Что такое аудит информационной безопасности?

Существующая система защиты требует регулярной проверки на эффективность и актуальность по определённым параметрам:

• Необходимо обеспечить сохранность существующих данных, защиту от несанкционированного доступа к информации.
• Контролировать новые типы уязвимостей, киберугроз, разрабатывать механизмы борьбы с ними.
• Организовать защиту от утечек конфиденциальной информации
• Проводить непрерывную работу с коллективом, в том числе организовать регулярное прохождение инструктажей по информационной безопасности.
• Ограничить использование сомнительных программ и ресурсов.
• Отслеживать соблюдения правил защиты
• Проводить мониторинг изменений требований к защите информации в сфере законодательства.

Внутренний аудит

Внутренним аудитом является проверка информационных систем, а также организационных мер внутри периметра компании. Проводится собственными силами или силами привлеченных организаций, интеграторов ИБ.

Периодичность определяется компанией самостоятельно, но основные параметры лучше проверять на регулярной основе. Такие проверки направлены на выявление новых уязвимостей, утечек, несанкционированных действий, нарушение принятых нормирующих документов и законов государства. Можно обнаружить, например, что сотрудник, не вовлеченный в бизнес-процесс, имеет доступ к критичной для организации информации. Это риск, который может привести к утечке данных, который не очевиден без проверки.

Цели аудита информационной безопасности

Аудит направлен на:

• оценку реального состояния ИБ;
• выявление уязвимостей, степени их опасности;
• формирование рекомендаций по улучшению защиты;
• анализ ИБ на предмет соответствия стандартам компании и в отраслевой сфере;
• подтверждение эффективности существующей системы.

По результатам проверки формируется отчет, проводятся мероприятия по устранению угроз. В случае необходимости для аудита привлекаются сторонние организации (интеграторы, сервисные компании по ИБ), это особенно актуально для проверки собственной службы информационной безопасности или если провести аудит самостоятельно не представляется возможным.

Этапы и правила проведения аудита информационной безопасности

Объем аудита зависит от сложности внутренней структуры, а также от размеров компании. Малые предприятия с минимальным количеством программных инструментов проверять легко, потому что вместе с уменьшением инфраструктуры уменьшается площадь возможных атак и возможностей эксплуатации уязвимостей. Однако большинство атак не сфокусированы на конкретной организации и не зависят от масштабов инфраструктуры.

Для получения полноценного результата от аудита необходимо детально составить техническое задание, в котором будут однозначно отражены цели, области, методы работ. Так же в ТЗ описываются этапы аудита:

1. Обозначение границ проверки. Ответственные лица, руководство определяют направления, в которых требуется оценить риски, степень погружения в проблемы.

2. Задачи по сбору, структурированию необходимой для аудита информации, инвентаризация программ, оборудования, задействованных в обработке данных.

3. Требования по проведению детального анализа всех информационных процессов. Это похоже на работу бизнес-аналитика, только акцент внимания смещен на все этапы работы с информацией. Исследуют течение бизнес-процессов, их участников, используемые ресурсы.

Подробно анализируются следующие направления:

• параметры работы персонала с данными;
• формат и содержание инструктажа по информационной безопасности;
• система управления доступами;
• подход к работе с персональными данными, конфиденциальной и коммерческой информацией и т. п.;
• Применяемые средства защиты информации (СЗИ);
• Мониторинг событий, параметры отслеживания угроз, системы реагирования;
• используемые средства криптографической защиты информации (СКЗИ);
• архивация, резервное копирование;
• работа с внешними накопителями и публичными ресурсами;
• настройки доступа в интернет, корпоративная почта;
• ограничения доступа для неавторизованных пользователей.

4. Описание используемых программ и технических средств, вплоть до отдельного ПО на каждом компьютере.

Из собранной информации составляют карту инфраструктуры заказчика и потоков данных в ней. Это позволяет выявить слабые места и зоны рисков.

Конечной точкой аудита становится подробный отчёт о результатах с составлением плана первоочередных мероприятий по устранению выявленных недостатков. Этот отчет может быть использован в дальнейшем для формирования технического задания по устранению уязвимостей и рисков информационной безопасности.

