Аудит информационной безопасности

Аудит информационной безопасности – один из ключевых инструментов, который позволяет оценить реальную защищенность активов (в том числе ИТ-активов) компании. Результаты аудита позволяют создать/улучшить существующую систему ИБ.

В общем случае аудит ИБ можно определить следующим образом: Аудит информационной безопасности – системный процесс сбора свидетельств, получение качественных и количественных оценок относительно состояния технологического или бизнес-процесса (с точки зрения ИБ), а также элементов ИТ-инфраструктуры, и их соотнесение с критериями (законами, стандартами, политиками и прочее).

В России аудитом информационной безопасности принято называть широкую категорию услуг и сервисов. В зависимости от области работ, состава информационных систем, методик и критериев аудита можно выделить десятки различных вариантов.

Цели аудита информационной безопасности

Аудит ИБ – очень широкая категория услуг, соответственно цели аудитов могут существенно отличаться друг от друга. Например, целью аудита может быть подтверждение соответствия деятельности компании какому-либо стандарту. По результату такого аудита может выдаваться сертификат или иной документ, например по результат аудита аккредитованным органом может выдаваться сертификат соответствия (ISO 27001).

В технических аудитах ИБ конечной целью может быть определенное действие. Например, заказчик пентеста может обозначить в качестве цели внесение изменений в информационную систему (наиболее популярная цель – создание новой учетной записи с правами администратора в контроллере домена).

Основной целью аудита является получение объективной и независимой оценки состояния информационной безопасности. В дальнейшем все зависит от решаемых средствами аудита задач.

К задачам аудита ИБ можно отнести:

• Подтверждение соответствия требованиям (стандартов, регуляторов и пр.)
• Выявление уязвимостей ИТ-инфраструктуры
• Выявление уязвимостей в процессах (в том числе в процессе самого обеспечения ИБ)
• Получение рекомендаций по улучшению/изменению

Процесс аудита информационной безопасности

Аудит ИБ предприятия может быть очным, заочным и смешанным. В любом случае эксперт получает информацию о состоянии ИБ в организации и (обрабатывая и сопоставляя ее с критерием оценки) получает свидетельства.

В качестве свидетельств выступают:

• скриншоты и фотографии
• интервью и записи сотрудников проверяемой организации
• внутренние документы и документы контрагентов проверяемой организации
• наблюдения эксперта

В зависимости от сложности критериев и размера области оценки варьируется срок и содержание плана проведения аудита.

После получения достаточного набора свидетельств, аудитор получает оценку соответствия (количественная, например, 0.84 или качественная – “соответствует”, в зависимости от критерия).

По полученным результатам в обязательном порядке выдаются рекомендации по улучшению и/или повышению оценки.

Стандарты и виды аудита информационной безопасности

Принято разделять аудиты ИБ на экспертные аудиты и аудита по стандартам (compliance).

Экспертные аудиты ИБ как услуга разрабатываться под конкретную задачу проверяемой организации. Например, у компании произошел инцидент. По результатам внутреннего расследования, было установлено, что причиной инцидента является некорректная настройка сетевого оборудования. В таком случае может быть проведен аудит безопасности внутренней инфраструктуры, сочетающий в себе элементы тестирования на проникновение. В рамках такого аудита будут проанализированы настройки сетевого оборудования, процессы, опрошены лица участвующие в технологическом процессе и пр. Такой аудит призван выявить проблемы на одном из направлений системы обеспечения информационной безопасности.

Аудиты по стандартам подразумевают работу по какому-либо критерию, например, по стандарту или набору стандартов ISO, NIST, ГОСТ и пр. Соответственно проверяющий будет опираться на стандарт информационной безопасности в полном объеме, соблюдая все процедуры и требования конкретного критерия. В этом случае методика аудита заранее определена, подавляющее большинство стандартов предусматривают методики аудитов в самих стандартах.

Наиболее популярные стандарты/критерии/РД информационной безопасности в России, которыми пользуются аудиторы, являются:

1. ISO 27001
2. NIST SP 800-й серии
3. ГОСТ Р ИСО/МЭК 18045
4. Серия положений Банка России по информационной безопасности
5. ГОСТ 57580.х
6. ГОСТ Р ИСО/МЭК 27007
7. Серии документов ФСТЭК России по персональным данным и защите критической информационной инфраструктуры

Перечислять все стандарты не имеет смысла, т.к. документов много, а их актуальность сильно меняется год от года.

Варианты аудитов информационной безопасности

По типу исполнителя аудиты ИБ можно разделять на:

• Внутренний
• Внешний

Внутренний аудит, как правило проводят специалисты самого предприятия, внешний аудит – приглашенные эксперты.

Исходя из определения, для проведения конкретного аудита ИБ можно выбрать разные:

• Критерии аудита
• Проверяемые элементы ИТ-инфраструктуры (для аудита информационных систем)
• Проверяемые процессы
• Варианты получения оценок (качественных или количественных)
• Варианты собираемых свидетельств аудита
• Варианты процессов сбора свидетельств

Наиболее частыми критериями для аудита являются законы, стандарты или требования регулирующих органов. Основными регуляторами в области информационной безопасности являются ФСТЭК России, ФСБ России и Банк России. Помимо этого, применяется так называемый экспертный аудит, проводимый по неформализованному критерию обобщения лучших практик.

