило, получают доступ к внутренним сетям и инфраструктуре, тестируют их различными методами и выдают заключение. Назначить внешний аудит информационной безопасности может, например, совет директоров предприятия, или правоохранительные органы, если есть подозрение на недостатки в СУИБ.

Внешний аудит ИБ также может проводиться по-разному, например:

  • Экспертная проверка документации и внутренних регламентов;
  • Анализ защищенности СУИБ и её элементов, включая поиск уязвимостей в системах физической и программной защиты;
  • Проверка с целью аттестации отдельных элементов или всей инфраструктуры, приведение их к стандартам Приказа №17 ФСТЭК, ISO 27001, PCI DSS и других.

Его также могут назначать, если:

  1. Происходит слияние, укрупнение или реорганизация фирмы;
  2. Меняются планы развития или цели компании, приходит новое руководство или начальник службы ИБ;
  3. Необходимо оценить бизнес-активы;
  4. Появляется необходимость кардинальным образом перестроить всю систему управления ИБ.

Как проводится аудит информационной безопасности

Вариантов, как может проводиться внешний и внутренний аудит ИБ, много и все они разные:

  1. Документальная проверка
  2. Проверка технических средств и инфраструктуры (серверов, камер, сканеров);
  3. Учения по кибербезопасности;
  4. Тестирование на проникновение (пентест), Red Teaming
  5. Комплексная проверка.

Как правило, процесс разбит на этапы:

  • Определение требований — заказчик указывает, что хочет получить от аудита (сертификация, устранение возможных нарушений законодательства), исходя из возможностей бюджета;
  • Сбор и систематизация информации — аудитор анализирует источники данных, способы их обмена, хранения и использования;
  • Проверка информационных процессов — корректность обращения с данными со стороны персонала и сотрудников службы ИБ, распределение прав доступа и порядок внутренних проверок ИБ. Сюда включается также знание НПА по работе с информацией, регламентов сотрудниками;
  • Отчет и заключение по итогам аудита. В финальную резолюцию включаются все выявленные недостатки и рекомендации по их устранению.

Внешние аудиторы могут прибегать и к нестандартной экспертизе в формате имитации атак, называемой Red Teaming. Эта услуга в настоящее время чрезвычайно популярна, поскольку проводится в формате учений и помогает проверить реальную эффективность СУИБ.

Группа пентестеров распределяет обязанности, проводит разведку, а затем атакует уязвимости в системе, чтобы добраться до ценной информации. Цель — получить как можно более высокие доступы и не быть обнаруженными. Служба ИБ в этот момент стремится отразить атаку, думая, что в ней участвуют реальные киберпреступники. Её задача пресечь проникновение, обнаружить атакующих и расследовать инцидент.

По итогам, атакующая сторона (Red Team) составляет отчет о проделанной работе, указывает на скомпрометированные элементы безопасности и дает рекомендации по устранению нарушений.

Где учат аудиту информационной безопасности

Наиболее общее представление о том, как делать аудит информационной безопасности, дают всем безопасникам ещё в вузе. Однако регламенты и правила постоянно меняются, поэтому чаще всего новые специалисты учатся по ходу работы.

По факту, аудиторами ИБ становятся опытные сотрудники, как правило, из бывших структур инфобезопасности: они знают стандарты, владеют методологией проведения проверок и необходимыми техническими навыками.

Онлайн-курсы

Также есть курсы дополнительного обучения аудиту ИБ, где изучаются основные виды, практические методы и средства проведения проверок, консалтинг и аутсорсинг в информационной безопасности.

Курсы, выбранные нашей командой экспертов
Программа обучения
Национальная академия современных технологий
Дистанционная

Информационная безопасность, программа переподготовки

502 часа
58 150 ₽
Программа обучения
Академия современных технологий
Дистанционная

Организация защиты персональных данных, дистанционная программа обучения

72 часа
6 300 ₽
Программа обучения
CyberED

базовый трек Администратор безопасности F-401

136 часов
93 600 ₽
Программа обучения
Институт прикладной автоматизации и программирования
Очная

Информационная безопасность и шифрование данных – очное обучение в Санкт-Петербурге

40 часов
45 000 ₽
Комментарии
Всего
6
2024-06-25T12:27:37+05:00
По моему все эти аудиты без толку если их только на одном филиале проводить. Ладно если контора небольшая, а если у них представительства чуть ли не в каждом городе? Ну вот допустим в этом филиале все ОК, в другом городе - проходной двор, защита как решето
2024-06-28T12:47:55+05:00
так и проводят сразу в головном офисе вместе с унификацией и по общим регламентам
2024-06-21T12:36:54+05:00
Вообще кстати перспективная тема аудит ИБ, но туда так с улицы не зайдешь. Это для матерых безопасников со всеми допусками и сертификатами
2024-06-18T11:46:51+05:00
Помню к нам на фирму приходили такие аудиторы, пробовали ноутбук через ресепшен вынести. Нифига у них не получилось, когда полицию вызвали, раскололись, шо у них учения))))
2024-06-11T11:35:37+05:00
Работал в одной шарашкиной конторе на госконтрактах, где про аудит ИБ никто слыхом не слыхивал, притом контора хранила на своих серверах в том числе спецификации на оборудование двойного назначения, которое поставляла в Вооруженные силы и МВД. В общем, когда их нахлобучили за нарушение требований защиты гостайны, я даже не удивился))) Слава богу к тому моменту уже уволился
2024-06-14T11:25:07+05:00
да такое вообще не редкость, я не удивлен ни разу
Читайте также
Все статьи