КАК ПРОИСХОДИТ АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В КРУПНЫХ КОМПАНИЯХ

Прокопайло А.А., Полуян А.Ю.

Кафедра «Вычислительные системы и информационная безопасность» «ВСиИБ»; Донской государственный технический университет

КАК ПРОИСХОДИТ АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В КРУПНЫХ КОМПАНИЯХ

Аннотация

Настоящая работа посвящена независимой оценке текущего состояния системы информационной безопасности на крупном предприятии. А так же подготовке, инструкциям по проведению аудита и разработке рекомендаций по завершении проекта.

Ключевые слова: аудит, комплексный аудит ИБ, средства тестирования

Keywords: audit, comprehensive information security audit, testing tools

Аудит информационной безопасности (ИБ) – независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия определенным критериям, и предоставление результатов в виде рекомендаций.

Комплексный аудит безопасности информационных систем позволяет получить наиболее полную и объективную оценку защищенности информационной системы, локализовать имеющиеся проблемы и разработать эффективную программу построения системы обеспечения ИБ организации.

Аудит безопасности проводят, решая следующие задачи:

  1. Повышение уровня защиты информации до приемлемого;
  2. Оптимизация и планирование затрат на обеспечение информационной безопасности;
  3. Обоснование инвестиций в системы защиты;
  4. Получение максимальной отдачи от инвестиций, вкладываемых в системы защиты информации;

Подтверждение того, что используемые внутренние средства контроля соответствуют задачам организации и позволяют обеспечить эффективность и непрерывность бизнеса.

Под комплексным аудитом будем понимать следующие:

  1. тестирование на проникновение;
  2. аудит процессов ИБ;
  3. обследование ключевых бизнес-систем и бизнес-процессов;
  4. анализ конфигураций элементов ИТ-инфраструктуры;
  5. обследование процессов обработки ПДн и режима КТ;
  6. разработка рекомендаций для повышения уровня зрелости процессов ИБ.

Любой проект глобально можно разделить на три основных блока:

  1. подготовка к проведению аудита;
  2. сбор свидетельств аудита и анализ полученных данных;
  3. разработка рекомендаций и презентация результатов.  

Подготовка к проведению аудита.

Пожалуй, это самый важный этап, который приводит к успеху всего проекта. Целью этого этапа является создание четкой координации внутри проектной команды.

Создайте профиль клиента. Создайте типовые риски, которые характерны для данной компании. Эта информация поможет определить ключевые моменты, на которые нужно обратить особое внимание во время работы.

Помогите клиенту подготовить бизнес для работы. Создайте небольшую заметку о проделанной работе, для вовлечения в проект профессионалов.

Проработайте документ с заказчиком совместно. Необходимо заранее запросить  организационно штатную структуру и на ее основании подготовить план.

Договоритесь о применимых способах сбора информации. Использование камеры смартфона значительно ускоряет проектную работу, однако для некоторых компаний такой способ является неприемлемым. 

Заранее согласуйте с клиентом план отчета. Планом является документ, содержащий в себе пример описания рекомендаций.

Необходимо провести контроль согласованных проектов. Зачастую в крупных компаниях существует свой формат предоставления отчетной документации, свой набор стилей для документов и их оформления. Работа проектной команды в уже отформатированных отчетах поможет сохранить огромное количество времени.

Создайте отдельную проектную область с иерархией папок. Нужно четко понимать, где должны храниться документы от клиента, куда необходимо выкладывать документы на согласование, в какой области хранятся финальные документы и т.д.

В рамках проведения работ используется два сценария:

  1. когда проектные команды формируются в зависимости от выполняемых функций;
  2. когда в каждой команде присутствует профессиональный специалист каждого из направлений.

Создайте отдельную группу почтовой рассылки для участников проекта. Это сэкономит время и избавит от необходимости каждый раз добавлять в адресаты всех участников проекта. Таких рассылок мы создаем, как правило, несколько. Неплохо себя показали мессенджеры, такие как, What’s App, Viber, Telegram и т.д.

Необходимо выделить внутреннего администратора проекта. Функции такого специалиста:

  1. отслеживание сроков предоставления свидетельств/документации;
  2. сбор с руководителей команд информации, которую необходимо запросить;
  3. вычитка отчетной документации;
  4. работа с проектной областью — выкладывание материалов, наведение порядка;
  5. работа со службой контроля и пр.

Вся информация, которая необходима для старта проекта и согласования проведения каких-либо работ  должна храниться в одном доступном месте. Примерами могут быть паспортные данные, запрос e-mail-адресов, исключаемых при проведении фишинга, серийные номера ноутбуков и пр.  

Сбор свидетельств аудита

Сбор свидетельств аудита является самым длительным и сложным этапом, в рамках которого участники проекта буквально живут на площадке и общаются с профессиональными специалистами.

Гораздо проще будет записывать всё сразу в ноутбук. В бумажных носителях больше минусов, чем плюсов:

  • затруднен поиск информации;
  • нет под рукой уже полученной ранее информации и пр.

 К тому же, записанное на бумаге все равно придется позже оцифровывать.

Необходимо выделять час рабочего времени ежедневно на формирование кратких отчетов. Данный документ минимизирует риск того, что часть информации была упущена или неправильно интерпретирована.

Нужно сообщать о критических уязвимостях сразу. Их нужно устранять немедленно. ‎

Рекомендуем заранее, еще до предоставления отчетной документации, согласовывать с клиентом отдельные разделы отчета — например, описание процессов ИБ или лист оценки защищенности ИС. Чем раньше промежуточные результаты будут согласованы, тем меньше вероятность, что полученный результат не оправдает ожидания заказчика.

Разработка рекомендаций результатов проекта

Аналитический этап, в рамках которого разрозненные данные структурируются, обрабатываются и оцениваются. Проектной командой осуществляется разработка рекомендаций и визуализация полученных результатов и итогов проекта.

Подготовьте к отчетным документам отдельную справку для руководства. Включите в документ краткую информацию о проведенном аудите, ключевых недостатках и точках роста.

Согласуйте формат проведения контроля отчетной документации. Вычитка сотен страниц занимает большое количество времени. Чтобы этот процесс не затягивал общий ход работ, мы используем следующий подход (заранее согласованный с заказчиком): верстка и устранение «подчеркнутого красным» первого отчета и последующая полная вычитка с корректировкой синтаксиса финального согласованного отчета.

Проведите внутреннюю презентацию результатов проекта. Презентуйте результаты работ проектной команде — это позволит лучше подготовиться к ответам на возможные вопросы бизнеса. Храните все материалы, собранные в рамках работ, в одном месте. Зачастую заказчики просят нас структурировать запрошенные в рамках аудита свидетельства (например, по процессам ИБ/технологиям/др.) и предоставить их вместе с результатами работ для внутреннего хранения.

Литература

  1. Комплексный аудит. [Электронный ресурс] – Режим доступа: https://clck.ru/GPztP
  2. Комплексный аудит информационной безопасности. [Электронный ресурс] — Режим доступа: https://clck.ru/GPzsk
  3. Комплексный аудит информационной безопасности. [Электронный ресурс] — Режим доступа: http://it-professional.ru/audit/security_audit
  4. Аудит информационной безопасности предприятия. [Электронный ресурс] — Режим доступа: https://clck.ru/GPzsN