Аудит информационной безопасности

Утечка данных и их захват третьими лицами может нанести финансовый и репутационный ущерб компании. Поэтому данные необходимо защищать.

Для обеспечения информационной безопасности разработана процедура аудита информационной безопасности — полной проверки и анализа используемых в компании систем хранения и управления данными. Она носит независимый характер. Аудит осуществляют аудиторы-эксперты, которые проверяют систему защиты данных на соответствие определенным критериям безопасности.

Цели проведения аудита информационной безопасности

Главная задача аудита ИБ — комплексная и всесторонняя проверка системы защиты данных, в результате которой могут быть выявлены слабые места и угрозы. После тщательного анализа разрабатываются рекомендации по улучшению системы информационной безопасности.

Также проводится проверка на соответствие информационных систем законодательству и отраслевым стандартам.

Важно отметить, что выявленные угрозы и уязвимости не устраняются в ходе аудита, а лишь фиксируются. Мероприятия по устранению угроз — это отдельная процедура.

Виды аудита информационной безопасности

Выделяют 2 основных вида аудита ИБ: внутренний и внешний. Внутренний аудит информационной безопасности осуществляется собственными силами компании. Это надежный инструмент самоконтроля. Алгоритм проверки регламентируется локальными документами и инструкциями. 

Внутренний аудит ИБ направлен на выявление внутренних проблем, несоответствий и уязвимостей в системе безопасности. Он проводится регулярно, каждые несколько месяцев. За его проведение отвечают службы, эксплуатирующие инфраструктуру организации. Обычно это служба безопасности и IT-отдел. 

Перечень мероприятий для проведения внутреннего аудита разрабатывается и согласовывается заранее. Он может быть направлен на различные элементы инфраструктуры — финансовую отчетность, хранение документов, технологические приложения и т. д. Также его можно реализовать различными способами, например, в форме проверки документов или анализа технической части.

 Рекомендуется обязательно включить во внутренний регламент следующие процедуры:

• Аудит безопасности программного кода — это процесс проверки программного обеспечения по требованиям безопасности. Осуществляется с целью выявления угроз и уязвимостей, которые могут появиться при эксплуатации и привести к потере или краже данных. Предметом проверки может быть любой программный продукт: сайт, база данных, приложение и т. д. 
• Аудит менеджмента системы информационной безопасности — направлен на оценку и анализ процессов управления и обеспечения ИБ в компании. Критериями оценки является соответствие современным тенденциям, государственным требованиям, законодательству и собственной политике организации.

Внешний аудит ИБ — это независимая оценка эффективности системы управления ИБ. Проводится она независимой экспертной компанией. Подразумевается, что внешний аудит более профессиональный и объективный по следующим причинам:

• Мнение сторонних экспертов непредвзято и объективно. Они не вовлечены во внутренние процессы, поэтому оценивают безэмоционально.
• Компания-эксперт специализируется на проведении аудита ИБ. Это подразумевает больший опыт, специализацию и владение необходимыми компетенциями.
• «Свежий взгляд» на инфраструктуру компании. Часто люди привыкают работать с программными продуктами и не замечают их недостатков. Поэтому нужно периодически получать объективную оценку со стороны.

При этом важно выбрать надежную компанию, опираясь на ее репутацию, реальные отзывы клиентов, наличие сертификатов, лицензий и дипломов от регуляторов рынка информационной безопасности. Также следует запросить портфолио, в котором можно ознакомиться с выполненными кейсами для оценки масштаба задач, с которыми уже справлялась компания.

В процессе внешнего аудита информационной безопасности важно провести следующие виды проверок:

• Тестирование сетевой безопасности — проверка наличия уязвимостей программного обеспечения, которые могут привести к краже данных злоумышленниками или к получению несанкционированного удаленного доступа к информационной системе.
• Аудит веб-безопасности — направлен на выявление уязвимых мест и критических ошибок в архитектуре веб-ресурсов и серверном ПО, использующимся в компании.
• Тестирование на проникновение — осуществляется имитация кибератаки, без повреждения данных. Такая проверка позволяет выявить как програмно-аппаратные уязвимости, так и влияние человеческого фактора на безопасность. Последнее заключается во времени реагирования службы безопасности и возможности получить доступ к инфраструктуре через сотрудников компании.

Если проверка проводится впервые или при серьезных изменениях в инфраструктуре компании, следует провести комплексный аудит безопасности систем. Он включает в себя максимально полный перечень процедур, которые позволяют детально оценить степень безопасности информационной системы.

Критерии аудита информационной безопасности

Под критериями аудита ИБ подразумевается совокупность политик, процедур или требований, используемых в качестве эталона, в соотношении с которым сопоставляют итоговое заключение, полученное при проведении проверки.

Наиболее распространенными и используемыми критериями являются:

• Стандарты серии ISO 2700x.
• СТО БР ИББС (комплекс БР ИББС).
• Комплекс положений и указаний Банка России.
• Ряд федеральных законов:
• №152 «О персональных данных».
• №115 «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
• № 187 «О безопасности критической информационной инфраструктуры Российской Федерации».
• General Data Protection Regulation (GDPR).
• Payment Card Industry Data Security Standard (PCI DSS).

Методы

Процесс аудита может быть выполнен несколькими способами. Каждый из них обладает своими особенностями и позволяет оценить эффективность системы безопасности с практической или формальной стороны.

Выделяют следующие методы:

• Практический. Заключается в проверке устойчивости системы при кибератаках. В ходе практической проверки происходит имитация попытки взлома или атаки на сервер. Такой подход позволяет оценить последствия реального нападения на существующую инфраструктуру.
• Экспертный. Для этого привлекаются эксперты-аудиторы. Им предоставляется эталонный перечень требований, которым должна соответствовать инфраструктура компании. Эксперты сравнивают существующую систему безопасности с эталонной. На основе сравнения выносится заключение, в котором указываются несоответствия и рекомендации для их устранения.
• На соответствие стандартам. Эксперты проводят проверку существующей системы безопасности на соответствие требованиям действующих стандартов и законов. 

Этапы

Стандартный процесс проведения аудита информационной безопасности осуществляется в следующей последовательности:

• Определение требований. Заказчик и исполнитель в ходе обсуждения определяют вид аудита, перечень методик и инструментов для проверки. Также обсуждаются сроки и стоимость.
• Сбор и анализ данных. Определяются виды данных, их источники, где они хранятся, кто имеет к ним доступ и т.п.
• Оценка системы управления. Происходит анализ бизнес-процессов, связанных с данными. То есть, защищенность рабочих станций, способы обмена данными, возможность постороннего вмешательства, хранение информации на ПК и другие аспекты.
• Заключение. Итогом является документ, в котором указывается перечень критических уязвимостей при их наличии. Также формируются рекомендации для устранения выявленных угроз.

Пример

В качестве примера можно разобрать небольшое предприятие, занимающееся перевалкой зерна. Технологический процесс управляется с помощью SCADA-системы и оператора, который использует рабочую станцию для включения и выключения оборудования.

В ходе аудита требуется выяснить, насколько система уязвима ко взломам и внешним атакам. При сборе информации важным шагом является получение информации об архитектуре системы АСУ ТП на предприятии, которая подключена к  интернету. Это создает угрозу взлома операторской станции и вмешательство в технологический процесс извне. 

В заключении будет дана рекомендация по отключению системы АСУ ТП от cети интернет. Для этого систему АСУ ТП необходимо сделать локальной. Она должна иметь следующую нисходящую, замкнутую структуру:

• Рабочая станция оператора и инженера.
• Сервер.
• Контроллер сбора данных.
• Технологическое оборудование.