Аудит информационной безопасности

Цели аудита информационной безопасности

Основной целью аудита является получение объективной и независимой оценки состояния информационной безопасности. В дальнейшем все зависит от решаемых средствами аудита задач.

К задачам аудита ИБ можно отнести:

• Подтверждение соответствия требованиям (стандартов, регуляторов и пр.)
• Выявление уязвимостей ИТ-инфраструктуры
• Выявление уязвимостей в процессах (в том числе в процессе самого обеспечения ИБ)
• Получение рекомендаций по улучшению/изменению

Процесс аудита информационной безопасности

Аудит ИБ может быть очным, заочным и смешанным. В любом случае эксперт получает информацию о состоянии ИБ в организации и (обрабатывая и сопоставляя ее с критерием оценки) получает свидетельства. В качестве свидетельств выступают:

• скриншоты и фотографии;
• интервью и записи сотрудников проверяемой организации;
• внутренние документы и документы контрагентов проверяемой организации;
• наблюдения эксперта.

В зависимости от сложности критериев и размера области оценки варьируется срок и содержание плана проведения аудита.

После получения достаточного набора свидетельств, аудитор получает оценку соответствия (количественная, например 0.84 или качественная – «соответствует», в зависимости от критерия).

По полученным результатам обязательно выдаются рекомендации по улучшению и/или повышению оценки.

Варианты аудитов информационной безопасности

Исходя из определения, для проведения конкретного аудита ИБ можно выбрать разные:

• Критерии аудита;
• Проверяемые элементы ИТ-инфраструктуры;
• Проверяемые процессы;
• Варианты получения оценок (качественных или количественных);
• Варианты собираемых свидетельств аудита;
• Варианты процессов сбора свидетельств.

Наиболее частыми критериями для аудита являются законы, стандарты или требования регулирующих органов. Основными регуляторами в области информационной безопасности являются ФСТЭК России, ФСБ России и Банк России. Помимо этого, применяется так называемый экспертный аудит, проводимый по неформализованному критерию обобщения лучших практик.

• • Аудит по 672-П
  • Аудит элементов единой биометрической системы по ГОСТ Р 57580.1-2017
  • Аудит по 683-П для банка
  • Аудит по 684-П для НФО
  • Аудит по 382-П
  • Аудит (оценка соответствия) по ГОСТ Р 57580
  • Аудит на соответствие 152-ФЗ «О персональных данных»
  • Аудит на соответствие стандартам серии ISO 27001

В отдельную группу следует выделять технические аудиты (даже в том случае если проверка происходит по критерию). Дело в том, что технические аудиты требуют иных компетенций аудиторской команды. К наиболее популярным техническим аудитам относятся:

• • Тест на проникновение (пентест)
  • Аудит программного кода
  • Аудит безопасности сайта или web-сервиса

Большинство аудитов носят смешанный характер (оценивается как техническая реализация, так и документальное обеспечения деятельности). К данной категории можно отнести:

• • Аудит программного обеспечения по ОУД4 и ГОСТ 15408-3
  • Аудит безопасности сети на соответствие требованиям
  • Аудит ИБ удаленной работы сотрудников
  • Технико-правовой аудит безопасности интернет-банка
  • Аудит системы мониторинга информационных систем
  • Аудит системы инвентаризации оборудования
  • Аудит безопасности процесса разработки программного обеспечения
  • Аудит инфраструктуры на соответствие требованиям информационной безопасности
  • Аудит непрерывности бизнеса с точки зрения информационной безопасности
  • Аудит систем обеспечения физической безопасности
  • Аудит безопасности внутренних процессов
  • Аудит состояния информационной безопасности за определенный период времени
  • Аудит состояния ИБ на соответствие требованиям клиентов и/или стандартов
  • Аудит ИБ в рамках отдельных бизнес-процессов

Опыт RTM Group позволяет проводить иные проверки, которые также можно отнести к вариантам аудита информационной безопасности. Например, экспертизы. Для данного варианта проверок характерно узкое применение результатов. Одним из наиболее частых применений экспертиз является их использование в судебном процессе.

• • Экспертиза по оценке защищенности программного обеспечения или IT-системы
  • Экспертиза соответствия регулированию в области криптографии
  • Экспертиза продукта, сервиса или оборудования по ИБ
  • Досудебная экспертиза по вопросам IT и информационной безопасности
  • Экспертиза документов в области информационной безопасности
  • Экспертиза инцидента информационной безопасности
  • Экспертиза проектов 1С
  • Экспертиза базы данных
  • Экспертиза электронной подписи (ЭЦП)
  • Экспертиза электронной переписки (email, смс, WhatsApp, Telegram, Viber и пр.)
  • Экспертиза разработанного программного обеспечения (ПО)
  • Экспертиза в спорах по IT-контрактам
  • Экспертизы в спорах по хищению денежных средств через ДБО (Интернет-банк)
  • Экспертиза продукта, сервиса или оборудования по ИБ
  • Экспертиза документов в области информационной безопасности
  • Предварительная экспертиза инцидента информационной безопасности
  • Нормативно-техническая экспертиза в области ИБ

Преимущества RTM Group?

• Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
• RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
• Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты