Когда информация становится ценным активом, а ее защита — критически важным фактором работы компании, внутренний аудит информационной безопасности (ИБ) переходит из разряда рекомендуемых процедур в обязательные. И если держать под контролем внешние и внутренние угрозы, четко видеть перспективу и минимизировать риски важно не здесь и сейчас, а в перспективе, аудит придется перевести на регулярную основу.
Каким должен быть аудит ИБ
Считается, что полноценный аудит ИБ — это только внешний аудит. Действительно, не во всех компаниях есть отдел информационной безопасности или IT-департамент. И не всегда внутри департамента есть беспристрастные эксперты, готовые взять на себя ответственность за сбор, анализ и интерпретацию результатов. Однако для базовой оценки эффективности защиты информации или подготовки к внешнему аудиту, внутренних ресурсов обычно достаточно. И тем более их достаточно, если целью аудита является какое-то одно из направлений деятельности компании, оценка состояния IT перед миграцией в облако или решение конкретных узких проблем, например, поиск причин отставания в обработке данных, хроническая нехватка мощностей, регулярные простои оборудования или ошибки в работе ПО.
Аудит информационной безопасности
Внутренний аудит ИБ как процесс
Нельзя просто так в один день взять и начать проверять IT-системы компании. Чтобы получить достоверный и практически применимый результат, процесс аудита важно формализовать:
-
Прописать, какая информация, в каком виде и где хранится в компании. Есть ли среди этой информации данные, представляющие коммерческую тайну? Как они промаркированы и промаркированы ли? Как построена схема их обработки и пр.
-
Составить список хранилищ, ресурсов и мест обработки данных,
-
Перечислить и описать каналы, по которым поступает и уходит информация,
-
Инвентаризировать ПО,
-
Проверить техническую и юридическую основу программного обеспечения и обрабатываемых данных,
-
Сформировать перечень физических носителей с полными техническими данными.
Дополнительно определяется круг лиц, уполномоченных проводить аудит, указываются требования к их квалификации, компетенции и уровню доступа, перечисляются методы и инструменты исследования, например программы StaffCop Enterprise и Kali Linux, или модели тестирования White box и Grey box.
Инструменты и методы аудита ИБ
Выполнив все эти пункты, вы получите план аудита информационной безопасности. Останется шаг за шагом пройтись по всем этапам, документируя результаты. И уже на их основе можно будет составлять отчет с обнаруженными уязвимостями, выяснять, каких элементов не хватает, что нужно исправить и доработать.
Базовый чек-лист для внутреннего аудита ИБ
Планировать аудит удобно по чек-листу. Можно отрабатывать объекты проверки — это самый простой вариант. Процессный подход сложнее, но дает более точные и наглядные результаты. При процессном подходе аудит идет по всему жизненному циклу объекта. Применительно к резервированию данных, например, это будет проверка всех этапов процесса, включая планирование резервного копирования, составление расписания, обзор логов, защита базы, актуализация временного окна, создание отчетов о проблемах и пр.
|
Объекты проверки
|
Проверяемые процессы
|
|
Беспроводные и локальные сети |
Технологических процессы, обслуживание оборудования и ПО |
|
Сетевые правила доступа |
Резервирование данных |
|
ОС и основные настройки безопасности операционных систем |
Создание, сохранение, маркировка и доступ к конфиденциальным данным |
|
Системы виртуализации и настройки, влияющие на их безопасность |
Управление средствами защиты информации |
|
СУБД и настройки безопасности СУБД |
Закрытие уязвимостей и отработка инцидентов |
|
Специфичные компоненты, например, прикладное ПО и корпоративные приложения |
Информирование сотрудников о правилах безопасности |
|
Средства защиты информации и их настройки |
Удаленные доступы к серверу терминалов и в сеть организации |
|
Защищенность помещений, где установлено серверное оборудование и терминалы |
|
|
Домашние терминалы с удаленным доступом |
|
|
Мобильные устройства |
|
Для углубленного аудита можно использовать предельно детализированный «Опросный лист B для самооценки» Стандарта безопасности данных индустрии платежных карт (PSI DSS) или опросный лист ГОСТ Р ИСО МЭК 27001-2006 «Информационная технология. Методы и средства безопасности. Система менеджмента информационной безопасности. Требования». А если в организации внедрены облачные решения, то и «Руководство по облачной безопасности для малого и среднего бизнеса», разработанное ENISA.
