Информацию часто называют одним из самых ценных бизнес-активов, который к тому же постоянно находится в зоне риска. В мире растут темпы совершения киберпреступлений: за первый квартал 2023-го их количество увеличилось на 28% по сравнению с аналогичным периодом прошлого года. По данным Forbes, безопасность становится темой №1 в IT из-за популяризации удаленного формата работы, распространения IoT-технологий, а также из-за совершенствования приемов социальной инженерии и фишинга. Как и несколько лет назад, глобальной проблемой остаются программы-вымогатели, которые действуют все более изощренно. Но даже в таких непростых условиях у бизнеса есть реальный способ защитить свои и клиентские данные.
- Что такое аудит информационной безопасности
- Виды аудита информационной безопасности
- Процесс проведения внутреннего аудита ИБ
- Виды внешнего аудита ИБ
- Когда и кому нужен внешний аудит ИБ
- Подготовка и процесс проведения внешнего аудита ИБ
- Периодичность проведения внутреннего и внешнего аудита ИБ
- Вывод
Что такое аудит информационной безопасности
Компании, которые сталкиваются с постоянно растущими киберугрозами, все чаще прибегают аудиту информационной безопасности (ИБ). Это комплекс мероприятий, который позволяет оценить защищенность информационных систем и проверить, соответствуют ли они действующим стандартам безопасности — в настоящее время это ISO 27001, ISO 27002, а также рекомендации общего регламента по защите данных GDPR. Другими словами, аудит ИБ — это способ выявить потенциальные угрозы и уязвимые места в конкретной организации.
Проведение такого аудита можно рассматривать как часть комплексной стратегии системы управления информационной безопасностью (СУИБ). В рамках реализации данной стратегии также выполняется поиск и обучение специалистов, покупка, внедрение и поддержание в актуальном состоянии средств обеспечения информационной защиты.
Виды аудита информационной безопасности
Выделяют следующие виды аудита ИБ:
- Внутренний аудит проводят на регулярной основе силами самой компании и в соответствии с согласованными внутри организации требованиями.
- Внешний аудит проводят независимые, привлеченные со стороны эксперты, выполняющие работу в соответствии с договором, который заключили руководители, акционеры или правоохранительные органы.
Считается, что внешний аудит в информационной безопасности позволяет получить более объективную оценку реальному состоянию ИБ на предприятии. Это связано с отсутствием предвзятости и более высокой квалификацией самих аудиторов — у аудиторской компании обычно есть необходимые лицензии и сертификаты, подтверждающие соответствующие компетенции ее сотрудников.
Процесс проведения внутреннего аудита ИБ
Провести внутренний аудит безопасности информационных систем можно в соответствии с заранее составленным планом или вне очереди, чтобы выявить потенциальные угрозы, которые могут в ближайшее время привести к потере данных или репутации компании.
Как выглядит стандартная процедура проведения внутреннего аудита ИБ на практике:
Подготовительный этап: составляются и согласовываются внутренние документы. Следует определиться, что именно будут проверять ответственные лица и с какими стандартами сравнивать.
Первый этап: назначаются ответственные за проведение аудита информационной безопасности сотрудники из службы безопасности и информационного отдела, в том числе инженеры, которые отвечают за функционирование IT-инфраструктуры в организации.
Второй этап: ответственные специалисты проверяют бизнес-процессы и сервисы в соответствии с заранее подготовленным списком. Их задача — обнаружить потенциальные уязвимости или возможности для вторжения.
Третий этап: результаты проверки документируются и анализируются, после чего подводятся итоги и, если необходимо, предпринимаются дополнительные меры по защите информационных систем.
Это примерный набор этапов, который при необходимости адаптируется аудиторами под текущие потребности клиента.
Виды внешнего аудита ИБ
Выделяют три основных разновидности внешнего аудита информационной безопасности:
- оценка подходов к защите ИТ-инфраструктуры в масштабах организации.
- анализ защищенности отдельных информационных систем с использованием средств аудита информационной безопасности;
- проведение аттестации или сертификации отдельных информационных систем или процессов на соответствие актуальным отраслевым стандартам.
