Когда нужен внешний аудит информационной безопасности

Если кратко, то внешний аудит информационной безопасности (ИБ) нужен, когда нельзя обойтись внутренним. Когда необходимы объективные оценки уязвимостей, текущих мер защиты и обоснованные рекомендации по построению системы информационной безопасности в компании. Но в этой статье мы не обойдемся кратким определением, а ответим и на вопрос «когда», и дополнительно затронем объекты, результаты, периодичность внешнего аудита.

Когда нужен внешний аудит ИБ

Основанием для независимой оценки информационной безопасности становятся:

• Масштабные изменения в компании, например, организация IT-отдела, слияние/поглощение, реорганизация бизнеса, выход на инвестиционный рынок.

• Смена ТОП менеджеров на ключевых постах.

• Смена бизнес-модели или направления, включая кардинальное изменение позиционирования.

• Выход на новые рынки и расширение филиальной сети.

• Финансовая оценка бизнес-активов компании.

• Обнаружение фактов взлома, незаконного проникновения в информационную систему, кража данных и другие инциденты.

• Выявленные внутренним аудитом уязвимости и некорректно работающие бизнес-процессы.

Объекты и результаты 

Если объектом становится ИТ-инфраструктура, а целью — оценка защищенности от внешних/внутренних угроз, внешний аудит подробно описывает исследуемую область и найденные уязвимости, дает список рекомендаций по защите «узких мест» от основных или конкретных (утечка, потеря, искажение информации) рисков. Базисом для независимой оценки становится семейство стандартов ГОСТ Р ИСО/МЭК.

Аудит защищенности IT-инфраструктуры от внешних/внутренних угроз

Аудит на соответствие требованиям Федерального закона «О персональных данных» N 152-ФЗ оценивает, насколько IT-процессы организации соответствуют нормам закона. Аудиторы изучают организационно-распорядительные документы, процессы получения, обработки и хранения ПДн, меры организационной и технической защиты  персональных данных. Опорным документом для аудита по ФЗ-152 является сам закон.

Компании, чья деятельность подпадает под действие Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 года, обследуются на предмет оценки критичных бизнес-процессов и объектов критической информационной инфраструктуры (КИИ).

Проверка на соответствие требованиям №187-ФЗ

К КИИ относятся информационные системы, автоматизированные системы управления технологическими процессами и информационно-телекоммуникационные сети. Бизнес-процессы и КИИ проверяются в разрезе требований 187-ФЗ, Приказов ФСТЭК России от 21 декабря 2017 г. № 235 и № 239 от 25.12.2017 г.

У организаций-субъектов национальной платежной системы (НПС) объектами внешнего аудита информационной безопасности являются организационно-распорядительные документы и информационные системы. Основанием проверки становятся: Постановление Правительства РФ от 13.06.2012 № 584, Положения Банка России, ГОСТ Р 57580.2-2018.

Периодичность внешнего аудита

Периодичность оценки IT-инфраструктуры, систем защиты персональных данных, КИИ и информационных систем участников НПС определяют те же нормативные документы, которые регламентируют процедуры и объект проверки:

• операторы ПДн должны проводить аудит не реже одного раза в три года,

• участники НПС оценивают выполнение нормативных требований и уровни защиты информации не реже одного раза в два года, проверяют значимые платежные системы минимум раз в три года и ежеквартально контролируют выполнение требований к защите информации.

• контроль состояния значимых объектов критической информационной инфраструктуры проводится ежегодно.

Важно! Большинство регуляторов допускают проведение аудита силами самой организации, но для некоторых сегментов ИБ устанавливается жесткое ограничение. В этих случаях аудит может проводиться только силами сторонних организаций, имеющих лицензию на проведение работ и услуг по технической защите конфиденциальной информации.

Лицензия на проведение работ и услуг по технической защите конфиденциальной информации

Независимо от повода и объекта проверки, внешний аудит ИБ повышает уровень контроля за ключевыми бизнес-процессами, а также формирует базу для их модернизации по требованиям регуляторов и рынка.