Аудит информационной безопасности: что это и когда проводить?

У вашей компании есть необходимое число лицензий антивируса самой известной марки, и он установлен на всех без исключения рабочих станциях. Поздравляем! Можно спать спокойно! Скорее всего, ваша информационная инфраструктура все еще находится под угрозой.

 

К сожалению, универсального решения всех проблем, связанных с кибербезопасностью, не существует, как не бывает одной таблетки, которая помогает от всех болезней. Арсенал киберпреступников совершенствуется постоянно, и, вместе с появлением новых видов «оружия» возникают и новые риски. И помочь против всех один только антивирус, пусть даже самый известный и популярный, просто не в состоянии. 

 

Помимо рабочих станций необходимо защищать корпоративные сети и сервера, обеспечивать безопасность данных, предотвращать утечки информации и бороться с «человеческим фактором», потому что главная угроза безопасности предприятия всегда и всюду – его собственные сотрудники.
Но как понять, какая именно защита необходима корпоративной информационной инфраструктуре? Что ей угрожает? В чем ее слабые места? Ответить на все эти вопросы поможет аудит информационной безопасности.
 

Аудит информационной безопасности – проверка системы защиты информационной инфраструктуры организации на соответствие существующим правилам и нормативам. Это могут быть внутренние политики, принятые в компании, требования регуляторов или нормы, прописанные в законодательных актах на государственном уровне. 

 

При этом проверяется весь защитный комплекс – как документальная часть системы ИБ, так и технические средства, которые ее обеспечивают, а также их использование. Кроме того, проверяется и персонал предприятия.  

 

Проводится аудит для того, чтобы выявить потенциальные уязвимости, определить угрозы, которые они несут, проверить соответствие угрозам существующей системы защиты, наметить пути ее укрепления. 

 

Важно понимать, что аудит информационной безопасности не устраняет риски, он призван только выявить и описать их, чтобы затем служба безопасности организации самостоятельно или при помощи сторонней организации нивелировала их. 

 

Таким образом, в общем виде цели аудита информационной безопасности можно перечислить в трех пунктах:
· Анализ реального состояния системы информационной безопасности организации;
· Оценка соответствия системы ИБ предприятия существующим нормам;
· Выработка рекомендаций по улучшению системы ИБ.
 

Так или иначе проводить аудит информационной безопасности необходимо всем. Причина проста: угрозы кибератак актуальны для любой организации, будь то государственное учреждение, крупная корпорация или малое предприятие. Тем не менее, можно выделить несколько категорий организаций, для которых аудит ИБ может считаться первоочередной задачей.

 

Прежде всего, это те компании, у которых в последние месяцы были зафиксированы киберинциденты.  Им аудит поможет выявить уязвимости в системе защиты, проанализировать и риски в целом, и развитие прошедших атак.

 

Аудит необходим и крупным организациям, особенно тем, которые играют системообразующую роль в своих отраслях, управляют объектами критической информационной инфраструктуры, обязаны строго соблюдать требования регуляторов.

 

Наконец, регулярно должны проводить аудит и небольшие предприятия, у которых имеется менее 1000 рабочих мест. Такая необходимость вызвана общей незрелостью ИБ-процессов в этих компаниях, а также тем, что в большинстве из них не имеется штатных ИБ-специалистов, а тем более специальных служб.
 

Аудит информационной безопасности насчитывает несколько этапов.

 

На первом решаются организационные вопросы: разрабатывается регламент аудита, составляются рабочие группы, которые будут проводить аудит, определяется список проверяемых систем. Второй этап посвящается определению и перечислению требований к информационной безопасности, актуальных для проверяемой организации.

 

Практические работы начинаются на третьем этапе. Здесь рабочая группа проводит обследование действующих на предприятии ИБ-мер, состояние соответствующих бизнес-процессов, анализирует имеющиеся комплексы документов, регламентирующих информационную безопасность. 

 

Затем аудиторы изучают практическую реализацию ИБ (как политик, так и технических средств) в инфраструктуре предприятия. Именно на этом этапе выявляются риски и угрозы, которым подвергается организация.

 

Наконец, последний этап аудита – составление отчета, в котором перечисляются результаты анализа, выявленные уязвимости, а также даются рекомендации по совершенствованию ИБ-системы предприятия. Частью отчета является дорожная карта реализации мер, нацеленных на укрепление информационной безопасности. При этом отчет об аудите часто становится обоснованием инвестиций, которые предприятию нужно сделать для развития своей системы безопасности.
 

Существует два типа аудита информационной безопасности: внутренний и внешний. Первый проводится силами самой организации, в первую очередь, ее ИБ-службы и представителей всех заинтересованных подразделений. 

 

Очевидно, что проведение внутреннего аудита могут себе позволить только те предприятия, которые имеют в своем составе профильную ИБ-службу или, по меньшей мере специалиста, отвечающего за информационную безопасность. 

 

Но и в этом случае внутренний аудит едва ли может считаться действительно эффективным. Дело в том, что он не является независимым. А это едва ли полезно не только с точки зрения участия в проверке «заинтересованной стороны», но и возможного недостатка знаний, а также отсутствия «свежего взгляда» на ИБ-процессы.

 

Поэтому наиболее эффективным будет проведение внешнего аудита, когда для его проведения приглашается сторонняя организация, обладающая необходимыми компетенциями, и имеющая в своем штате грамотных специалистов. 

 

Для небольших компаний внешний аудит и вовсе остается единственным способом адекватно оценить состояние защиты информационной инфраструктуры, уровень и опасность рисков.

 

Кроме того, приглашенные специалисты смогут точнее оценить состояние информационной безопасности организации с учетом отраслевых особенностей. Так, компания Rusonyx, которая специализируется на работе с представителями сегмента электронной коммерции, имеет богатые компетенции в области специализированных систем и сервисов, применяемых такими организациями. 

 

А следовательно, хорошо осведомлена не только об особенностях и функциональности таких систем, но и о уязвимостях, которые им свойственны.
Специалисты Rusonyx готовы предложить заказчикам компании свои компетенции в области информационной безопасности, проанализировать ее состояние и дать исчерпывающие рекомендации по повышению защищенности инфраструктуры предприятия. 
 

Мы уже упоминали среди компаний, для которых аудит необходим в первую очередь, предприятия, которые сталкивались с киберинцидентами. Таким организациям рекомендуется проводить аудит ИБ после кибератак, чтобы проанализировать цели хакеров и тактику нападения. Такой анализ позволит не только быстро выявить уязвимости, но наглядно продемонстрировать их показать персоналу компании.

 

Внутренний аудит ИБ должен проводиться каждые полгода. Его объем может быть ограничен текущими потребностями компании. А вот внешний аудит лучше всего проводить ежегодно. Это достаточно масштабный и продолжительный процесс, который занимает от нескольких дней до пары недель. 

 

Но, при этом, внешний аудит позволит проанализировать все без исключения аспекты информационной безопасности, от состава и актуальности комплекса регламентирующих документов, до эффективности использования технических средств защиты и рекомендаций по развитию системы ИБ.