Аудит информационной безопасности

Технологии

23.06.2024

Утечка данных и их захват третьими лицами может нанести финансовый и репутационный ущерб компании. Поэтому данные необходимо защищать.

Для обеспечения информационной безопасности разработана процедура аудита информационной безопасности — полной проверки и анализа используемых в компании систем хранения и управления данными. Она носит независимый характер. Аудит осуществляют аудиторы-эксперты, которые проверяют систему защиты данных на соответствие определенным критериям безопасности.

Цели проведения аудита информационной безопасности

Главная задача аудита ИБ — комплексная и всесторонняя проверка системы защиты данных, в результате которой могут быть выявлены слабые места и угрозы. После тщательного анализа разрабатываются рекомендации по улучшению системы информационной безопасности.

Также проводится проверка на соответствие информационных систем законодательству и отраслевым стандартам.

Важно отметить, что выявленные угрозы и уязвимости не устраняются в ходе аудита, а лишь фиксируются. Мероприятия по устранению угроз — это отдельная процедура.

Виды аудита информационной безопасности

Выделяют 2 основных вида аудита ИБ: внутренний и внешний. Внутренний аудит информационной безопасности осуществляется собственными силами компании. Это надежный инструмент самоконтроля. Алгоритм проверки регламентируется локальными документами и инструкциями.

Внутренний аудит ИБ направлен на выявление внутренних проблем, несоответствий и уязвимостей в системе безопасности. Он проводится регулярно, каждые несколько месяцев. За его проведение отвечают службы, эксплуатирующие инфраструктуру организации. Обычно это служба безопасности и IT-отдел.

Перечень мероприятий для проведения внутреннего аудита разрабатывается и согласовывается заранее. Он может быть направлен на различные элементы инфраструктуры — финансовую отчетность, хранение документов, технологические приложения и т. д. Также его можно реализовать различными способами, например, в форме проверки документов или анализа технической части.

Рекомендуется обязательно включить во внутренний регламент следующие процедуры:

Аудит безопасности программного кода — это процесс проверки программного обеспечения по требованиям безопасности. Осуществляется с целью выявления угроз и уязвимостей, которые могут появиться при эксплуатации и привести к потере или краже данных. Предметом проверки может быть любой программный продукт: сайт, база данных, приложение и т. д.
Аудит менеджмента системы информационной безопасности — направлен на оценку и анализ процессов управления и обеспечения ИБ в компании. Критериями оценки является соответствие современным тенденциям, государственным требованиям, законодательству и собственной политике организации.

Внешний аудит ИБ — это независимая оценка эффективности системы управления ИБ. Проводится она независимой экспертной компанией. Подразумевается, что внешний аудит более профессиональный и объективный по следующим причинам:

Мнение сторонних экспертов непредвзято и объективно. Они не вовлечены во внутренние процессы, поэтому оценивают безэмоционально.
Компания-эксперт специализируется на проведении аудита ИБ. Это подразумевает больший опыт, специализацию и владение необходимыми компетенциями.
«Свежий взгляд» на инфраструктуру компании. Часто люди привыкают работать с программными продуктами и не замечают их недостатков. Поэтому нужно периодически получать объективную оценку со стороны.

При этом важно выбрать надежную компанию, опираясь на ее репутацию, реальные отзывы клиентов, наличие сертификатов, лицензий и дипломов от регуляторов рынка информационной безопасности. Также следует запросить портфолио, в котором можно ознакомиться с выполненными кейсами для оценки масштаба задач, с которыми уже справлялась компания.

В процессе внешнего аудита информационной безопасности важно провести следующие виды проверок:

Тестирование сетевой безопасности — проверка наличия уязвимостей программного обеспечения, которые могут привести к краже данных злоумышленниками или к получению несанкционированного удаленного доступа к информационной системе.
Аудит веб-безопасности — направлен на выявление уязвимых мест и критических ошибок в архитектуре веб-ресурсов и серверном ПО, использующимся в компании.
Тестирование на проникновение — осуществляется имитация кибератаки, без повреждения данных. Такая проверка позволяет выявить как програмно-аппаратные уязвимости, так и влияние человеческого фактора на безопасность. Последнее заключается во времени реагирования службы безопасности и возможности получить доступ к инфраструктуре через сотрудников компании.

