Внешний аудит информационной безопасности (ИБ) — хороший способ получить объективную оценку надежности ИТ-инфраструктуры, узнать степень ее устойчивости к угрозам как на уровне сети, так и на уровне отдельных компонентов информационной системы. Рассказываем, как выбрать для этого правильную компанию и на что смотреть, чтобы аудит был действительно эффективным.

Кто проводит внешний аудит
Чтобы эта работа принесла реальный результат, компания должна обладать конкретными компетенциями. Среди основных: оценка защищенности ПО, оценка документации в области ИБ, оценка соответствия требованиям законов, экспертиза по базам данных. Но лучшее подтверждение компетенций — это реализованные проекты и отзывы клиентов. Как правило, на сайтах компаний все это можно найти.
Для качественного аудита необходимо провести разноплановую работу и здесь нужно много специалистов: проверяющие соответствие ИТ-инфраструктуры требованиям регуляторов, аудиторы, понимающие устройство разработки на уровне кода, специалисты по интернет-банкингу, пентестеры и т. д.. В штате хороших компаний специалистов будет много и роли между ними будут распределены четко.
Компания должна иметь лицензии от регуляторов как подтверждение того, что она хорошо знает и понимает рынок. Это, например, лицензия ФСТЭК (Федеральной службы по техническому и экспортному контролю) на ТЗКИ (техническую защиту конфиденциальной информации), лицензия ФСБ на криптографию и сертификат ISO 27001 (стандарт, создания и систем менеджмента информационной безопасности).
Перед началом работы с аудитором стоит потратить немного времени на самостоятельный сбор информации — с кем уже работала команда, насколько довольны клиенты, не было ли новостей о серьезных инцидентах ИБ в этих компаниях. Также многое можно понять и просто по стилю общения, так что точно стоит договориться о предварительных созвонах со специалистами.
Когда нужен аудит
Лучше всего сделать его регулярным, но если в компании произошло или произойдет какое-то из этих событий, то аудит точно нужен сейчас.
- Большие изменения в ИТ-отделе, например, после объединения двух компаний или масштабной реорганизации.
- Смена людей на ключевых ИТ-должностях.
- При изменении долгосрочных планов компании.
- При оценке бизнес-активов компании и ИТ-отдела как важной ее части.
- При оценке квалификации сотрудников ИТ и ИБ отделов.
Грамотно проведенный аудит поможет сохранить важную информацию конфиденциальной, повысить контроль руководством компании состояния ИТ-инфраструктуры и ИБ-подразделения, а также модернизировать бизнес-процессы так, чтобы они отвечали требованиям как со стороны регуляторов, так и со стороны бизнеса.
Подготовка
Хороший аудитор понимает всю важность и серьезность процесса. Поэтому, перед началом работы он попросит формализовать отношения, подписав NDA (Non-disclosure agreement, соглашение о неразглашении конфиденциальной информации). Этот документ одинаково полезен для обеих сторон. Следует особо зафиксировать требование, чтобы в отчете об аудите детально прописывались все найденные слабые места без исключений.
Затем аудитор изучает ваши ИТ-процессы и системы собирает нужную информацию для дальнейшей работы, проверяет текущие настройки систем защиты информации (СЗИ). Исходя из этого становится ясно, каким компонентам ИТ-инфраструктуры и процессам следует уделить особое внимание.
Что проверяется в процессе аудита
Для объективной оценки ситуации необходима определенная дистанция. Аудитор организует процесс так, чтобы проверку конкретных точек в ИТ-инфраструктуре ваши сотрудники проводили самостоятельно, но под его личным контролем.
Что проверяет аудитор:
- Состояние ИТ-инфраструктуры. Аудитор проверит ее состояние в целом, отдельное оборудование и корпоративное ПО, проанализирует технологические процессы, как организованы бэкапы. Проанализирует защищенность сети и вероятность несанкционированного доступа к Wi-Fi.
- Квалификацию ИТ-специалистов (если необходимо).
- Состояние ИБ-систем и процессов. Проанализирует уровень защищенности важных данных, настройки доступов к ним, организацию работы со средствами защиты информации, реагирование на уязвимости и инциденты, безопасность сетевой инфраструктуры, информированность сотрудников о внутренних правилах безопасности.
В ходе аудита также может быть организована имитация фишинговой атаки для сотрудников. Поддельные письма, ведущие на форму авторизации на внутреннем портале, который только внешне похож на настоящий — хороший способ узнать реальный уровень культуры ИБ в компании. Кроме того, эффективен и традиционный тест на проникновение.
Итог аудита
В конце всех работ любой аудитор предоставит вам отчет о проделанной работе, в котором будут отмечены все найденные недостатки и уязвимости, а также рекомендации по их устранению . Что обычно включает отчет об аудите:
- подробное описание всех слабых и потенциально слабых мест в защите и оптимальные варианты их решения;
- детальная архитектура корпоративной сети с подробным перечнем всего оборудования с разбивкой по помещениям. Зафиксированы должны быть все функции всех устройств;
- схема физического расположения серверов, дополненная информацией об их спецификациях, системах хранения данных, сетевом оборудовании;
- информация о рабочих ПК. Это поможет вам ясно увидеть очевидный и, возможно, простой способ получить доступ к ИТ-инфраструктуре вашей компании.
Хороший аудитор предоставит выполнимые рекомендации, с учетом ограничений вашей компании, таких как бюджет, сроки и технические возможности.
Таким образом, внешний аудит информационной безопасности поможет вам по-настоящему понять, насколько уязвима ИТ-инфраструктура компании и насколько это критично для вашего бизнеса.