yandex
Калькулятор ценТарифыАкцииДокументацияО насКарьера в Cloud.ruНовостиЮридические документыКонтактыРешенияРеферальная программаКейсыПартнерство с Cloud.ruБезопасностьEvolutionAdvancedEvolution StackОблако VMwareML SpaceВ чем отличия платформ?БлогОбучение и сертификацияМероприятияИсследования Cloud.ruЛичный кабинетВойтиЗарегистрироватьсяEvolution ComputeEvolution Managed KubernetesEvolution Object StorageEvolution Managed PostgreSQL®Облако для мобильных и веб‑приложенийАналитика данных в облакеEvolution Bare MetalEvolution SSH KeysEvolution ImageСайт в облакеEvolution DNSEvolution VPCEvolution Load BalancerEvolution Magic RouterEvolution DiskХранение данных в облакеEvolution Container AppsEvolution Artifact RegistryEvolution Managed ArenadataDBEvolution Managed TrinoEvolution Managed SparkАналитика данных в облакеEvolution ML InferenceEvolution Distributed TrainEvolution ML FinetuningEvolution NotebooksCurator Anti-DDoSCurator Anti‑DDoS+WAFUserGate: виртуальный NGFWStormWall: Anti-DDoSEvolution TagsEvolution Task HistoryCloud MonitoringCloud LoggingАренда GPUAdvanced Object Storage ServiceAdvanced Elastic Cloud ServerAdvanced Relational Database Service for PostgreSQLРазработка и тестирование в облакеAdvanced Image Management ServiceAdvanced Auto ScalingDirect ConnectCDNCross-platform connectionAdvanced Enterprise RouterAdvanced Cloud Backup and RecoveryAdvanced Data Warehouse ServiceAdvanced Elastic Volume ServiceAdvanced Cloud Container EngineAdvanced FunctionGraphAdvanced Container Guard ServiceAdvanced Software Repository for ContainerAdvanced Document Database Service with MongoDBAdvanced Relational Database Service for MySQLAdvanced Relational Database Service for SQL ServerCloud AdvisorAdvanced Server Migration ServiceAdvanced Data Replication ServiceAdvanced API GatewayAdvanced CodeArtsAdvanced Distributed Message Service for KafkaAdvanced Distributed Message Service for RabbitMQAdvanced DataArts InsightAdvanced CloudTableAdvanced MapReduce ServiceAdvanced Cloud Trace ServiceAdvanced Application Performance ManagementAdvanced Identity and Access ManagementAdvanced Enterprise Project Management ServiceVMware: виртуальный ЦОД с GPUVMware: виртуальный ЦОДУдаленные рабочие столы (VDI)VMware: сервер Bare MetalИнфраструктура для 1С в облакеУдаленные рабочие столыМиграция IT‑инфраструктуры в облако3D-моделирование и рендерингVMware: резервное копирование виртуальных машинVMware: резервный ЦОДVMware: резервное копирование в облакоVMware: миграция виртуальных машин
Поиск
Связаться с нами

Аудит информационной безопасности: что это, зачем и когда его проводить

Информация — один из ключевых активов любого бизнеса или организации. Для безопасной работы с большим объемом данных компании обязаны выстраивать системы управления информационной безопасностью (СУИБ).

Бизнес
Иллюстрация для статьи на тему «Аудит информационной безопасности: что это, зачем и когда его проводить»
Продукты из этой статьи:
Иконка-StormWall: Anti-DDoS
StormWall: Anti-DDoS
Иконка-UserGate: виртуальный NGFW
UserGate: виртуальный NGFW
Иконка-Curator Anti-DDoS
Curator Anti-DDoS

В современном мире активно развиваются механизмы по краже данных или использованию незаконно полученного доступа к ресурсам организации для извлечения прибыли. Поэтому от организаций требуется постоянное совершенствование СУИБ. Это становится причиной постоянного роста непрофильных затрат на поиск и обучение специалистов по информационной безопасности (ИБ), покупке дорогостоящих средств информационной защиты, а также поддержания всей системы информационной защиты в актуальном состоянии. Зачастую бизнесу приходится думать о работе безопасности в круглосуточном режиме, что еще больше увеличивает вложения в человеческие и инфраструктурные ресурсы.

Чтобы СУИБ были эффективны, нужно выполнять аудиторские проверки информационной безопасности. Какие виды аудита бывают, зачем и когда их стоит проводить — рассказываем в статье.

Что такое аудит информационной безопасности

Аудит информационной безопасности — мероприятия для проверки текущего состояния защиты ИТ-инфраструктуры, выявления потенциальных угроз и уязвимостей. Аудиторские проверки могут проводиться в отношении корпоративных сетей, отдельных устройств, сайтов, приложений, программ, серверов разных масштабов и процессов.

Дарим до 20 000 бонусов
Дарим до 20 000 бонусов
4 000 бонусов — физическим лицам, 20 000 бонусов — юридическим

Примечание
Аудит информационной безопасности нужен не только тем компаниям, которые работают с конфиденциальными данными. Стабильность и надежность СУИБ также важны, например, для интернет-магазинов, сервисов логистики, информационных ресурсов.

