Аудит информационной безопасности: что это, какие есть виды, когда проводить

В апреле 2024-го в России подписали Отраслевой стандарт защиты данных. Теперь крупнейшие ИТ-компании будут добровольно проходить ежегодный аудит ИБ на соответствие требованиям этого документа. В их числе «Тинькофф», «Билайн» и другие технологические бренды, которые состоят в Ассоциации больших данных.

Однако аудиты ИБ проходят не только ИТ-компании. Кому и для чего нужны такие мероприятия? Как их проводят? И чем аудиты ИБ отличаются от других прочих проверок безопасности в компании? Об этом и не только — далее.

Смотрим шире, или Что такое «аудит ИБ»

По большому счету, аудит ИБ — это мероприятие по оценке информационной безопасности в компании. Во время таких проверок обычно выявляют потенциальные угрозы и уязвимости ПО, которые могут привести к реальным атакам и негативным последствиям для бизнеса, а также оценивают соответствие процессов и документации требованиям законодательства и регуляторов. Так, например, аудит ИБ проводится в отношении части компаний, которые работают с персональными данными (152-ФЗ).

Аудит помогает в целом оценить процессы обеспечения ИБ, а также общее состояние систем защиты данных и осведомленности сотрудников о цифровой гигиене. По итогам мероприятия обычно готовят отчет (заключение), а также рекомендации по защите ИТ-инфраструктуры.

На первый взгляд может показаться, что аудит ИБ — любое тестирование системы информационной безопасности в компании. Но это не так.

Зачастую аудит масштабнее, чем многие проверки защищенности ИТ-инфраструктуры. На его основе компании могут определять общий вектор развития кибербезопасности в компании. Для сравнения: пентест (тестирование на проникновение) лишь выявляет, насколько устойчива система безопасности к потенциальным атакам.

Виды аудита ИБ

Аудит ИБ может быть обязательным и добровольным. В первом случае процедура регламентируется законодательными актами или требованиями регуляторов. Во втором — компания принимает решение об аудите самостоятельно. Причиной тому может быть недавний инцидент или появление новой угрозы для бизнеса.

Кроме того, аудит ИБ бывает внутренним и внешним. Чтобы понять, чем отличаются эти два вида на практике, рассмотрим их подробнее.

Внутренний аудит

Чаще всего он регламентирован политикой ИБ и другими внутренними документами предприятия. В них прописан порядок работы с информацией и процессами, а также периодичность и необходимость внепланового проведения таких проверок.

В частности, поводом для дополнительного внутреннего аудита может быть:

• обнаруженный факт утечки данных,
• увеличение/сокращение ИБ-бюджета,
• существенные изменения штата, структуры и бизнес-процессов,
• внедрение новых информационных систем и т.д.

Преимущество внутреннего аудита в том, что он выполняется своими силами —  специалистами компании. Они хорошо знают внутренние процессы и в них ориентируются.

Недостаток внутреннего аудита ИБ — не всегда удается получить объективную оценку ситуации в компании. Сделать изнутри это бывает сложнее, чем внешним специалистам, которые специализируются на таких проверках.

Внешний аудит

Выполняется независимой компанией на основе договора, в котором прописаны все этапы аудита и полномочия аудитора. Такой аудит могут инициировать владельцы бизнеса, правоохранительные органы, акционеры и прочие лица, имеющие влияние на компанию или заинтересованные в безопасности информации.

Как мы уже сказали ранее, процедура инициируется по законодательным и не законодательным причинам:

1. Для проверки соответствия систем принятым стандартам. ISO/IEC 27001:2005, приказ № 17 ФСТЭК, PCI DSS, ГОСТ Р 57580.1-2017, GDPR, СТО БР ИББ, 152-ФЗ, PCI DSS, ISO 27001, ISO 27002 и т.д.
2. При проведении сертификации на соответствие вышеописанным стандартам.
3. При выборе систем защиты данных. Для получения требований, релевантных программно-аппаратному обеспечению компании. Аудит поможет составить перечень необходимых средств защиты информации.
4. После внедрения в инфраструктуру нового программно-аппаратного решения и для оценки правильности применения уже используемых решений. Аудит ИБ даст понять, верно ли настроены средства защиты и процессы взаимодействия с ними, и при необходимости внести изменения в них.
5. После инцидента — атаки на инфраструктуру, кражи данных и т.п. В таких случаях проводится расследование, по его итогам и обнаруженным проблемам принимается решение об аудите и устранении причин инцидента.

