Аудит информационной безопасности (далее - ИБ) представляет собой достаточно важный процесс, направленный на оценку уровня защищенности информационной инфраструктуры организаций. В условиях стремительного развития технологий и увеличения числа угроз, регулярный аудит становится необходимым инструментом для обеспечения надежной защиты данных, предотвращения утечек информации и обеспечения непрерывного функционирования информационных ресурсов.
На практике под аудитом ИБ обычно понимают форму независимой оценки состояния ИБ объекта (информационной системы, автоматизированной системы, организации в качестве объекта защиты в целом и т.д.) на соответствие заданным критериям, таким как требования действующего законодательства, принятые корпоративные стандарты, отсутствие уязвимостей, способность обеспечить защиту при проведении компьютерной атаки и т.п.
Аудит ИБ можно разделить на следующие виды:
Каждый из этих видов аудита имеет свои особенности и цели, но все они направлены на обеспечение надежной защиты информации и минимизацию рисков.
Существует несколько подходов к проведению аудита ИБ, каждый из которых имеет свои особенности и цели:
Указанные выше моменты необходимо учитывать при формировании стратегии аудита в рамках организации. Напомню, что стратегия - это общий план, направленный на достижение одной или нескольких долгосрочных целей в условиях неопределенности.
Создание стратегии аудита ИБ в рамках организации требует системного подхода и учета множества факторов. Далее я опишу шаги, которые помогут разработать эффективную стратегию.
Шаг 1. Определение целей аудита
Для начала необходимо определить цель аудита. Целью может быть:
- оценка текущего уровня безопасности;
- проверка соответствия нормативным требованиям;
- выявление уязвимостей и рисков;
- улучшение процессов ИБ: управление уязвимостями, управление инцидентами и т.п.
Как это может выглядеть на практике? Допустим[1], у вас есть несколько дочерних обществ в которых никогда не занимались ИБ, или вы только что «пришли» в организацию. В этом случае целями аудита будет оценка текущего уровня безопасности и выявление уязвимостей и рисков.
Если у вас зрелая организация – то оценка текущего уровня безопасности и улучшение процессов ИБ. Аудит с целью проверки соответствия нормативным требованиям обычно предшествует контрольно-надзорным мероприятиям, которые проводят соответствующие уполномоченные органы (т.н. «проверки регуляторов») или совпадает с указанными мероприятиями.
Шаг 2. Определение объема аудита
На данном шаге необходимо определить, какие системы, процессы и данные будут охвачены аудитом. Это может включать:
- ИТ-инфраструктуру (серверы, сети, приложения и т.п.);
- политики и процедуры безопасности;
- физическую безопасность (доступ к рабочим местам пользователей и серверным);
- осведомленность персонала и т.п.
Как это может выглядеть на практике? Исходя из целей аудита определяется объем мероприятий. Так, например, если целью является оценка текущего уровня безопасности и выявление уязвимостей и рисков, то нужно включить в стратегию: инвентаризацию ИТ-инфраструктуры, выявление уязвимостей и оценку рисков. Если цель - комплаенс аудит для подготовки к проверке, то нужно предусмотреть анализ внутренней нормативной документации и ее корректировку, выявление и устранение уязвимостей.
Шаг 3. Сбор информации
На этом этапе соберите все необходимые данные о текущих процессах и системах безопасности. Это может включать:
- локальные нормативные документы (приказы, распоряжения, указания) по информационной безопасности;
- отчеты о предыдущих аудитах;
- журналы событий и инцидентов и т.п.;
- проведение интервью с несколькими ключевыми сотрудниками, чтобы понять, как на практике реализуются политики безопасности.
Как это может выглядеть на практике? Перед формированием стратегии не лишним будет «освежить» в памяти результаты прошлых аудитов. Если таковых нет или «вы» недавно работаете в организации, следует собрать и изучить имеющиеся локальные нормативные документы, посвященные вопросам информационной безопасности, посмотреть (выборочно) настройки информационных ресурсов. Основная задача – получить (вспомнить) общий объем знаний о предмете аудита.
Не лишним будет провести короткие интервью с несколькими ключевыми сотрудниками, чтобы понять, как на практике реализуются политики безопасности.
Шаг 4. Разработка стратегии аудита
Собственно, на данном шаге и происходит разработка стратегии аудита. Сама стратегия — это, по сути, план, который включает:
- Таймлайн проведения аудита (в т.ч. различных его видов).
- Ресурсы, необходимые для выполнения аудита (команда, инструменты).
- Методы и инструменты, которые будут использоваться (например, опросные листы, сканеры уязвимостей, системы управления событиями безопасности и т.п.).
Как это может выглядеть на практике? При формировании стратегии следует учесть временные интервалы планирования. Обычно мероприятия по ИБ (не только аудиту) планируются на один год. Однако, за такой короткий промежуток времени при ограниченных ресурсах вряд ли можно комплексно проаудировать ИБ по всем аспектам. Поэтому, стратегию желательно формировать с учетом среднесрочных (горизонт планирования до трех лет), а в некоторых случаях и долгосрочных периодов (горизонт планирования до десяти лет). Например, в первый год «мы» планируем комплаенс аудит на соответствие требованиям, на второй год - технический аудит с тестированием на проникновение, а не третий год аудит с целью оценки текущего уровня безопасности и зрелости организации в части ИБ.
Относительно ресурсов для проведения аудита, здесь в целом понятно, что это имеющаяся команда специалистов по ИБ и смежные подразделения. Очень часто на практике, при комплаенс аудите весомую помощь могут оказать отдельные имеющиеся в организации подразделения по аудиту (в рамках всей организации без специализации по ИБ) и юридические подразделения. В техническом аудите, безусловно, помогает ИТ-подразделение. Отдельный вопрос – это привлечение внешних ресурсов. При привлечении внешних ресурсов нужно учитывать, что ни один внешний аудитор не сможет провести качественно аудит самостоятельно, без привлечения внутренней команды.
В части методов и инструментов хотелось бы отметить, что в рамках стратегии желательно предусмотреть разработку собственной методической основы (методик) для проведения аудитов в рамках организации.
Шаг 5. Проведение аудитов и корректировка стратегии
На особенностях проведения аудитов, так как это не предмет данной статьи, заострять внимание я не будут. Отмечу лишь то, что ранее эти вопросы уже рассматривались на страницах данного журнала, например, в статьях «Особенности проведения аудита информационной безопасности объектов критической информационной инфраструктуры» № 3 за 2019 год и № 3 за 2020 год.
В рамках данного шага хотелось бы отметить, что поскольку стратегия – это план, направленный на достижение целей в условиях неопределенности, то ее корректировка – это нормальная практика.
Формирование стратегии аудита информационной безопасности требует тщательного планирования и системного подхода. Автор надеется, что описанные выше шаги и приведенные примеры помогут вам в разработке эффективной стратегии аудита вашей организации.
Сведения об авторе: Саматов Константин Михайлович, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности.
Источник: https://cs.groteck.ru/IB_5_2024/68/index.html
Мы в ВК: https://vk.com/vkaciso
Наш сайт: aciso.ru
Ставьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!