По итогам внешнего аудита специалисты составляют детальный отчет о проделанной работе и делают анализ соответствия текущего состояния информационных систем актуальным регламентам. Опционально они могут сформировать перечень рекомендаций по повышению надежности работы ИТ-инфраструктуры клиента.
Когда и кому нужен внешний аудит ИБ
В идеальном мире аудит безопасности информационных систем необходим каждой компании, в которой потеря данных и связанные с этим простои могут привести к крупным финансовым и репутационным потерям. Однако на практике регулярные аудиторские проверки проводят лишь крупные и (чуть реже) средние компании. Что останавливает всех остальных:
- материальный вопрос — услуги профессиональных внешних аудиторов стоят недешево;
- необходимость проведения подготовительных работ внутри компании;
- опасения, что доступ к важным корпоративным данным получат третьи лица.
Комментарий эксперта компании Colobridge:
«Помимо того, что компании необходимо регулярно проводить аудит ИБ собственными силами, эта процедура обязательна в случае подозрения на утечку данных — обычно в таких случаях привлекают внешнего независимого подрядчика. При реальной угрозе проверять придется все: оборудование, сети, программное обеспечение, сервисы и даже сотрудников, которые работают с IT-сервисами — довольно часто люди просто копируют корпоративные базы на флешку, чтобы потом использовать эти данные с выгодой для себя.
Также желательно делать аудиторские проверки перед началом миграции IT-инфраструктуры. В этом случае аудит проводят в составе работ по подсчету требуемых ресурсов, количеству сервисов и формированию требований к информационной безопасности уже на новой платформе. Например, одной компании будет достаточно сертификата ISO 27001, а другой нужен еще и PCI DSS — сертификат для платежных систем».
Подготовка и процесс проведения внешнего аудита ИБ
До проведения внешнего аудита необходимо заблаговременно решить два важных организационных вопроса.
Первый: выбрать независимого аудитора, который использует необходимые для проведения качественной оценки программные и технические средства аудита информационной безопасности. Можно изучать других клиентов, реализованные кейсы и наличие разрешающих документов (сертификаты, лицензии) от регуляторов рынка.
Второй: подписать с аудитором договор NDA, который поможет предотвратить утечку конфиденциальных данных, так как в процессе аудита к ним получат доступ сотрудники проверяющей компании. В NDA прописаны условия обращения с внутренними данными организации — в частности, задокументирован запрет на их копирование и дальнейшее распространение.
Какие работы выполняют непосредственно аудиторы:
- оценивают объемы работ, после чего согласовывают сроки и стоимость;
- формируют списки источников информации для составления реалистичной картины;
- собирают данные, а также анализируют процессы их хранения, обмена и использования;
- оценивают работу сотрудников компании (нормативы ИБ, принципы обращения с данными и т. п.);
- готовят заключение с указанием выявленных проблем и рекомендации по улучшению ИБ.
Периодичность проведения внутреннего и внешнего аудита ИБ
Внешний аудит безопасности информационных систем рекомендуется проводить не реже одного раз в год, лучше — раз в 6 месяцев. Частота проведения внутренних проверок, включая внеплановые, может быть разной, так как напрямую зависит от того, какую ценность представляют данные для компании. Обычно потребность в данной процедуре возникает от 2 до 6 раз в год.
Вывод
Аудит информационной безопасности решает важную для бизнеса задачу — позволяет получить объективную информацию о том, насколько надежно организованы процессы хранения, обработки и обмена данных в организации. Это помогает предупредить вероятность нарушения работоспособности и возникновения инцидентов безопасности в краткосрочной перспективе, а также снизить операционные риски. Защитить ценные корпоративные данные можно не только повышением информационной безопасности, но и за счет выбора подходящего инфраструктурного решения. В компании Colobridge вы найдете большой портфель облачных и физических продуктов, а также облачные решения по сервисной модели (as a Servise), позволяющие дополнительно обезопасить данные: фаервол (FWaaS), автоматизированное создание и хранение резервных копий данных (BaaS), услугу послеаварийного восстановления IT-инфраструктуры на резервной площадке (DRaaS). При необходимости наши специалисты подберут оптимальное инфраструктурное решение с учетом конкретных бизнес-потребностей, а также организуют миграцию данных в облако.