Создается впечатление, что только ленивый в наше время не предлагает услуг по аудиту информационной безопасности. У заказчиков может возникнуть резонный вопрос относительно того, продают ли все эти продавцы под маркой «аудит ИБ» одну и туже в сущности услугу только разного качества и за разные деньги или же под «аудитом ИБ» разные люди понимают разные вещи.
Понятие аудит информационной безопасности охватывает совершенно разные виды услуг. В их число попадает и предпроектное обследование и тесты на проникновение и сертификационные аудиты и аудит на соответствие определенным стандартам (например, СТО ИББС или PCI DSS) и даже аттестация АС по требованиям ИБ. Когда заказчику нужна вполне конкретная бумажка или конкретный вид аудита (например анализ защищенности бизнес сайта или приложения), то все более менее понятно. Хотя качество и стоимость оказываемых могут существенно различаться, их содержание остается неизменным. Однако во многих случаях заказчик желает получить от аудита все что возможно, включая инвентаризацию ресурсов, всесторонний анализ организационных и технических механизмов защиты, уязвимостей, требований законодательства, соответствия стандартам, оценку рисков, план первоочередных мероприятий и т.п. Другими словами, большинство заказчиков рассчитывает получить услуги по некому комплексному аудиту ИБ, закрывающему все существенные вопросы, достаточному для принятия решений по созданию (совершенствованию) системы защиты и не требующему проведение дополнительных «узконаправленных» аудитов.
Возникают большие сомнения в том, что большинство компаний, рекламирующих подобные услуги, действительно в состоянии выполнить такой комплексный аудит ИБ. Многие видимо придерживаются того мнения, что если в штате имеется хотя бы один инженер по вопросам ИБ, то уж можно предлагать услуги по аудиту ИБ.
Мне приходилось видеть много отчетов по аудиту, в которых с разной степенью подробности описываются обнаруженные уязвимости и/или несоответствия требованиям стандартов и даются рекомендации по их устранению. После того, как заказчик, в соответствии с рекомендациями аудиторов, устраняет имеющиеся уязвимости и несоответствия, практически сразу у него появляются новые уязвимости и в итоге ситуация с безопасностью существенно не изменяется. К тому же нет никаких гарантий того, что аудиторы обнаружили все самые важные уязвимости и несоответствия.
Хотя работа по поиску уязвимостей и несоответствий составляет важную часть любого аудита безопасности, многие заказчики ожидают от аудита значительно большего, а именно, что аудит послужит отправной точкой для формирования концепции безопасности компании, осознанию общей картины существующих информационных рисков и внедрению СУИБ, основанной на передовом опыте.
Подход к аудиту, используемый GlobalTrust, основан на понимании того, что поиск уязвимостей не главное. Гораздо важнее определить причины возникновения уязвимостей, разобраться с существующими рисками и сформировать собственную стратегию в отношении этих рисков. Мы оперируем не язвимостями и контрмерами, а рисками и способами их обработки. Это позволяет формировать такие механизмы управления безопасностью, которые прежде всего предотвращают возникновение уязвимостей, либо, если они все же появляются, способствуют их своевременному обнаружению и нейтрализации. Причем внимание уделяется только тем уязвимостям, которые связаны с неприемлемыми для организации рисками.
Комплексный аудит, проводимый GlobalTrust, помимо стандартного аудиторского отчета по результатам проверок, включает в себя разработку четырех основополагающих документов, основные требования к которым сформулированы в ISO 27001:
- Реестр информационных активов
- Реестр информационных рисков
- Декларация о применимости механизмов контроля (служащая также и отчетом о расхождениях)
- План обработки рисков
Это тот базис, который позволяет организации воплотить систематический риск-ориентированный подход к управлению безопасностью, позволяющий обеспечить жизнеспособность организации, сокращать издержки на безопасность и получать конкурентные преимущества над теми организациями, которые данный систематических подход не используют.