Аудит информационной безопасности
Системы управления информационной безопасностью (СУИБ) — часть инфраструктуры менеджмента компании, направленная на минимизацию информационных рисков. К ним относятся планирование, реализация, контроль разработанных на предприятии регламентов, процедур, их поддержание на стабильном уровне.
Как работают системы управления информационной безопасностью
СУИБ отвечает за решение следующих задач:- разработка схем, протоколов минимизации рисков, а также их внедрение в существующие бизнес-процессы;
- поиск, анализ существующих или возможных рисков информационной безопасности (РИБ);
- контроль за эффективностью, стабильностью внедрённых процессов, протоколов;
- корректировка протоколов минимизации РИБ на основе анализа выявленных, а также потенциальных уязвимостей.
Процессный подход — один из базовых принципов систем управления информационной безопасностью. К другим принципам относятся:
- комплексное управление — при разработке регламентов, протоколов ИБ учитываются все внешние и внутренние факторы рисков, которые могут нанести урон компании;
- адаптация под текущие бизнес-процессы, стратегию предприятия — без контекста формальные процессы ИБ неэффективны;
- выявление всех возможных угроз, поиск способа их устранения — новые угрозы появляются ежедневно;
- непрерывная, высокая управляемость — необходима для оперативного реагирования при выявлении новых рисков и угроз;
- достоверность — СУИБ оперируют только фактами, конкретными данными;
- сохранение баланса — на внедрение и поддержание ресурсов СУИБ требуются определённые издержки, которые не должны мешать развитию предприятия, сдерживать рост прибыли. Внедрённые процессы не должны тормозить бизнес, мешать основным целям организации.
Комплексный подход состоит из 5 этапов:
- первичное обследование с предварительной оценкой соответствия существующих защитных механизмов компании требованиям ISO/IEC 27001;
- разработка документации;
- оценка рисков;
- создание СУИБ, ввод в действие и оценка эффективности внедрённых процессов;
- обучение персонала.
Внутренний аудит
Внутренний аудит информационной безопасности может проводиться сотрудниками предприятия (в соответствии с регламентами, инструкциями) либо с привлечением сторонних специалистов. Второй вариант позволяет исключить предвзятость, увидеть проблемы, которые могут пропустить «изнутри».Цель внутреннего аудита: поиск рисков, способных стать причиной ущерба различных видов— финансовых, информационных, репутационных потерь.
Перед проверкой нужно определить:
- места с потенциальной уязвимостью (например, сети, сервера, выставленные «наружу»);
- список процессов, которые должны пройти контрольное исследование (критичные процессы, успешная атака на которые приведёт к существенному ущербу);
- тип проверки — может быть техническим, документальным, комбинированным, а также в формате обучения сотрудников;
- сроки выполнения и контроля (например, краткосрочный оперативный АИБ для критичных сервисов или комплексный аудит на три-четыре месяца с демонстрацией динамики рисков);
- стандарты оценки полученных результатов (например, формат отчёта о проблемах, необходимость развёрнутых рекомендаций).
Внутренний АИБ рекомендуется периодически проводить с привлечением сторонних специалистов. Это позволяет получить мнение сторонних экспертов об уровне собственной безопасности без рисков, не дожидаясь реализации и последствий возможных атак или утечек.
Внешний аудит
Процедура внешнего аудита ИБ делегируется сторонним организациям. Такой подход позволяет получить независимую экспертную оценку эффективности СУИБ, их соответствия текущим бизнес-задачам, целям компании. Важно, что при внешнем аудите частично или полностью моделируются действия злоумышленника извне. Это позволяет оценить эффективность защиты именно с ракурса внешней атаки. До начала работ с компанией-аудитором заключается договор о неразглашении информации (NDA).Основные цели АИБ:
- выявление рисков потери данных;
- поиск проблем в системах управления информационной безопасностью, которые могут привести к снижению уровня защиты данных;
- проверка на способность противостоять кибератакам.
- сертификаты, лицензии, позволяющие организации заниматься данным видом деятельности;
- штат специалистов, имеющих опыт и соответствующие навыки;
- оборудование, программы, необходимые для выявления текущих или потенциальных проблем.
- документально;
- с привлечением технических средств;
- для аттестации СУИБ на соответствие международным и отечественным стандартам, требованиям законодательства и регуляторов (ФСТЭК и ФСБ).
- аппаратного обеспечения компьютерной сети;
- программного обеспечения;
- работы отдельных серверов, ресурсов сети;
- схем резервного копирования;
- систем мониторинга, управления IT-структурой;
- защиты информации — проверка может включать в себя имитацию кибератак.
Внешний АИБ проводится ежегодно или два раза в год. Иногда может потребоваться внеплановый контроль. Например, при финансовой оценке бизнес-активов, смене руководящего состава, обнаружении уязвимостей в процессе внутренней проверки безопасности.
При проведении внешнего АИБ специалисты Ramax Group придерживаются стандартной схемы проверки, которая состоит из четырёх этапов.
- Определение требований компании к проведению экспертизы — глубина проверки, комплексное или точечное исследование, цели АИБ.
- Сбор данных. Информация распределяется по сегментам, составляется список сотрудников с указанием их уровней доступа, проводится первичный анализ СУИБ.
- Оценка текущего состояния СУИБ. На основе полученных данных проводится анализ реализованных механизмов, порядок внутреннего взаимодействия, надёжность протоколов защиты, качество внутреннего АИБ. На этом этапе возможно применение технических средств и выполнение имитаций атак на инфраструктуру организации (пентест).
- Разработка экспертного заключения. В документе прописываются выявленные точки риска, проблемы, рекомендации по их устранению или минимизации.
Позаботьтесь о своевременном выявлении уязвимостей — оставьте заявку и закажите аудит в Ramax Group.
Заказать аудит информационной безопасности
Понравилась статья?
Время чтения: 5 мин.
Комментарии (0)
Направления
Бизнес-кейсы
Читайте также
