Аудит – это комплексная проверка действий компании, её систем, процедур, инициатив или продуктов на основе установленных критериев.
Что касается аудита по информационной безопасности, то он включает в себя оценку определённого сегмента (или специфического элемента) в соответствии с заранее утверждёнными критериями и методологиями.
К примеру, итогом аудита по информационной безопасности может стать доказательство соответствия предприятия определённому нормативу (такому как PCI DSS, ISO2700X, AICPA SOC и другие). В результате такой проверки компания может получить сертификат соответствия или иной документ, подтверждающий результата аудита, например, перечень обнаруженных уязвимостей с предложениями по их устранению.
Зачем необходим аудит информационной безопасности?
Наиболее распространенные цели аудита и ожидаемые результаты включают:
- Цель: достижение соответствия с российским или международным законодательством.
- Результат: список обнаруженных несоответствий с советами по их исправлению.
- Цель: получение аттестата или сертификата по определённым стандартам.
- Результат: отчёт об обнаруженных недочётах и несоответствиях по стандарту с выдачей сертификата или аттестата соответствия.
- Цель: анализ безопасности (обнаружение уязвимостей) инфраструктуры, веб- или мобильного приложения.
- Результат: перечень ошибок с предложениями по их исправлению.
- Цель: оценка уровня совершенства процессов информационной безопасности (или экспертная оценка).
- Результат: отчёт с оценкой текущего положения и рекомендациями по его улучшению.
- Цель: аудит согласно требованиям клиента.
- Результат: отчёт о выполненных действиях и их итогах.
Определение рамок работы
На данном этапе критически важно чётко обозначить, что будет входить в сферу проводимых работ. Это необходимо для того, чтобы клиент и исполнитель ясно представляли себе, какие объекты будут анализироваться и какие ресурсы потребуются с обеих сторон.
Необходимо также установить ключевые этапы и временные рамки проекта.
В круг работ могут входить:
- географические регионы, подразделения, отделы, отдельные сотрудники;
- процессы, как с автоматизацией, так и без неё;
- услуги, системы, индивидуальные сервера или оборудование, веб- и мобильные приложения, исходный код.
Давайте подробно рассмотрим основные виды аудита.
Аудит классифицируется по объекту проверки на:
1. Технический аудит:
- Осмотр защитных механизмов (выявление слабых мест) внутри внешнего периметра (всех ресурсов, доступных через интернет у компании), веб-сайта, мобильного приложения.
- Оценка настроек устройств по определенным стандартам (как CIS benchmark, ГОСТ) либо на предмет соответствия требованиям.
- Разбор прецедентов нарушения безопасности и следов несанкционированного доступа.
- Анализ кода приложений.
- Обнаружение потенциальных мест утечки данных.
- Поиск скрытых устройств и программ.
2. Проверка соответствия мероприятий по информационной безопасности (ИБ):
- Нормам российского законодательства.
- Нормам международного законодательства.
- Стандартам отрасли и наилучшим практикам.
3. Экспертное мнение:
Выполнение аудита с учетом требований клиента, например, насколько эффективны системы защиты данных.
Разделяя аудит по типу договорённости с аудитором, его можно классифицировать на:
- Внешний. Аудитор находится в штате компании-консультанта или предоставляется сторонней организацией.
- Внутренний. Аудитор работает в составе проверяемой организации или её филиалов.
Характерно, что малый и средний бизнес склонен к сотрудничеству с внешними аудиторами, в то время как крупные объединения зачастую имеют в составе собственных специалистов по аудиту.
Специалисты DAS Group готовы осуществить полный спектр услуг по аудиту информационной безопасности вашего предприятия. Мы также можем предоставить консультации по внедрению требований информационной безопасности и разработке систем защиты данных для компаний с уже существующими IT и ИБ подразделениями.
Процесс проведения аудита
Скорость и методика работ зависят от принадлежности аудитора к организации и его знаний о её внутренних процессах.
В целом, можно выделить следующие этапы:
1. Подготовка.
Создается группа, ответственная за проведение аудита. Определяются организационные моменты.
2. Сбор данных.
На этой стадии происходит сбор информации о проекте. Могут запрашиваться данные о системах защиты, иная конфиденциальная информация, а также проводятся беседы с сотрудниками, особенно с теми, кто отвечает за ИБ.
3. Анализ собранной информации.
На данном этапе производится анализ собранных данных с учётом критериев, выбранных для проекта.
- Проверка на соответствие нормативам и стандартам — осуществляется верификация системы защиты на предмет соответствия законодательным и стандартным требованиям.
- Выполнение технических оценок и исследований — идентификация уязвимостей и потенциальных угроз безопасности.
4. Оформление заключения.
Итоги аудита оформляются в заключительном отчёте, где приводятся обнаруженные пробелы и предлагаются рекомендации для их исправления.
Итоги
По завершении аудита важно самостоятельно оценить обнаруженные недочеты. Это критически необходимо, поскольку динамика бизнеса может привести к изменению актуальности некоторых из них.
После самооценки проблем при составлении плана устранения придайте приоритет критическим недостаткам и проведите анализ рисков для остальных. Возможно, некоторые из них можно будет принять, исходя из их теоретической природы или вероятности реализации при особых условиях.
Заключение
Выполнение аудита информационной безопасности является ключевым аспектом для обеспечения защиты информационных систем и конфиденциальных данных фирмы.
Он способствует выявлению слабостей и потенциальных угроз для безопасности, а также способствует повышению эффективности систем защиты информации предприятия.
Поэтому перед начало аудита необходимо определить:
- каковы конечные цели и ожидаемые результаты;
- какой тип аудита будет проводиться (например, технический анализ, профессиональная экспертиза или их сочетание) и кто будет его осуществлять;
- определить рамки аудита, а именно, какие отделы, процессы и системы охватит проверка.
По завершению аудита критически важно проанализировать обнаруженные дефекты и спланировать меры по их исправлению. В тех случаях, когда выдается сертификат соответствия, необходимо предусмотреть и следующие за этим систематические действия, направленные на соблюдение требований, вытекающих из получения сертификата или аттестата.