Информация сегодня является одним из ключевых активов любого бизнеса. Современные интернет-технологии обеспечивают самые широкие возможности использования этого ресурса для развития и повышения прибыльности бизнеса. Однако они же дают широкий простор для деятельности злоумышленников. Это обуславливает высокую степень уязвимости информационных систем и сетей. Для их защиты компании применяют мероприятия в сфере информационной безопасности. Такие меры технологического, программного и организационного характера формируют единую систему информационной безопасности.
Система ИБ требует постоянного контроля. Поддерживать ее в актуальном и максимально эффективном состоянии позволяет аудит информационной безопасности. Разберемся, что это за вид аудита, какие функции выполняет, и какую пользу приносит бизнесу.
Что такое аудит ИБ
Для российских бизнес-реалий понятие аудита информационной безопасности является сравнительно новым. Однако сегодня он широко применяется компаниями, которые осознают значение защищенности данных.
Аудит ИБ компании представляет собой внешнюю проверку системы, обеспечивающей защиту данных. Проверка проводится независимым компетентным исполнителем, что гарантирует ее объективность и адекватность. По ее результатам составляется детальный отчет, в котором отражается состояние системы, обнаруженные недостатки, даются рекомендации по их устранению.
Аудит информационной безопасности компании дает возможность руководству и собственникам оценить реальное положение в сфере ИБ, обнаружить уязвимые места и направления, получить представление о необходимых мерах для повышения защищенности. Его результаты, при условии профессионального исполнения, обеспечивают возможность построения эффективной системы защиты, которая справляется со своими задачами, соответствует специфике конкретного бизнеса и не требует повышенных расходов.
Для кого предназначен аудит ИБ?
Проведение аудита информационной безопасности — это мера, которая необходима любой компании, стремящейся к развитию и успешной деятельности. Это компании, которые используют корпоративные сети, имеют собственный сайт, применяют технологии интернет-платежей, осуществляют сбор и обработку персональных данных и т. д. Фактически эта процедура рекомендована для подавляющего большинства компаний и организаций.
Существует серьезное заблуждение о том, что аудит обеспечения информационной безопасности необходим только крупному бизнесу. В действительности угрозы распространяются практически в равной степени на компании, независимо от их размеров и суммы оборота. При этом крупные фирмы обладают куда большим ресурсом для противодействия таким угрозам или для купирования последствий их реализации, по сравнению с представителями среднего и малого бизнеса. Поэтому для последних аудит вопросов информационной безопасности оказывается особенно актуальным.
Этапы и правила проведения аудита информационной безопасности
Аудит систем обеспечения информационной безопасности проводится на основании договора, составленного между заказчиком и компанией-аудитором. Договором определяются требования к будущей проверке, порядок и основные аспекты ее выполнения.
Обычно аудит информационной безопасности организации состоит из следующих основных этапов:
Определение требований к аудиторской проверке — ее границ и глубины
Определить проверяемые сферы и направления должно руководство компании-заказчика. С точки зрения безопасности, лучше всего провести полноценную проверку на максимальную глубину по всем направлениям. Однако далеко не всегда уровень расходов на такой аудит ИБ оказывается приемлемым для заказчика. Для уменьшения уровня расходов можно грамотно ограничить зону проверки типовыми блоками. Так, если в структурных подразделениях фирмы используются одинаковые информационные системы, можно провести комплексную проверку только в одном подразделении. Это позволит выявить ошибки и уязвимости, которые с большой вероятностью будут характерные для всех однотипных систем. Поэтому в других подразделениях можно ограничиться проверкой по этим ошибкам.
Сбор и систематизация данных для проведения комплексного аудита информационной безопасности
Аудитора интересуют данные о видах информации, которая формируется, сохраняется и передается внутри фирмы, а также о данных, которыми компания обменивается с контрагентами. Проходит инвентаризация оборудования и ПО для формирования, хранения и передачи информации.
Ревизия информационных процессов, которые применяются на предприятии
Предполагается комплексное обследование непосредственно на рабочих местах. В том числе аудит на соответствие требованиям информационной безопасности предусматривает изучение следующих ключевых аспектов:
- правила и фактическая работа персонала с информацией;
- порядок обучения специалистов, ответственных за ИБ;
- внутренняя нормативная база, определяющая тайну и конфиденциальную информацию;
- управление доступом к данным;
- организация защиты от вредоносного ПО;
- организация мониторинга событий в сфере ИБ и реагирования на них;
- применяемые алгоритмы шифрования данных, управления паролями, порядок хранения, дублирования, восстановления данных;
- использование портативных, съемных, мобильных устройств для хранения информации;
- порядок и требования предоставления пользователям доступа в интернет, применения электронной почты;
- организация доступа к данным третьих лиц, которые не работают в компании;
- порядок мониторинга и контроля доступа к сети внутри компании и со стороны.
Проверка оборудования и программ, применяемых для сбора, обработки, защиты информации
В том числе в процессе аудита ИБ дается оценка компьютерному и сетевому оборудованию, антивирусному ПО, сетевым экранам, базам данных, операционным системам. Также проверке подлежат пользовательские приложения. Обязательной проверке подлежат и физические хранилища информации — сейфы, архивы, системы и средства охранной и противопожарной сигнализации и т. д.
Формирование мнения о фактической картине инфобезопасности в организации, ее сравнения с нормой
Политика аудита безопасности информационных систем предусматривает выявление уязвимостей и недостатков, определение рисков именно на этом этапе.
Составление аудиторского отчета
В документе дает подробное описание проведенных мероприятий, указываются обнаруженные минусы, и раскрывается степень связанных с ними угроз. Кроме того, аудитор дает рекомендации по устранению обнаруженных недостатков.
Четкое следование политике аудита ИБ позволяет получить максимально точные и достоверные сведения, необходимые для оценки и повышения уровня информационной защищенности бизнеса от актуальных и перспективных угроз.
Как оценивать результаты аудита ИБ
При оценке результатов аудита информационной безопасности рекомендуется ориентироваться на международный стандарт ISO 17799. Этот документ регламентирует управление информационной безопасностью на предприятиях и в организациях. Отчет об аудите ИБ должен быть оформлен в соответствии с положениями стандарта, полностью раскрывать результаты проверки и отражать объективное мнение аудитора. В нем должна быть отражена степень опасности каждой из выявленных угроз и приоритетность ее устранения.
Почему не популярен
Несмотря на развитие и все более широкое распространение услуги, многие компании в России отказываются от проведения независимой проверки системы ИБ. Причина, как правило, заключается в том, что руководители таких компаний до сих пор не осознают истинного значения защищенности информации для стабильности бизнеса.
Они рассматривают процедуры аудита информационной безопасности как источник дополнительных немалых издержек. Между тем своевременное проведение проверки позволяет устранить уязвимости и недостатки системы, защититься от серьезных сетевых и других угроз.
Примеры из практики
Значение программного, инструментального и технического аудита ИБ заключается в том, что он помогает выявить и предотвратить вполне реальные угрозы, реализация которых может нанести существенный ущерб бизнесу компании. Приведем лишь несколько подобных примеров из практики нашей компании.
Несанкционированное копирование информации
При проведении аудита в одной из компаний был выявлен факт несанкционированного копирования файлов с рабочего места сотрудника, имевшего доступ к секретной информации, который подал заявление об увольнении и отрабатывал 14 дней. В соответствии с действующей политикой ИБ порты USB на его компьютере были заблокированы. Однако не была заблокирована возможность передачи секретных данных по внутренней сети.
Проверка показала, что за несколько дней до увольнения сотрудник скопировал значительный объем данных на диск Q:\ на компьютере своего приятеля, работающего в другом отделе. Этот работник освободил место на диске и предоставил увольняющемуся сотруднику право доступа к нему. В результате тот смог скопировать файлы на флешку.
Данные действия были выявлены непосредственно во время аудита, что позволило не только устранить недоработки в системе ИБ, но и предотвратить утечку данных.
Обнаружение уязвимости на сайте государственной структуры
Во время аудита информационной безопасности на защищенность официального сайта одной из государственных структур специалистами компании была выявлена уязвимость типа PHP-injection, а также обнаружены небезопасные настройки веб-сервера. В результате потенциальные хакеры могли легко получить полный доступ к серверу.
Присутствие подобных уязвимостей делает взлом сайта государственного органа делом времени. Такой взлом привел бы к утечке значительного объема данных, многие из которых могут представлять государственную тайну. Кроме того, действия хакеров способны блокировать нормальную работу структуры. Поэтому своевременное устранение уязвимости позволяет предотвратить настоящее ЧП.
Подработка на рабочем месте
Проверка проводилась в компании, специализирующейся на выполнении элитных ремонтов жилья. Программными средствами аудита ИБ было выявлено, что в течение нескольких месяцев резко возрос объем электронной корреспонденции, которая проходила через персональный почтовый ящик сотрудника подразделения по разработке дизайнов интерьера. Углубленная проверка показала, что этот специалист в рабочее время брал в работу сторонние заказы. Причем для своего фриланса он пользовался всеми доступными ресурсами компании, включая лицензионное ПО.
Сколько стоит аудит ИБ
При организации аудита информационной безопасности стоимость услуги рассчитывается индивидуально для каждого конкретного заказа. Диапазон цен может составлять от нескольких десятков до нескольких сотен тысяч рублей. Стоимость зависит от масштаба проверяемой компании, сложности ее ИТ-инфраструктуры и бизнес-процессов, объема работ и средств аудита информационной безопасности, которые необходимо задействовать для проверки.
В любом случае проведение аудита ИБ — это вложение, которое окупается в многократном объеме. Профессиональная независимая проверка позволяет устранить угрозы, способные нанести значительный ущерб бизнесу и даже поставить под вопрос его существование.
Вывод
В современных условиях регулярное проведение аудита информационной безопасности представляет собой практически обязательную меру для большинства компаний. Независимая проверка требует ощутимых затрат, размер которых зависит от характера деятельности проверяемой фирмы, особенностей существующей системы ИБ и других факторов. Однако понесенные расходы полностью окупаются, поскольку регулярный аудит дает уверенность в высоком уровне защищенности компании от информационных угроз. Главное, выбрать надежного исполнителя для проведения аудита.