Аудит информационной безопасности

Обновлено: 14.06.2024 21.12.20231273 Время чтения: 5 мин.
Системы управления информационной безопасностью (СУИБ) — часть инфраструктуры менеджмента компании, направленная на минимизацию информационных рисков. К ним относятся планирование, реализация, контроль разработанных на предприятии регламентов, процедур, их поддержание на стабильном уровне.

Как работают системы управления информационной безопасностью

СУИБ отвечает за решение следующих задач:
  • разработка схем, протоколов минимизации рисков, а также их внедрение в существующие бизнес-процессы;
  • поиск, анализ существующих или возможных рисков информационной безопасности (РИБ);
  • контроль за эффективностью, стабильностью внедрённых процессов, протоколов;
  • корректировка протоколов минимизации РИБ на основе анализа выявленных, а также потенциальных уязвимостей.
Задачи СУИБ характеризуются цикличностью с непрерывной связью между всеми этапами. Благодаря такому процессному подходу, компания может обеспечить стабильность систем информационной безопасности, постоянно повышать уровень защиты данных.

Процессный подход — один из базовых принципов систем управления информационной безопасностью. К другим принципам относятся:
  • комплексное управление — при разработке регламентов, протоколов ИБ учитываются все внешние и внутренние факторы рисков, которые могут нанести урон компании;
  • адаптация под текущие бизнес-процессы, стратегию предприятия — без контекста формальные процессы ИБ неэффективны;
  • выявление всех возможных угроз, поиск способа их устранения — новые угрозы появляются ежедневно;
  • непрерывная, высокая управляемость — необходима для оперативного реагирования при выявлении новых рисков и угроз;
  • достоверность — СУИБ оперируют только фактами, конкретными данными;
  • сохранение баланса — на внедрение и поддержание ресурсов СУИБ требуются определённые издержки, которые не должны мешать развитию предприятия, сдерживать рост прибыли. Внедрённые процессы не должны тормозить бизнес, мешать основным целям организации.
Ramax Group — технологический консорциум интеграторов и компаний-разработчиков — предлагает комплексный подход по разработке, внедрению СУИБ. 

data protection.png

Комплексный подход состоит из 5 этапов:
  • первичное обследование с предварительной оценкой соответствия существующих защитных механизмов компании требованиям ISO/IEC 27001;
  • разработка документации;
  • оценка рисков;
  • создание СУИБ, ввод в действие и оценка эффективности внедрённых процессов;
  • обучение персонала. 
Ramax Group заботится о том, чтобы внедрить оптимальное сочетание технологий. За счёт этого создаётся надёжная защита данных от внешних и внутренних угроз.


Внутренний аудит

Внутренний аудит информационной безопасности может проводиться сотрудниками предприятия (в соответствии с регламентами, инструкциями) либо с привлечением сторонних специалистов. Второй вариант позволяет исключить предвзятость, увидеть проблемы, которые могут пропустить «изнутри».

Цель внутреннего аудита: поиск рисков, способных стать причиной ущерба различных видов— финансовых, информационных, репутационных потерь.

Перед проверкой нужно определить:
  • места с потенциальной уязвимостью (например, сети, сервера, выставленные «наружу»);
  • список процессов, которые должны пройти контрольное исследование (критичные процессы, успешная атака на которые приведёт к существенному ущербу);
  • тип проверки — может быть техническим, документальным, комбинированным, а также в формате обучения сотрудников;
  • сроки выполнения и контроля (например, краткосрочный оперативный АИБ для критичных сервисов или комплексный аудит на три-четыре месяца с демонстрацией динамики рисков);
  • стандарты оценки полученных результатов (например, формат отчёта о проблемах, необходимость развёрнутых рекомендаций).
Внутренний аудит ИБ обычно проводится до шести раз в год. К процессу контроля привлекаются сотрудники службы мониторинга, обеспечения ИБ. Их задача — контролировать основные показатели, отслеживать изменения в них. Существующие протоколы защиты корректируются, если была обнаружена их уязвимость.

Внутренний АИБ рекомендуется периодически проводить с привлечением сторонних специалистов. Это позволяет получить мнение сторонних экспертов об уровне собственной безопасности без рисков, не дожидаясь реализации и последствий возможных атак или утечек.

audit.png

Внешний аудит

Процедура внешнего аудита ИБ делегируется сторонним организациям. Такой подход позволяет получить независимую экспертную оценку эффективности СУИБ, их соответствия текущим бизнес-задачам, целям компании. Важно, что при внешнем аудите частично или полностью моделируются действия злоумышленника извне. Это позволяет оценить эффективность защиты именно с ракурса внешней атаки. До начала работ с компанией-аудитором заключается договор о неразглашении информации (NDA).

Основные цели АИБ:
  • выявление рисков потери данных;
  • поиск проблем в системах управления информационной безопасностью, которые могут привести к снижению уровня защиты данных;
  • проверка на способность противостоять кибератакам.
Компания-аудитор, проводящая проверку, должна предоставить:
  • сертификаты, лицензии, позволяющие организации заниматься данным видом деятельности;
  • штат специалистов, имеющих опыт и соответствующие навыки;
  • оборудование, программы, необходимые для выявления текущих или потенциальных проблем.
Проверка может проводиться как отдельно по задачам, так и комплексно:
  • документально;
  • с привлечением технических средств;
  • для аттестации СУИБ на соответствие международным и отечественным стандартам, требованиям законодательства и регуляторов (ФСТЭК и ФСБ).
СУИБ может подвергаться следующим видам аудита:
  • аппаратного обеспечения компьютерной сети;
  • программного обеспечения;
  • работы отдельных серверов, ресурсов сети;
  • схем резервного копирования;
  • систем мониторинга, управления IT-структурой;
  • защиты информации — проверка может включать в себя имитацию кибератак.
Объём работ определяется в соответствии с текущими потребностями компании, а также действующими в России нормами, законами, требованиями. 

Внешний АИБ проводится ежегодно или два раза в год. Иногда может потребоваться внеплановый контроль. Например, при финансовой оценке бизнес-активов, смене руководящего состава, обнаружении уязвимостей в процессе внутренней проверки безопасности.

При проведении внешнего АИБ специалисты Ramax Group придерживаются стандартной схемы проверки, которая состоит из четырёх этапов.
  1. Определение требований компании к проведению экспертизы — глубина проверки, комплексное или точечное исследование, цели АИБ.
  2. Сбор данных. Информация распределяется по сегментам, составляется список сотрудников с указанием их уровней доступа, проводится первичный анализ СУИБ.
  3. Оценка текущего состояния СУИБ. На основе полученных данных проводится анализ реализованных механизмов, порядок внутреннего взаимодействия, надёжность протоколов защиты, качество внутреннего АИБ. На этом этапе возможно применение технических средств и выполнение имитаций атак на инфраструктуру организации (пентест).
  4. Разработка экспертного заключения. В документе прописываются выявленные точки риска, проблемы, рекомендации по их устранению или минимизации.
Аудит информационной безопасности — эффективный метод контроля уровня защиты данных, который позволяет сохранить коммерческую тайну либо другую информацию. Только проведение аудитов сможет показать реальный уровень защиты до реализации инцидентов ИБ на внутренней или внешней инфраструктуре.

Позаботьтесь о своевременном выявлении уязвимостей — оставьте заявку и закажите аудит в Ramax Group.



Заказать аудит информационной безопасности

Понравилась статья?

Время чтения: 5 мин.
Комментарии (0)
Отправить запрос
* — заполните обязательно
Отправить запрос
* — заполните обязательно