Внешний аудит ИБ проводят компетентные сотрудники на аутсорсе, которые не заинтересованы в сокрытии каких-либо фактов хищения информации или иных проблем безопасности (в отличие от внутренних аудиторов — сотрудников компании).

Кроме того, у внешних аудиторов есть квалификация — опыт проведения аудитов ИБ разной сложности в компаниях, работающих с разными данными и системами информационной безопасности. Все это подтверждается лицензиями и сертификатами.

Три распространенных варианта внешнего аудита ИБ:

1. Сертификация или аттестация функционирующих систем обеспечения безопасности на предмет их соответствия актуальным стандартам (152-ФЗ, PCI DSS, ГОСТ 57580, ISO 27002 и т.д.).
2. Анализ степени защищенности информационных систем компании с применением технических ресурсов для обнаружения уязвимостей и ошибок конфигураций в программно-аппаратных средствах компании.
3. Документальная проверка защиты данных в организации — «бумажный» аудит ИБ.

Внешний аудит ИБ стоит проводить ежегодно, а еще лучше — раз в полгода. Частота внутренних аудитов может быть разной и зависит от множества факторов: от принятых в компании политик безопасности до сферы деятельности.

Мифы о внешнем аудите ИБ

Систематические («профилактические») внешние аудиты ИБ на практике чаще проводят крупные компании. Что тормозит остальных:

1. Финансовый вопрос — многие компании считают, что услуги аудиторов стоят дорого (на самом деле рынок конкурентный, на нем есть разные ценовые предложения).
2. Опасение, что конфиденциальная информация попадет к третьим лицам (но аудиторы работают по договорам и обычно строго соблюдают правила, прописанные в них, иначе они рискуют репутацией, которая влияет на доходность бизнеса).
3. Отвлечение команды на подготовку и прочие задачи, связанные с внешним аудитом (это тоже миф: мероприятие не тормозит бизнес-процессы. И хотя ответственное лицо со стороны заказчика назначается в любом случае, степень вовлечения других сотрудников в процесс можно обсудить с аудитором заранее.).

Также многие компании опасаются проходить внешний аудит ИБ, потому что это только первый этап сложного и длинного пути к более высокому уровню защищенности компании. Проверка часто выявляет проблемы, для решения которых требуется много времени и финансовых вложений. И это не миф.

Как проводится внешний аудит ИБ

Допустим, вы решили заказать такую услугу и обратились к сторонней организации.  Рассмотрим, как это может выглядеть на практике.

Сначала нужно определить цели проведения аудита. К ним обычно относят:

• определение текущей степени защищенности компании;
• создание списка потенциальных угроз;
• выявление слабых мест в общей системе защиты данных;
• оценка соответствия инфраструктуры и процессов ИБ каким-либо стандартам;
• формирование рекомендаций по внедрению новых или модернизации уже работающих программно-аппаратных средств защиты.

Далее решаем организационные вопросы:

• выбираем аудитора;
• подписываем с ним договор и соглашение NDA, чтобы минимизировать риск утечки данных компании, к которым аудиторы получают доступ в процессе проверки.

В свою очередь, аудиторы определят объем работ, согласуют с вами стоимость и сроки. А далее все зависит от того, какие именно услуги вошли в аудит ИБ по договору. Вероятнее всего, аудиторы:

1. Приступят к оценке инфраструктуры компании. Соберут необходимые для аудита данные, проанализируют методы их хранения, доступа, применения и т.д.
2. Оценят работу сотрудников компании — проверят знание принципов безопасной работы с данными, нормативов ИБ и т.д.
3. Выполнят иные мероприятия: от имитации атак на инфраструктуру до проверок данных по базам утечек.
4. Сформируют заключение. Сформируют список найденных уязвимых мест и иных проблем, предоставят рекомендации по их устранению и повышению уровня защищенности компании в целом.

Полноценный внешний аудит ИБ нужен далеко не всегда. Если вы хотите быстро оценить общую картину с кибербезопасностью в компании, то можно рассмотреть альтернативные варианты. В их числе комплексный технический аудит ИБ от Nubes, который проводится в короткие сроки и не требует крупных вложений. Услуга включает сканирование ИТ-инфраструктуры компании на уязвимости, проверку надежности паролей учетных записей, изучение корпоративной сети на предмет некорректных настроек средств защиты, а также оценку киберграмотности пользователей в отношении фишинговых рассылок.