Curator Anti-DDoS
Curator Anti-DDoS
Инструмент фильтрации трафика и защиты от DDoS-атак
Подробнее

Виды аудита ИБ

Можно выделить внутренний и внешний аудит информационной безопасности.

  • Внутренний аудит регламентируется внутренними документами и уставами компании. Они определяют порядок работы с данными и процессами. Внутренний аудит проводится собственными структурными подразделениями и выполняется на регулярной основе. 

  • Внешний аудит проводится независимыми экспертами, которым по условиям договоров предоставляется доступ к внутренней сети компании. Он может проводиться по требованию руководства, акционеров и правоохранительных органов. Как правило, привлечение внешних аудиторов ведет к более объективной оценке существующей СУИБ, поскольку такие компании имеют штат квалифицированных аудиторов. Также у них есть соответствующие лицензии и сертификаты, подтверждающие их способность качественно провести аудит по запрашиваемому направлению.

Процесс проведения внутреннего аудита ИБ

Внутренний аудит направлен на выявление внутренних проблем, несоответствий и уязвимостей в системе безопасности. Он помогает обнаружить недостатки СУИБ, повлекшие за собой потерю данных, финансов, репутации и другой ущерб.

Внутренний аудит бывает повседневным или проводимым по заранее согласованному плану специально определенным подразделением. За повседневный аудит отвечают сотрудники, связанные с процессом определения негативного воздействия на инфраструктуру организации. Среди них: инженеры, отвечающие за эксплуатацию инфраструктуры, сотрудники подразделений информационной безопасности, службы мониторинга, защиты активов и другие. Они отслеживают изменения в основных показателях, присущих информации (целостность, доступность, конфиденциальность), в своей зоне ответственности и оперативно вносят коррективы для разрешения последствий.

Глубокий внутренний аудит ИБ — сложное мероприятие, требующее предварительного согласования, разработки регламентирующих документов (плана проверки) и задействования основных ресурсов ИТ/ИБ подразделений и владельцев проверяемых процессов и сервисов.

Для проведения внутреннего аудита ИБ требуется:

  • предварительно определить список проверяемых процессов и сервисов, потенциально уязвимые места (стандарт, на основе которого проводится аудит, область действия, реализация системы защиты информации, привлекаемые ресурсы, формат и сроки проведения, ожидаемый результат и т. д.); 

  • выбрать способ аудита (документальный, технический, в формате учений, комбинированный и т. д.).

Примечание
На время внутреннего аудита проверяющие сотрудники ИБ могут получать расширенные полномочия, в том числе для работы с данными максимальной степени защищенности и для проверки всех сотрудников компании, независимо от их должности.

Зачем нужен внешний аудит ИБ и кто его проводит

Внешний аудит ИБ — независимый вариант проверки СУИБ, а именно ее эффективности и соответствия целям деятельности компании. Он выявляет риски утечки данных и проблемы с защитой данных, а также проверяет СУИБ на устойчивость к кибератакам.

StormWall: Anti-DDoS
StormWall: Anti-DDoS
Защита от DDoS и хакерских атак разной природы и интенсивности на всех уровнях модели OSI, а также на уровне приложений
Подробнее

Примечание

Аудит информационной безопасности нужен не только тем компаниям, которые работают с конфиденциальными данными. Стабильность и надежность СУИБ также важны, например, для интернет-магазинов, сервисов логистики, информационных ресурсов.

Проверяющая компания — независимый внешний аудитор — должна иметь соответствующее программное и техническое оснащение, а также штат сотрудников с должной компетенцией.

При выборе внешнего аудитора нужно обращать внимание не только на описание услуг на сайте или коммерческое предложение, но и на:

  • отзывы клиентов; 

  • примеры выполненных проектов; 

  • наличие сертификатов и лицензий от регуляторов рынка информационной безопасности.

Примечание
В ходе экспертизы аудитор может получить доступ к внутренним сетям и конфиденциальной информации компании. Перед началом работ важно подписать NDA, запрещающий копировать, использовать и распространять внутренние данные.

Виды внешнего аудита ИБ

Основные варианты внешнего аудита:

  • экспертная документальная проверка состояния защиты информации и информационных систем на основе опыта аудиторов; 

  • анализ защищенности информационных систем с использованием технических средств для обнаружения потенциальных уязвимостей в программно-аппаратном комплексе; 

  • аттестация/сертификация реализованных систем и процессов информационной безопасности на предмет соответствия таким стандартам, как ISO 27001, 27701, PCI DSS, 17 приказ ФСТЭК и другие.

Каждый из вариантов проверки может выполняться по отдельности или в комплексе — все зависит от реальных потребностей компании и требований законодательства.

Внешний аудитор может применять разные методы, в том числе использовать технологию имитации атак (пытаться взломать систему без повреждения данных и нарушения её работоспособности). Таким образом, он будет выступать в роли злоумышленника, пытающегося взломать защиту или обойти ее.

Пример проверяемых звеньев СИБ

Как правило, во время аудита на этапе имитации атаки проверяют:

  • уязвимости аппаратной и программной части инфраструктуры;

  • несанкционированное использование и устойчивость каналов связи и коммуникации;

  • оперативность реагирования системы безопасности организации на проводимую атаку;

  • схемы управления инфраструктурой и обеспечения ее стабильной работы;

  • возможность проникновения в инфраструктуру организации через сотрудников компании и контрагентов.

Когда нужен внешний аудит ИБ

Оптимально, чтобы внешняя аудиторская проверка ИБ была регулярной и учитывалась в годовом бюджете компании.

Кроме того, ее лучше провести внеочередно, если:

  • вносятся изменения в структуру компании (например, при реорганизации, слиянии, открытии филиалов);

  • изменяются долгосрочные планы компании;

  • проводится оценка бизнес-активов;

  • сильно изменяются процессы и механизмы СУИБ.

Примечание
Сотрудники компании с соответствующими полномочиями могут инициировать проведение внешнего аудита без согласования и предупреждения коллектива.

Подготовка и процесс проведения внешнего аудита ИБ

Основанием для начала внешней экспертизы является договор между заказчиком и аудитором. В нем оговариваются:

  • требования к будущей проверке;

  • порядок выполнения;

  • полномочия аудитора.

Обычно внешний аудит ИБ проводится в несколько этапов:

  1. Определение требований к аудиту. Заказчик и исполнитель определяют сферы и направления проверки, а также ее глубину. Экспертизу лучше проводить комплексно (во всей компании), а не в отдельных ее подразделениях. Если бюджет и сроки ограничены, можно проверить отдельную область действия СУИБ. Например, процесс привлечения подрядчиков и предоставления им доступа к данным компании.  

  2. Сбор и систематизация данных. Формируется перечень источников данных, лиц с правом доступа и с указанием его уровня, а также анализируются способы обмена данными, их хранения и использования.

  3. Оценка информационных процессов. Проверяется корректность работы с данными персоналом компании и знание нормативных документов, регламентирующих ИБ. В том числе проверяется механизм распределения прав доступа, эффективность защиты от вредоносного ПО, порядок внутреннего мониторинга ИБ.

  4. Формирование заключения по результатам проведенного аудита. В документ вносится информация о выявленных проблемах и недостатках, а также рекомендованные методы их устранения.

Классическая последовательность операций

Примечание
Количество этапов, а также выполняемые работы могут отличаться, что позволяет адаптировать проверку к реальным запросам заказчика.

Периодичность проведения внутреннего и внешнего аудита ИБ

Периодичность проведения проверок СУИБ зависит от целей компании, требований законодательства и понимания руководством компании важности влияния информационной безопасности на деятельность организации.

Плановую внешнюю проверку СУИБ лучше проводить не реже, чем 1-2 раза в год, а внутреннюю — 4-6 раз в год.

В случае глобальных изменений в компании проводятся дополнительные проверки. Например, при подключении к корпоративной сети нового филиала, пересмотре глобальных процессов управления, изменении целей компании и т.д.

Резюме

Аудит информационной безопасности — один из эффективных методов получения объективной информации о текущем уровне защищенности компании от киберугроз разного характера. Его разделение на внешний и внутренний аудиты позволяет получить объективную картину состояния СУИБ, что позволит организации в долгосрочной перспективе снижать свои операционные и стратегические риски.

Для своевременного выявления уязвимостей нужна регулярная проверка ИБ. Все издержки и затраты на ее проведение полностью оправданы. Ведь эти мероприятия снижают риск утечки ценных данных или даже потери контроля над серверами. 

На замену традиционному подходу, когда компания владеет собственной ИТ-инфраструктурой и защищает её, приходит тренд на покупку сервисов у специализированных провайдеров. Такими компаниями могут быть облачные и MSSP-провайдеры. Они развивают команды высококлассных узкопрофильных специалистов и строят дорогостоящие защищенные ИТ-ландшафты, на которых будут располагаться сервисы заказчиков. При делегировании задач по ИБ заказчик становится перед важным вопросом, стоит ли доверять сервис-провайдерам или нет. Ответ закреплен во всем мире. В нашей стране, в частности, создано большое количество стандартов и приказов, регламентирующих принципы построения СУИБ различных отраслей, начиная от машиностроения, создания государственных информационных систем и заканчивая системами обработки медицинских персональных данных.

Сергей Волковдиректор центра киберзащиты Cloud.ru

Если вы думаете над подключением сервисов по обеспечению информационной безопасности в облаке — ознакомьтесь с возможностями Cloud.ru и оставьте заявку на подключение.

Продукты из этой статьи:
Иконка-StormWall: Anti-DDoS
StormWall: Anti-DDoS
Иконка-UserGate: виртуальный NGFW
UserGate: виртуальный NGFW
Иконка-Curator Anti-DDoS
Curator Anti-DDoS
26 февраля 2022

Вам может понравиться