Создать vds сервер
+7 (936) 444-36-44

+7 (936) 444-36-44

+7 (495) 374-65-10

Проведение
аудита безопасности

Информация сегодня является одним из ключевых активов любого бизнеса. Сеть компании — главная транспортная магистраль, ответст-венная за передачу информации между сегментами ИТ-инфраструктуры. Поддержание должного уровня её защиты является базовым уровнем обеспечения ИБ. Современные инфомационные технологии обеспечивают самые широкие возможности использования этого ресурса для развития и повышения прибыльности бизнеса. Однако они же дают широкий простор для деятельности злоумышленников, так как активно развиваются механизмы по краже данных или использованию незаконно полученного доступа к ресурсам организации для извлечения прибыли. Угрозы могут распространяться по сети злоумышленниками целенаправленно, или сотрудниками компании совершенно случайно и без их ведома, например, в случае посещения зараженного сайта. Это обуславливает высокую степень уязвимости информационных систем и сетей. Для их защиты компании применяют мероприятия в сфере ИБ. Такие меры техно-логического, программного и организационного характера формируют единую систему ИБ. Состояние ИБ требует постоянного контроля. Поддерживать ее в актуальном и максимально эффективном состоянии позволяет аудит информационной безопасности.

Что такое аудит информационной безопасности

Понятие аудита информационной безопасности является сравнительно новым. Однако сегодня он широко применяется компаниями, которые осознают значение защищенности данных и инфраструктуры. Аудит информационной безопасности — мероприятия для проверки текущего состояния защиты ИТ-инфраструктуры, выявления потенциальных угроз и уязвимостей, способных привести к потере конфиденциальной информации и, как следствие, к значительным финансовым и репутационным рискам. Аудиторские проверки могут проводиться в отношении корпоративных сетей, отдельных устройств, сайтов, приложений, программ, серверов разных масштабов и процессов. Аудит представляет собой проверку системы, обеспечивающей защиту данных. Проверка проводится независимым компетентным исполнителем, что гарантирует ее объективность. По ее результатам составляется детальный отчет, в котором отражается состояние системы, обнаруженные недостатки и даются рекомендации по их устранению.

Аудит информационной безопасности компании дает возможность руководству и собственникам оценить реальное положение в сфере ИБ, обнаружить уязвимые места и направления, получить представление о необходимых мерах для повышения защищенности. Его результаты, при условии профессионального исполнения, обеспечивают возможность построения эффективной системы защиты, которая справляется со своими задачами, соответствует специфике конкретного бизнеса.

Виды аудита ИБ

Информация сегодня является одним из ключевых активов любого бизнеса. Сеть компании — главная транспортная магистраль, ответст-венная за передачу информации между сегментами ИТ-инфраструктуры. Поддержание должного уровня её защиты является базовым уровнем обеспечения ИБ. Современные инфомационные технологии обеспечивают самые широкие возможности использования этого ресурса для развития и повышения прибыльности бизнеса. Однако они же дают широкий простор для деятельности злоумышленников, так как активно развиваются механизмы по краже данных или использованию незаконно полученного доступа к ресурсам организации для извлечения прибыли. Угрозы могут распространяться по сети злоумышленниками целенаправленно, или сотрудниками компании совершенно случайно и без их ведома, например, в случае посещения зараженного сайта. Это обуславливает высокую степень уязвимости информационных систем и сетей. Для их защиты компании применяют мероприятия в сфере ИБ. Такие меры техно-логического, программного и организационного характера формируют единую систему ИБ. Состояние ИБ требует постоянного контроля. Поддерживать ее в актуальном и максимально эффективном состоянии позволяет аудит информационной безопасности.
Аудит информационной безопасности — один из эффективных методов получения объективной информации о текущем уровне защищенности компании от киберугроз разного характера. Его разделение на внешний и внутренний аудиты позволяет получить объективную картину состояния ИБ, что позволит организации в долгосрочной перспективе снижать свои операционные и стратегические риски.

Для своевременного выявления уязвимостей нужна регулярная проверка ИБ. Все издержки и затраты на ее проведение полностью оправданы. Ведь эти мероприятия снижают риск утечки ценных данных или даже потери контроля над объектами инфраструктуры или инфраструктурой вцелом. Можно выделить внутренний и внешний аудит информационной безопасности.
  • Внутренний аудит регламентируется внутренними документами и уставами компании. Внутренний аудит проводится собственными структурными подразделениями и выполняется на регулярной основе.

  • Внешний аудит проводится независимыми экспертами, которым по условиям договоров предоставляется доступ к внутренней сети компании. Он может проводиться по требованию руководства, акционеров и правоохранительных органов. Как правило, привлечение внешних аудиторов ведет к более объективной оценке ИБ.
Лучше всего проводить полноценную проверку на максимальную глубину по всем направлениям. Для увеличения эффективности аудита можно грамотно ограничить зону проверки типовыми блоками. Так, месли в структурных подразделениях организации используются одинаковые информационные системы, можно провести комплексную проверку только в одном подразделении. Это позволит выявить ошибки и уязвимости, которые с большой вероятностью будут характерные для всех однотипных систем. В других подразделениях можно ограничиться проверкой по этим ошибкам.

Обычно внешний аудит ИБ проводится в несколько этапов:
  • Определение требований к аудиту. Заказчик и исполнитель определяют сферы и направления проверки, а также ее глубину. Как правило, экспресс-обследование проводится на основании отдельного соглашения с заказчиком, а его результаты позволяют заключить уточненный договор на проведение остальных этапов полного аудита. В том случае, если для проведения аудита необходим доступ к конфиденциальной информации, то перед проведением обследования разрабатывается и утверждается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.

На данном этапе:
  • Уточняются цели и задачи аудита;
  • Формируется рабочая группа и проводятся все необходимые организационные мероприятия. В состав рабочей группы должны входить как специалисты компании-аудитора, так и сотрудники компании-заказчика. Сотрудники заказчика обеспечивают представление всей необходимой информации, контролируют процессы проведения обследования, а также участвуют в согласовании его промежуточных и конечных результатов. Аудиторы отвечают за квалифицированное проведение работ по обследованию предметных областей в соответствии с определенными целями и задачами проекта, согласуют процессы и результаты проведения обследования;
  • Подготавливается, согласовывается и утверждается техническое задание (ТЗ) на проведение аудита, а так же план-график проведения работ. В техническом задании на аудит фиксируется состав и содержание работ по аудиту и требования к разрабатываемым документам.
  Сбор и систематизация данных. Формируется перечень источников данных, лиц с правом доступа и с указанием его уровня, а также анализируются способы обмена данными, их хранения и использования.

В ходе этапа производится:
  • Анализ работы всех технических составляющих ИТ-инфраструктуры, включая:
  1. аппаратного обеспечения (сетевого оборудования, серверов, рабочих станций, систем хранения и др.);
  2. оборудования и помещений, необходимых для поддержки функционирования ИТ-инфраструктуры (систем связи и кондиционирования, СКС и др.).

  • Инвентаризация программного обеспечения как закупленного, так и установленного на компьютерах и серверах заказчика (операционных систем, систем управления базами данных, интеграции приложений и прочее). В ходе инвентаризации:
  1. собирается информация о версиях имеющегося ПО, включая установленные обновления;
  2. документируется конфигурационная информация;
  3. анализируется имеющаяся документация на программное обеспечение, включая бухгалтерскую. Особое внимание обращается на наличие лицензионных соглашений и прочих документов, подтверждающих легальность использования программного обеспечения.

  • Проверка работы системы копирования и восстановления информации;
  • Проверка соответствия требуемым стандартам параметров работы электропитания, включая электропитание серверов;
  • Проверка параметров эксплуатации серверного помещения на соответствие стандартам, рекомендованным производителями оборудования;
  • Сбор информации о имеющихся навыках, знаниях и опыте работы персонала, непосредственно связанного с обслуживанием ИТ-инфраструктуры, предоставлением ИТ-услуг. Сбор данных может осуществляться путем:
  1. интервьюирования персонала заказчика; предназначено как для документирования бизнес-процедур, так и для выявления существующих проблем, связанных с использованием программного и аппаратного обеспечения, и обязательно привлекаются:
  2. сотрудники, непосредственно использующие ПО для решения своих задач;
  3. специалисты, связанные с предоставлением IT-услуг.
  4. в ходе интервьюирования необходимо учитывать, что видение одной и той же проблемы может существенно различаться с точки зрения, например, пользователя и системного администратора.
  5. анализа предоставленных документов;
  6. осмотра и инвентаризации инфраструктуры;
  7. сбора конфигурационной информации;
  8. инструментального обследования.

  • Дополнительно к сбору информации может проводиться ряд тестов, включая:
  1. нагрузочное (стрессовое) тестирование локальной сети и серверов;
  2. оценка качества канала связи с Internet, удаленными офисами.
  3. оценка производительности, может включать:
  4. мониторинг работы и анализ журналов отчетов;
  5. профилирование приложений;
  6. моделирование нагрузки путем проведения ряда тестов.
  7. детальный перечень выполняемых работ обычно определяется в техническом задании на аудит.
  • Оценка информационных процессов. Оценка корректности работы с данными персоналом компании и знание нормативных документов, регламентирующих ИБ. В том числе проверяется механизм распределения прав доступа, эффективность защиты от вредоносного ПО, порядок внутреннего мониторинга ИБ.
  • На данном этапе производится сопоставление и анализ собранных данных;
  • Формирование заключения по результатам проведенного аудита. В документ вносится информация о выявленных проблемах и недостатках, а также рекомендованные методы их устранения.

Этот этап включает:
  • Формирование выводов и рекомендаций;
  • Подготовка и оформление отчета об аудите.
Количество этапов, а также выполняемые работы могут отличаться, что позволяет адаптировать проверку к реальным запросам заказчика.

Итогом аудита является документация, содержащая:
  • детализированные данные о текущей ИТ-инфраструктуре предприятия, включая перечень имеющихся проблем, список закупленного и установленного программного обеспечения, имеющихся лицензий;
  • рекомендации по улучшению качества работы и повышению эффективности функционирования ИТ-инфраструктуры, рекомендации по закупке лицензий либо замене на другие продукты, список мер по устранению либо снижению проявления выявленных первоочередных проблем, включая оценку длительности и стоимости их реализации.

Кому нужен аудит ИБ?

Проведение аудита информационной безопасности — это мера, которая необходима любой компании, стремящейся к развитию и успешной деятельности. Это компании, которые используют корпоративные сети, имеют собственный сайт, применяют технологии интернет-платежей, осуществляют сбор и обработку персональных данных и т. д. Фактически эта процедура рекомендована для подавляющего большинства компаний и организаций.

Существует серьезное заблуждение о том, что аудит обеспечения информационной безопасности необходим только крупному бизнесу. В действительности угрозы распространяются практически в равной степени на компании, независимо от их размеров и суммы оборота. При этом крупные фирмы обладают куда большим ресурсом для противодействия таким угрозам или для купирования последствий их реализации, по сравнению с представителями среднего и малого бизнеса. Поэтому для последних аудит вопросов информационной безопасности оказывается особенно актуальным.

Аудит предполагает комплексное обследование непосредственно на рабочих местах. В том числе аудит на соответствие требованиям информационной безопасности предусматривает изучение следующих ключевых аспектов:
  • правила и фактическая работа персонала с информацией;
  • порядок обучения специалистов, ответственных за ИБ;
  • внутренняя нормативная база, определяющая тайну и конфиденциальную информацию;
  • управление доступом к данным;
  • организация защиты от вредоносного ПО;
  • организация мониторинга событий в сфере ИБ и реагирования на них;
  • применяемые алгоритмы шифрования данных, управления паролями, порядок хранения, дублирования, восстановления данных;
  • использование портативных, съемных, мобильных устройств для хранения информации;
  • порядок и требования предоставления пользователям доступа в интернет, применения электронной почты;
  • организация доступа к данным третьих лиц, которые не работают в компании;
  • порядок мониторинга и контроля доступа к сети внутри компании и со стороны.
Проверка оборудования и программ, применяемых для сбора, обработки, защиты информации. В том числе в процессе аудита ИБ дается оценка компьютерному и сетевому оборудованию, антивирусному ПО, сетевым экранам, базам данных, операционным системам. Также проверке подлежат пользовательские приложения. Обязательной проверке подлежат и физические хранилища информации.

Почему не популярен?

Несмотря на развитие и все более широкое распространение услуги, многие компании отказываются от проведения независимой проверки ИБ. Причина, как правило, заключается в том, что руководители таких компаний до сих пор не осознают истинного значения защищенности информации для стабильности бизнеса. Они рассматривают процедуры аудита информационной безопасности как источник дополнительных немалых издержек. Между тем своевременное проведение проверки позволяет:
  • Устранить уязвимости и недостатки системы.
  • Защититься от серьезных сетевых и других угроз.
  • Выработать обоснованную политику в области предоставления IT-услуг внешним и внутренним пользователям локальной сети, использования, закупки либо замены аппаратно-программного обеспечения.
  • Провести инвентаризацию существующей инфраструктуры, документирование бизнес-процедур, настроек программного и аппаратного обеспечения.
  • Выявить факты использования нелицензионного ПО и оценить последствия нарушения лицензионных соглашений.
  • Оценить эффективность использования ПО.
  • Соотнести возможности имеющегося либо планируемого к закупке ПО и потребностей компании и, на основании этой информации, выбрать наиболее подходящее, в том числе и по ценовым критериям, программное обеспечение.
  • Составить полный список закупленного и установленного ПО, что позволит составить план закупок и извлечь максимальную выгоду из лицензионных соглашений, воспользовавшись программами корпоративного лицензирования.
  • Провести оценку соответствия конфигурации серверов и локальной сети в целом решаемым и перспективным задачам компании.
  • Провести оценку системы хранения информации, отказоустойчивости и производительности серверов и всей сети в целом.
  • Провести к одному стандарту набор используемого ПО, определив для каждой группы сотрудников оптимальные для них наборы программ, что в свою очередь позволит сократить расходы на тех поддержку и уменьшить время простоев.
  • Минимизировать затраты на закупку программного и аппаратного обеспечения.
  • Повысить эффективность использования имеющихся ИТ-ресурсов.
  • Повысить безопасность локальной сети за счет отказа от использования небезопасного ПО, установки необходимых обновлений и изменения конфигураций.