• 1. Аудит по 747-П
  2. Аудит элементов единой биометрической системы по ГОСТ Р 57580.1-2017
  3. Аудит по 683-П для банка
  4. Аудит по 757-П для НФО
  5. Аудит по 719-П
  6. Аудит (оценка соответствия) по ГОСТ Р 57580
  7. Аудит на соответствие 152-ФЗ «О персональных данных»
  8. Аудит на соответствие стандартам серии ISO 27001

В отдельную группу следует выделять технические аудиты или аудиты безопасности информационных систем (даже в том случае если проверка происходит по критерию). Дело в том, что технические аудиты требуют иных компетенций аудиторской команды. К наиболее популярным техническим аудитам относятся:

• 1. Тест на проникновение (пентест)
  2. Аудит программного кода
  3. Аудит безопасности сайта или web-сервиса
  4. Аудит безопасности сайта

Большинство аудитов носят смешанный характер (оценивается как техническая реализация, так и документальное обеспечения деятельности). К данной категории можно отнести:

• 1. Аудит программного обеспечения по ОУД4 и ГОСТ 15408-3
  2. Оценка соответствия по ОУД4
  3. Аудит безопасности сети на соответствие требованиям
  4. Аудит ИБ удаленной работы сотрудников
  5. Технико-правовой аудит безопасности интернет-банка
  6. Аудит системы мониторинга информационных систем
  7. Аудит системы инвентаризации оборудования
  8. Аудит безопасности процесса разработки программного обеспечения
  9. Аудит инфраструктуры на соответствие требованиям информационной безопасности
  10. Аудит непрерывности бизнеса с точки зрения информационной безопасности
  11. Аудит систем обеспечения физической безопасности
  12. Аудит безопасности внутренних процессов
  13. Аудит состояния информационной безопасности за определенный период времени
  14. Аудит состояния ИБ на соответствие требованиям клиентов и/или стандартов
  15. Аудит ИБ в рамках отдельных бизнес-процессов

Опыт RTM Group позволяет проводить иные проверки, которые также можно отнести к вариантам аудита информационной безопасности. Например, экспертизы. Для данного варианта проверок характерно узкое применение результатов. Одним из наиболее частых применений экспертиз является их использование в судебном процессе.

• 1. Экспертиза по оценке защищенности программного обеспечения или IT-системы
  2. Экспертиза соответствия регулированию в области криптографии
  3. Экспертиза продукта, сервиса или оборудования по ИБ
  4. Досудебная экспертиза по вопросам IT и информационной безопасности
  5. Экспертиза документов в области информационной безопасности
  6. Экспертиза инцидента информационной безопасности
  7. Экспертиза проектов 1С
  8. Экспертиза базы данных
  9. Экспертиза электронной подписи (ЭЦП)
  10. Экспертиза электронной переписки (email, смс, WhatsApp, Telegram, Viber и пр.)
  11. Экспертиза разработанного программного обеспечения (ПО)
  12. Экспертиза в спорах по IT-контрактам
  13. Экспертизы в спорах по хищению денежных средств через ДБО (Интернет-банк)
  14. Экспертиза продукта, сервиса или оборудования по ИБ
  15. Экспертиза документов в области информационной безопасности
  16. Предварительная экспертиза инцидента информационной безопасности
  17. Нормативно-техническая экспертиза в области ИБ
  18. Цифровая криминалистика (форензика)

Планы и программы аудита информационной безопасности

В экспертных аудитах план может содержаться в тексте технического задания на аудит. При этом некоторые стандарты в качестве обязательного элемента требуют разработку плана аудита ИБ по заранее определенной форме. Помимо плана аудита, который, как правило, является планом одного конкретного аудита, некоторые стандарты вводят понятие программы аудита. Программа аудита, обычно, представляет собой план серии аудитов. Здесь необходимо быть внимательным, т.к. понятия плана и программы аудита могут существенно отличаться в разных стандартах.

Этапы аудита информационной безопасности

1. Инициация аудита (как правило, включает в себя разработку и подписание договора и ТЗ, в случае аудита по стандартам ссылку на конкретный стандарт)
2. Сбор информации (проведение интервью, сбор технических данных, сбор документации по информационной безопасности и пр.)
3. Обработка и анализ информации (этап на котором полученная информация интерпретируется аудитором для достижения цели аудита)
4. Разработка отчета по результатам аудита (формат отчета зависит от технического задания или стандарта ИБ)

Это стандартные этапы, которые будут пройдены по результатам любого аудита ИБ. При этом в зависимости от конкретного проекта могут появиться дополнительные этапы, например:

• Предварительное согласование отчета
• Разработка дополнительных документов (предварительная разработка политики или регламента аудита информационной безопасности)
• Презентация по результатам работ
• и пр.

Отчет по аудиту информационной безопасности

Форма и содержание отчета может быть определена стандартом ИБ, например, ГОСТ 57580.2 содержит четкие требования к отчету. При этом, большинство отчетов по аудиту информационной безопасности содержат следующее:

1. Информация о Заказчике и Исполнителе аудита
2. Сведения об аудиторской группе
3. Цели аудита
4. Сроки аудита
5. Информация о ходе аудита
6. Информация о результатах аудита
7. Рекомендации по результатам аудита

Преимущества RTM Group?

• Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
• RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к “продаже” дополнительных услуг.
• Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты