На предыдущую страницу
Безопасность

Когда нужен внешний аудит информационной безопасности

Внешний аудит информационной безопасности (ИБ) — хороший способ получить объективную оценку надежности ИТ-инфраструктуры, узнать степень ее устойчивости к угрозам как на уровне сети, так и на уровне отдельных компонентов информационной системы. Рассказываем, как выбрать для этого правильную компанию и на что смотреть, чтобы аудит был действительно эффективным.

Кто проводит внешний аудит

Чтобы эта работа принесла реальный результат, компания должна обладать конкретными компетенциями. Среди основных: оценка защищенности ПО, оценка документации в области ИБ, оценка соответствия требованиям законов, экспертиза по базам данных. Но лучшее подтверждение компетенций — это реализованные проекты и отзывы клиентов. Как правило, на сайтах компаний все это можно найти.

Тестирование внешнего периметра

Для качественного аудита необходимо провести разноплановую работу и здесь нужно много специалистов: проверяющие соответствие ИТ-инфраструктуры требованиям регуляторов, аудиторы, понимающие устройство разработки на уровне кода, специалисты по интернет-банкингу, пентестеры и т. д.. В штате хороших компаний специалистов будет много и роли между ними будут распределены четко.

Компания должна иметь лицензии от регуляторов как подтверждение того, что она хорошо знает и понимает рынок. Это, например, лицензия ФСТЭК (Федеральной службы по техническому и экспортному контролю) на ТЗКИ (техническую защиту конфиденциальной информации), лицензия ФСБ на криптографию и сертификат ISO 27001 (стандарт, создания и систем менеджмента информационной безопасности).

Перед началом работы с аудитором стоит потратить немного времени на самостоятельный сбор информации — с кем уже работала команда, насколько довольны клиенты, не было ли новостей о серьезных инцидентах ИБ в этих компаниях. Также многое можно понять и просто по стилю общения, так что точно стоит договориться о предварительных созвонах со специалистами.

Когда нужен аудит

Лучше всего сделать его регулярным, но если в компании произошло или произойдет какое-то из этих событий, то аудит точно нужен сейчас.

  • Большие изменения в ИТ-отделе, например, после объединения двух компаний или масштабной реорганизации.
  • Смена людей на ключевых ИТ-должностях.
  • При изменении долгосрочных планов компании.
  • При оценке бизнес-активов компании и ИТ-отдела как важной ее части.
  • При оценке квалификации сотрудников ИТ и ИБ отделов.

Грамотно проведенный аудит поможет сохранить важную информацию конфиденциальной, повысить контроль руководством компании состояния ИТ-инфраструктуры и ИБ-подразделения, а также модернизировать бизнес-процессы так, чтобы они отвечали требованиям как со стороны регуляторов, так и со стороны бизнеса.

Подготовка

Хороший аудитор понимает всю важность и серьезность процесса. Поэтому, перед началом работы он попросит формализовать отношения, подписав NDA (Non-disclosure agreement, соглашение о неразглашении конфиденциальной информации). Этот документ одинаково полезен для обеих сторон. Следует особо зафиксировать требование, чтобы в отчете об аудите детально прописывались все найденные слабые места без исключений.

Затем аудитор изучает ваши ИТ-процессы и системы собирает нужную информацию для дальнейшей работы, проверяет текущие настройки систем защиты информации (СЗИ). Исходя из этого становится ясно, каким компонентам ИТ-инфраструктуры и процессам следует уделить особое внимание.

Что проверяется в процессе аудита

Для объективной оценки ситуации необходима определенная дистанция. Аудитор организует процесс так, чтобы проверку конкретных точек в ИТ-инфраструктуре ваши сотрудники проводили самостоятельно, но под его личным контролем.

Что проверяет аудитор:

  • Состояние ИТ-инфраструктуры. Аудитор проверит ее состояние в целом, отдельное оборудование и корпоративное ПО, проанализирует технологические процессы, как организованы бэкапы. Проанализирует защищенность сети и вероятность несанкционированного доступа к Wi-Fi.
  • Квалификацию ИТ-специалистов (если необходимо).
  • Состояние ИБ-систем и процессов. Проанализирует уровень защищенности важных данных, настройки доступов к ним, организацию работы со средствами защиты информации, реагирование на уязвимости и инциденты, безопасность сетевой инфраструктуры, информированность сотрудников о внутренних правилах безопасности.

В ходе аудита также может быть организована имитация фишинговой атаки для сотрудников. Поддельные письма, ведущие на форму авторизации на внутреннем портале, который только внешне похож на настоящий — хороший способ узнать реальный уровень культуры ИБ в компании. Кроме того, эффективен и традиционный тест на проникновение.

Итог аудита

В конце всех работ любой аудитор предоставит вам отчет о проделанной работе, в котором будут отмечены все найденные недостатки и уязвимости, а также рекомендации по их устранению . Что обычно включает отчет об аудите:

  • подробное описание всех слабых и потенциально слабых мест в защите и оптимальные варианты их решения;
  • детальная архитектура корпоративной сети с подробным перечнем всего оборудования с разбивкой по помещениям. Зафиксированы должны быть все функции всех устройств;
  • схема физического расположения серверов, дополненная информацией об их спецификациях, системах хранения данных, сетевом оборудовании;
  • информация о рабочих ПК. Это поможет вам ясно увидеть очевидный и, возможно, простой способ получить доступ к ИТ-инфраструктуре вашей компании.

Хороший аудитор предоставит выполнимые рекомендации, с учетом ограничений вашей компании, таких как бюджет, сроки и технические возможности.

Таким образом, внешний аудит информационной безопасности поможет вам по-настоящему понять, насколько уязвима ИТ-инфраструктура компании и насколько это критично для вашего бизнеса.

Оцените данную статью

Be the first to know about new articles!

Подпишитесь на нашу рассылку
Нажимая на кнопку, Вы соглашаетесь с условиями «Политики конфиденциальности»