Оглавление
В условиях стремительного развития технологий и увеличения числа угроз регулярный аудит становится необходимым инструментом для обеспечения надежной защиты данных, предотвращения утечек информации и обеспечения непрерывного функционирования информационных ресурсов.
Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности
Аудит информационной безопасности представляет собой важный процесс, направленный на оценку уровня защищенности информационной инфраструктуры организаций.
На практике под аудитом обычно понимают форму независимой оценки состояния объекта ИБ (информационной системы, автоматизированной системы, организации в качестве объекта защиты в целом и т.д.) на соответствие заданным критериям, таким как требования действующего законодательства, принятые корпоративные стандарты, отсутствие уязвимостей, способность обеспечить защиту при проведении компьютерной атаки и т.п.
Каждый из видов аудита имеет свои особенности и цели, но все они направлены на обеспечение надежной защиты информации и минимизацию рисков (см. табл. 1).
Существует несколько подходов к проведению аудита ИБ (см. табл. 2).
Указанные моменты необходимо учитывать при формировании стратегии аудита в рамках организации. Стратегия – это общий план, направленный на достижение одной или нескольких долгосрочных целей в условиях неопределенности.
Создание стратегии аудита ИБ в рамках организации требует системного подхода и учета множества факторов.
Пять шагов разработки эффективной стратегии аудита
Шаг 1. Определение целей аудита
Для начала необходимо определить цель аудита. Целью может быть:
оценка текущего уровня безопасности;
проверка соответствия нормативным требованиям;
выявление уязвимостей и рисков;
улучшение процессов ИБ: управление уязвимостями, управление инцидентами и т.п.
Как это может выглядеть на практике? Допустим [1], у вас есть несколько дочерних обществ, в которых никогда не занимались ИБ, или вы только что «пришли» в организацию. В этом случае целью аудита будет оценка текущего уровня безопасности и выявление уязвимостей и рисков. Если у вас зрелая организация, то целью будет оценка текущего уровня безопасности и улучшение процессов ИБ.
Аудит с целью проверки соответствия нормативным требованиям обычно предшествует контрольно-надзорным мероприятиям, которые проводят соответствующие уполномоченные органы (так называемые проверки регуляторов), или совпадает с указанными мероприятиями.
Шаг 2. Определение объема аудита
Необходимо определить, какие системы, процессы и данные будут охвачены аудитом. Они могут включать в себя:
ИТ-инфраструктуру (серверы, сети, приложения и т.п.);
политики и процедуры безопасности;
физическую безопасность (доступ к рабочим местам пользователей и серверным помещениям);
осведомленность персонала и т.п.
Как это может выглядеть на практике? Исходя из целей аудита определяется объем мероприятий. Например, если целью является оценка текущего уровня безопасности и выявление уязвимостей и рисков, то нужно включить в стратегию инвентаризацию ИТ-инфраструктуры, выявление уязвимостей и оценку рисков. Если целью является комплаенс-аудит для подготовки к проверке, то нужно предусмотреть анализ внутренней нормативной документации и ее корректировку, выявление и устранение уязвимостей.
Шаг 3. Сбор информации
Соберите все необходимые данные о текущих процессах и системах безопасности. Они могут включать в себя:
локальные нормативные документы (приказы, распоряжения, указания) по информационной безопасности;
отчеты о предыдущих аудитах;
журналы событий и инцидентов и т.п.;
интервью с сотрудниками.
Как это может выглядеть на практике? Перед формированием стратегии не будет лишним освежить в памяти результаты прошлых аудитов. Если таковых нет или вы недавно работаете в организации, то следует собрать и изучить имеющиеся локальные нормативные документы, посвященные вопросам информационной безопасности, посмотреть (выборочно) настройки информационных ресурсов. Основная задача – получить общий объем знаний о предмете аудита.
Не будет лишним провести короткие интервью с несколькими ключевыми сотрудниками, чтобы понять, как на практике реализуются политики безопасности.
Шаг 4. Разработка стратегии аудита
На данном этапе происходит разработка стратегии аудита. Сама стратегия – это план, который состоит из нескольких пунктов, перечисленных ниже.
Таймлайн проведения аудита (в частности, различных его видов).
Ресурсы, необходимые для выполнения аудита (команда, инструменты).
Методы и инструменты, которые будут использоваться (например опросные листы, сканеры уязвимостей, системы управления событиями безопасности и т.п.).
Как это может выглядеть на практике? При формировании стратегии следует учесть временные интервалы планирования. Обычно мероприятия по ИБ (не только аудит) планируются на один год. Однако за такой короткий промежуток времени при ограниченных ресурсах вряд ли можно комплексно проаудировать ИБ по всем аспектам, поэтому стратегию желательно формировать с учетом среднесрочных (горизонт планирования до трех лет), а в некоторых случаях и долгосрочных периодов (горизонт планирования до десяти лет).
Например, в первый год мы планируем комплаенс-аудит на соответствие требованиям; на второй год – технический аудит с тестированием на проникновение; на третий год – аудит с целью оценки текущего уровня безопасности и зрелости организации в части ИБ.
Ресурсами для проведения аудита в первую очередь являются имеющаяся команда специалистов по ИБ и смежные подразделения. Очень часто на практике при комплаенсаудите весомую помощь могут оказать отдельные имеющиеся в организации подразделения по аудиту (в рамках всей организации без специализации по ИБ) и юридические подразделения. В техническом аудите, безусловно, помогает ИТ-подразделение.
Отдельным вопросом становится привлечение внешних ресурсов. Привлекая внешние ресурсы, нужно учитывать, что ни один внешний аудитор не сможет провести аудит качественно самостоятельно, без привлечения внутренней команды.
В части методов и инструментов в рамках стратегии желательно предусмотреть разработку собственной методической основы (методик) для проведения аудитов в организации.
Шаг 5. Проведение аудитов и корректировка стратегии
На особенностях проведения аудитов, так как это не предмет данной статьи, заострять внимание я не буду. Отмечу лишь, что ранее эти вопросы уже рассматривались на страницах журнала, например в статьях «Особенности проведения аудита информационной безопасности объектов критической информационной инфраструктуры» № 3 за 2019 г. и № 3 за 2020 г.
Поскольку стратегия – это план, направленный на достижение целей в условиях неопределенности, то ее корректировка – нормальная практика.
Формирование стратегии аудита информационной безопасности требует тщательного планирования и системного подхода. Описанные выше шаги и приведенные примеры помогут в разработке эффективной стратегии аудита вашей организации.
Здесь и далее приводятся лишь некоторые примеры
ITSec_articles