Как оценивать результаты аудита информационной безопасности

Важная черта содержательного отчёта — расставленная приоритетность выявленных уязвимостей. Их классификация, очерёдность устранения выстраивается в зависимости от степени опасности. Это поможет составить план модернизации информационной безопасности в организации, найти дополнительные ресурсы для приоритетных проблем, если это необходимо.

Если ожидаемая модель системы безопасности не сформирована из-за недостатка знаний по теме, можно воспользоваться требованиями и рекомендациями ФСТЭК (и других регуляторов), тезисами международных стандартов (например, ISO 17799, ISO 27001) или привлечь для этого специализированные компании.

Безопасность информационных систем для бизнеса

Организации часто страдают от ошибок и халатности персонала. Это происходит по причине низкого контроля за информацией, работе «на доверии», а также из-за отсутствия квалифицированных специалистов в штате. Наладить информационную безопасность можно, стоит соблюдать простые рекомендации:

• создать свод внутренних правил по работе с информацией, обучить им сотрудников;
• контролировать рабочие места на предмет посторонних программ, оборудования (как вариант — доменные политики или специализированное ПО);
• использовать лицензионное программное обеспечение, средства защиты информации, например антивирус и сетевые экраны;
• проводить регулярное резервное копирование данных с отдельным от основной инфраструктуры местом хранения.

Иногда лучше воспользоваться аутсорсом с прописанной в договоре степенью ответственности, чем нанимать штат сотрудников с полным доступом к конфиденциальной информации и дополнительно организовывать их контроль. Вне зависимости от масштабов компании аудит необходим, т. к. без его проведения быть уверенным в безопасности своей организации невозможно.

Периодичность проведения аудита

Специальные программы и алгоритмы мониторят состояние сети, фиксируют активность пользователей. Программа оповестит администратора о любых подозрительных ситуациях и действиях. Однако, таких мероприятий недостаточно для выявления скрытых угроз. Поэтому рекомендовано проводить регулярную полную проверку системы информационной безопасности. Периодичность проверок зависит от масштабов инфраструктуры и количества критичных узлов в ней.

Чем сложнее инфраструктура, тем больше времени требуется на аудит. Поэтому на крупных инфраструктурах периодически проводят аудиты отдельных элементов (критичные для функционирования бизнес-процессов), а всю инфраструктуру проверяют раз в полгода или даже раз в год.

Выводы и заключение

За 2022 год было зафиксировано множество взломов информационных систем и утечек данных. Тенденция на увеличение атак сохраняется и актуальна для 2023 года. Чем дольше бизнес откладывает аудит, тем выше становится риск реализации угрозы и кибератак. Проблемы накапливаются, в итоге организация подвергается атаке, последствия которой будут болезненными — принесут значительные финансовые и репутационные риски. Потребность в аудите есть у всех организаций, независимо от их масштаба. Регулярная диагностика — это неотъемлемая часть надежной, рабочей системы информационной безопасности. Оптимально, если аудит будут проводить специалисты с соответствующей компетенцией, поэтому часто организации обращаются к внешним аудиторам.

ГК RAMAX проводит аудит уязвимостей ИТ-ландшафта (инфраструктуры) заказчика, выявляет проблемные зоны и области для оптимизации ИБ.

Цели аудита ИТ-ландшафта в рамках услуги:

• Выявить возможные уязвимости ИТ-инфраструктуры и устранить их.
• Оценить защищенность данных, степень выполнения требований законодательства, стандартов и нормативов.
• Дать рекомендации и выполнить работы по модернизации или созданию системы защиты информации

Задачи, которые решают с помощью аудита ИТ-ландшафта:

• Аудит безопасности внешнего сетевого периметра компании, включая системы, размещенные на арендованных площадках.
• Аудит внутренней безопасности ИТ-инфраструктуры компании.
• Аудит правил и регламентов внутри компании, проверка их выполнения.
• Соответствие системы защиты информации требованиям регуляторов (ФЗ, ФСТЭК, ФСБ) при обработке персональных данных, работой с критической информационной инфраструктурой или государственными информационными системами.
• Оценка критичности выявленных уязвимостей.

По итогам аудита ГК RAMAX оказывает заказчикам услуги по повышению эффективности периметра ИБ, устранению уязвимостей в защите организации, а также внедряет в комплексе с услугами современные программные и аппаратные средства защиты.