Если проверка проводится впервые или при серьезных изменениях в инфраструктуре компании, следует провести комплексный аудит безопасности систем. Он включает в себя максимально полный перечень процедур, которые позволяют детально оценить степень безопасности информационной системы.

Критерии аудита информационной безопасности

Под критериями аудита ИБ подразумевается совокупность политик, процедур или требований, используемых в качестве эталона, в соотношении с которым сопоставляют итоговое заключение, полученное при проведении проверки.

Наиболее распространенными и используемыми критериями являются:

Стандарты серии ISO 2700x.
СТО БР ИББС (комплекс БР ИББС).
Комплекс положений и указаний Банка России.
Ряд федеральных законов:
№152 «О персональных данных».
№115 «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
№ 187 «О безопасности критической информационной инфраструктуры Российской Федерации».
General Data Protection Regulation (GDPR).
Payment Card Industry Data Security Standard (PCI DSS).

Методы

Процесс аудита может быть выполнен несколькими способами. Каждый из них обладает своими особенностями и позволяет оценить эффективность системы безопасности с практической или формальной стороны.

Выделяют следующие методы:

Практический. Заключается в проверке устойчивости системы при кибератаках. В ходе практической проверки происходит имитация попытки взлома или атаки на сервер. Такой подход позволяет оценить последствия реального нападения на существующую инфраструктуру.
Экспертный. Для этого привлекаются эксперты-аудиторы. Им предоставляется эталонный перечень требований, которым должна соответствовать инфраструктура компании. Эксперты сравнивают существующую систему безопасности с эталонной. На основе сравнения выносится заключение, в котором указываются несоответствия и рекомендации для их устранения.
На соответствие стандартам. Эксперты проводят проверку существующей системы безопасности на соответствие требованиям действующих стандартов и законов.

Этапы

Стандартный процесс проведения аудита информационной безопасности осуществляется в следующей последовательности:

Определение требований. Заказчик и исполнитель в ходе обсуждения определяют вид аудита, перечень методик и инструментов для проверки. Также обсуждаются сроки и стоимость.
Сбор и анализ данных. Определяются виды данных, их источники, где они хранятся, кто имеет к ним доступ и т.п.
Оценка системы управления. Происходит анализ бизнес-процессов, связанных с данными. То есть, защищенность рабочих станций, способы обмена данными, возможность постороннего вмешательства, хранение информации на ПК и другие аспекты.
Заключение. Итогом является документ, в котором указывается перечень критических уязвимостей при их наличии. Также формируются рекомендации для устранения выявленных угроз.

Пример

В качестве примера можно разобрать небольшое предприятие, занимающееся перевалкой зерна. Технологический процесс управляется с помощью SCADA-системы и оператора, который использует рабочую станцию для включения и выключения оборудования.

В ходе аудита требуется выяснить, насколько система уязвима ко взломам и внешним атакам. При сборе информации важным шагом является получение информации об архитектуре системы АСУ ТП на предприятии, которая подключена к интернету. Это создает угрозу взлома операторской станции и вмешательство в технологический процесс извне.

В заключении будет дана рекомендация по отключению системы АСУ ТП от cети интернет. Для этого систему АСУ ТП необходимо сделать локальной. Она должна иметь следующую нисходящую, замкнутую структуру:

Рабочая станция оператора и инженера.
Сервер.
Контроллер сбора данных.
Технологическое оборудование.

Политика конфиденциальности

Политика использования cookies

Пользовательское соглашение

Enterprise-приложения — корпоративные, бизнес-приложения. Open Source — ПО с открытым исходным кодом. High Load — высокие нагрузки, высоконагруженные приложения. Time to market — время от начала разработки идеи до выхода решения на рынок.

Agile — гибкая методология разработки IT-продуктов. Legacy — устаревший код, перешедший «по наследству» от прошлых разработчиков. Public, private, hybrid — типы облачных хранилищ данных: публичное, частное, гибридное.