Важность аудита информационной безопасности: направления и цели

Аудит информационной безопасности – это комплекс процедур и мероприятий, направленных на исследование существующей системы обеспечения информационной безопасности.

Обеспечение информационной безопасности (практик ИБ)

Актуальные мировые практики, а также международные и отечественные стандарты по обеспечению информационной безопасности так или иначе определяют необходимость проведения исследовательских работ и тестирований с целью определения слабых сторон системы защиты.

Информационная безопасность – это постоянно текущий процесс, который необходимо непрерывно совершенствовать и модернизировать.

Эффективность защиты определяется именно ее возможностью противостоять современным угрозам и соответствовать актуальным требованиям, а значит всю эту систему и процесс необходимо анализировать и пересматривать на регулярной основе.

Направления аудита ИБ

Основные этапы аудита:

1. Инвентаризация объектов защиты – необходимо определить, на что защита фактически распространяется и что дополнительно должно быть включено в эту область.
   Цель: полностью понимать область обеспечения защиты.
   Результат: подробное описание элементов инфраструктуры, процессов обработки.

Исследователи Strategy Partners фиксируют активный рост объемов рынка программного обеспечения. Однако не все ПО одинаково безопасно для использования и надежно в эксплуатации. Неконтролируемое внедрение ПО различных производителей с различной степенью доверия зачастую является причиной возникновения дополнительных рисков ИБ.

Где пригодится:
Внедрение СЗИ – защита должна распространяться на всю инфраструктуру без слепых мест.
КИИ – вы должны знать перечень АСУТП, ИС и сетей для подачи корректной информации во ФСТЭК и надзорные органы.

1. Анализ актуальных практик обеспечения безопасности и угроз – включает в себя изучение широко используемых методик обеспечения защиты и методик их преодоления.

   Цель: определить актуальные угрозы ИБ, способы их реализации, а также методы защиты против них.
   Результат: перечень актуальных угроз, а также типов реализуемых атак.

Система защиты обязана адаптироваться под агрессивную среду. В рамках ограниченного бюджета добиться качественной защиты можно только адаптируясь и следуя тенденциям. Например, многие экспертные компании делают прогнозы и списки актуальных угроз, которыми стоит пользоваться на 2 этапе.

1. Анализ требований к системе защиты – необходимо сформировать или пересмотреть требования к защите.

   Цель: понимать, что система должна включать и чему соответствовать.

Где пригодится:
Выход на международный уровень. Множество требований различных стран по защите информации совпадают, но у каждой есть свое виденье и разный подход к организации защиты.
Проверки регуляторов. Только заранее проведя аудит соответствия требованиям регулятора можно быть уверенным в своей порядочности
Подключение к новым системам. Многие платежные системы, международные операторы различных сервисов, а также иные компании требуют защищать информацию по определенному стандарту или перечню направлений. Предварительное изучение этих требований – залог успешной интеграции

1. Пересмотр направлений защиты – необходимо определить процессы обеспечения защиты: защита от утечек, защита сетевого взаимодействия, обучение персонала и т.п.

   Цель: высокоуровнево определить направления деятельности и процессы в рамках защиты ИБ.
   Результат: карта процессов и направлений защиты.

Когда понадобится:
Развитие направлений защиты. Если вы хотите развивать систему защиты, начинать необходимо с самого высокого уровня. На практике переход сразу к итоговым мероприятиям сопровождается недостатком планирования, управления и понимания системы в целом, включая неоднозначные результаты

1. Анализ технически средств и процедур защиты – исследование существующих и определение недостающих мер защиты.

   Цель: исследование реализуемых практик и используемых средств защиты на самом подробном уровне.
   Результат: перечень контролей, содержащих процедуры и технические меры защиты, а также описание их реализации.

Данный этап особо важен в процессе перехода на отечественные решения. Исследования экспертов в области ИБ показывают, что переход на отечественные решения это актуальный, но и очень сложный процесс. Замена тех же средств защиты требует наличия описания функциональных возможностей используемых и рассматриваемых решений, что и производится на 5 этапе.

Когда понадобится:
Внедрение и замена СЗИ, программных компонент. Без перечня обязательных и реализуемых функций защиты невозможно полноценно заменить СЗИ. Наиболее часто встречаемый случай – замена операционной системы, когда ранее реализуемые практики по защите информации невозможно реализовать стандартным функционалом, что приводит к понижению фактического уровня защиты.
Проектирование системы защиты. Подробный план по функциям защиты предотвращает необходимость доработки системы защиты в разрезе перечня технических средств.

1. Подготовка требований по совершенствованию – определение недостатков существующей системы.

   Цель: на основании области защиты, актуальных угроз и атак, требований по защите и существующих конкретных мер определить недостатки существующих процедур, технических мер, направлений обеспечения защиты и, в итоге, определить текущее состояние всей системы ИБ.

Что может получиться:
Своевременное устранение нарушений. Вы можете вовремя и оперативно устранить обнаруженные несоответствия, упредить замечания и предписания, а также обезопасить себя в правовом плане.
Уменьшение рисков ИБ. Если вы вовремя обнаружите, что в одном направлении у вас провал, то сможете предотвратить типовые сценарии будущих атак.
Предотвращение повторения инцидентов. Результат пересмотра системы защиты может дать ответ на вопросы “из-за чего все случилось” и “как закрывать дыры”.

Разработка планов по итогам аудита информационной безопасности

Последний этап аудита – этап подготовки экспертной оценки, на котором формируются выводы о фактическом состоянии системы защиты информации. Выводы могут быть представлены в любой доступной форме в зависимости от целей аудита.

Планирование работ по развитию системы информационной безопасности базируется именно на результатах внутреннего или внешнего аудита, т. к. именно в нем проводится комплексное исследование внутренних процессов обработки и защиты информации. Именно качественный аудит и выводы по нему являются залогом успешного развития системы ИБ.

Аудит ИБ, в какой бы он ни существовал форме – это комплексное исследование. Аудит бизнес-процессов, аудит безопасности сайта, исследование инфраструктуры, оценка соответствия стандартам, подготовка к аттестации – все эти работы включают аудит.

С него начинается любая работа по развитию системы обеспечения ИБ и им же она, в идеальном случае, и заканчивается.