Чем отличаются внутренний и внешний аудит информационной безопасности

Когда речь идет об информационной безопасности компании, лучше несколько раз перестраховаться, чем один раз пострадать от утечки информации, кибератаки или кражи данных. Каждый инцидент ИБ обычно оборачивается для бизнеса финансовыми потерями и репутационным рискам, при которых даже лояльные клиенты теряют доверие к компании.

Проверить ИТ-инфраструктуру и процессы ИБ можно с помощью аудита информационной безопасности: внутреннего и внешнего. В материале мы вместе со специалистами ITGLOBAL.COM Security разбираемся, зачем проводить аудит ИБ и в чем сходства и различия внешнего и внутреннего аудита.

Для чего нужен аудит ИБ

Бизнес проводит аудит ИБ, чтобы повысить уровень информационной безопасности в целом, убедиться в защищенности ИТ-инфраструктуры, оценить зрелость процессов ИБ и получить подробный отчет с рекомендациями по их совершенствованию.

Внутренний аудит больше направлен на обеспечение самоконтроля, когда специалисты компании самостоятельно находят слабые места в своей ИБ и устраняют их. Например, настраивают права доступа к приложениям и компонентам ИТ-инфраструктуры по принципу минимальных привилегий. Внешний аудит помогает получить объективную оценку состояния защищенности ИТ-инфраструктуры и процессов ИБ компании от сторонней организации. Чаще всего его проводят, когда произошел инцидент информационной безопасности или нужно проверить соответствие ИБ требованиям нормативно-правовых актов РФ.

Как понять, что вашему бизнесу нужен аудит

Для проведения внутреннего аудита не нужно ждать повода в виде инцидента ИБ или указания руководства. Это регулярная проверка, где работа с данными и процессами должна быть четко регламентирована во внутренних документах и уставе компании. 

Есть два варианта внутреннего аудита:

• сотрудник ИБ-отдела проверяет, как защищены данные компании и устроены процессы информационной безопасности в ИТ-департаменте;
• руководитель ИБ-отдела проверяет процессы и работу сотрудников в своем отделе.

Данные, которые необходимо защищать, зависят от сферы деятельности компании. Это может быть гостайна, коммерческая тайна или персональные данные клиентов.

Внешний аудит может инициировать сам бизнес, когда произошел инцидент ИБ и нужно предотвратить подобные ситуации в будущем. Или когда у регулятора есть требования по ИБ, которым должна соответствовать компания. Например, для банков, финансовых и государственных организаций проведение внешнего аудита — это обязанность, которая прописана в нормативных актах РФ и ГОСТ.

Когда нужно проводить дополнительную внешнюю проверку:

• появляются новые требования регулятора;
• происходит реорганизация компании;
• меняются специалисты на ключевых ИТ-должностях;
• появляются новые стратегические бизнес-планы;
• руководство оценивает активы компании;
• трансформируются процессы систем управления ИБ;
• топ-менеджеры оценивают квалификацию сотрудников ИТ/ИБ-отделов.

Кто проводит аудит ИБ

Внутренний аудит информационной безопасности компания проводит силами своего отдела по ИБ и ИТ-департамента. В отличии от внутреннего, внешний аудит ИБ — это независимая проверка, которую бизнес заказывает у сторонней лицензированной компании. Например, у ITGLOBAL.COM Security есть следующие лицензии на проведение аудиторской деятельности:

• ФСТЭК (Федеральной службы по техническому и экспортному контролю) на ТЗКИ (Техническую защиту конфиденциальной информации);
• лицензия ФСБ на криптографию;
• сертификат ISO 27001 (Стандарт менеджмента информационной безопасности).

Как подготовиться к аудиту

Перед тем как проводить внутренний аудит, сотрудникам отдела ИБ компании необходимо подготовить внутренний документ, в котором по шагам будет расписан весь процесс проверки: перечень систем и процессов ИБ, содержание итоговых отчетов и расписание следующих аудитов.

Внешний аудит проводят сторонние организации, поэтому подготовка немного отличается. Например, специалисты ITGLOBAL.COM Security перед началом работы обязательно подписывают с клиентом NDA, фиксируют в договоре требования бизнеса к проверке, в том числе информацию о том, что является защищаемой информацией (персональные данные, гостайна и т.д) и где проходят границы проведения аудита ИБ.

Затем аудиторы изучают бизнес-процессы компании, состав и настройки ИТ- инфраструктуры и прикладных сервисов, проверяют текущие настройки систем защиты информации (СЗИ). Делают вывод, каким компонентам ИТ-инфраструктуры и процессам необходимо уделить особое внимание.

Что проверяют в ходе аудита

С помощью внутреннего аудита можно проверить, как организованы процессы информационной безопасности в компании. Например, найти не заблокированные учетные записи, когда уволенный сотрудник все еще может зайти в ИТ-инфраструктуру компании от своего имени, украсть конфиденциальную информацию и продать ее конкурентам.

В ходе внутреннего аудита специалисты:

• устанавливают права доступа сотрудников к информации;
• проверяют состояние средств защиты данных;
• проверяют информированность сотрудников о внутренних правилах ИБ. 

Внешний аудит больше направлен на оценку защищенности ИТ-инфраструктуры и степени ее устойчивости к угрозам, рискам утечки данных и проблемам с их защитой. Причем как на уровне сети, так и на уровне отдельных компонентов информационной системы. В ходе внешнего аудита специалисты проверяют:

• состояние ИТ-инфраструктуры, оборудования и корпоративного ПО;
• состояние ИБ-систем и процессов, уровень защищенности данных, настройки доступов к ним;
• квалификацию ИТ-специалистов компании.

Как часто проводить аудит

Периодичность проведения внутреннего аудита определяет сама компания: раз в месяц, два месяца или полгода. Специалисты ITGLOBAL.COM Security советуют проводить внутренний аудит 4 раза в год. Внешний аудит необходимо проводить не реже одного-двух раз в год, но все зависит от задач бизнеса и влияния информационной безопасности на деятельность компании.

Чем отличаются результаты внутреннего и внешнего аудита

По итогам внутреннего и внешнего аудита специалисты формируют подробные отчеты с информацией о защищенности ИТ-инфраструктуры, состоянию процессов ИБ и соответствии (или несоответствии) их международным best practices. Отчеты отличаются только тем, что по внутреннему аудиту его готовят специалисты отдела ИБ компании, а по внешнему — сертифицированные специалисты сторонней организации. После получения развернутого отчета по внешнему аудиту компания может самостоятельно или с помощью специалистов ITGLOBAL.COM Security устранить несоответствия.

Саммари: главные различия внутреннего и внешнего аудита

1. Цель. Основная цель аудитов — повышение уровня информационной безопасности компании в целом. Но внутренний аудит больше направлен на обеспечение самоконтроля, а внешний направлен на выстраивание процессов ИБ в соответствии с лучшими мировыми практиками и требованиями нормативно-правовых актов.
2. Обстоятельства. Внутренний аудит — это регулярная проверка, для которой не нужен особый повод. Внешний аудит компания проводит по своей инициативе (например, когда произошел инцидент ИБ) или по требованию регуляторов. Это касается банков, финансовых или государственных организаций.
3. Аудитор. Внутренний аудит компания проводит самостоятельно силами собственного отдела по ИБ, а внешний — независимая сторонняя организация, у которой есть все необходимые сертификаты: ФСТЭК России по деятельности ТЗКИ, ФСБ, сертификат ISO 27001.
4. Подготовка. Перед внутренним аудитом специалисты отдела ИБ готовят внутренний документ, в котором расписывают весь процесс проверки. Перед внешним аудитом компания заключает договор со сторонней организацией, которая предварительно погружается в бизнес-процессы компании и изучает ее процессы ИБ.
5. Предмет проверки. В ходе внутреннего аудита специалисты компании проверяют права доступа сотрудников к конфиденциальной информации, учетные записи и т.д. Внешний аудит больше направлен на проверку защищенности ИТ-инфраструктуры в целом и процессы ИБ.
6. Периодичность. Внутреннюю проверку специалисты ITGLOBAL.COM Security советуют проводить 4 раза в год, а внешнюю не реже одного-двух раз в год. Но все зависит от задач бизнеса и влияния ИБ на деятельность компании.
7. Отчетность. По результатам аудитов специалисты составляют подробный отчет о состоянии процессов ИБ и дают рекомендации, что необходимо исправить, чтобы они соответствовали лучшим мировым практикам. Отличие лишь в том, что отчет по внешнему аудиту пишут независимые эксперты, поэтому бизнес получает более полную и объективную информацию.