Внутренний аудит информационной безопасности

Когда информация становится ценным активом, а ее защита — критически важным фактором работы компании, внутренний аудит информационной безопасности (ИБ) переходит из разряда рекомендуемых процедур в обязательные. И если держать под контролем внешние и внутренние угрозы, четко видеть перспективу и минимизировать риски важно не здесь и сейчас, а в перспективе, аудит придется перевести на регулярную основу. 

Каким должен быть аудит ИБ

Считается, что полноценный аудит ИБ — это только внешний аудит. Действительно, не во всех компаниях есть отдел информационной безопасности или IT-департамент. И не всегда внутри департамента есть беспристрастные эксперты, готовые взять на себя ответственность за сбор, анализ и интерпретацию результатов. Однако для базовой оценки эффективности защиты информации или подготовки к внешнему аудиту, внутренних ресурсов обычно достаточно. И тем более их достаточно, если целью аудита является какое-то одно из направлений деятельности компании, оценка состояния IT перед миграцией в облако или решение конкретных узких проблем, например, поиск причин отставания в обработке данных, хроническая нехватка мощностей, регулярные простои оборудования или ошибки в работе ПО.

Аудит информационной безопасности

Аудит информационной безопасности

Внутренний аудит ИБ как процесс

Нельзя просто так в один день взять и начать проверять IT-системы компании. Чтобы получить достоверный и практически применимый результат, процесс аудита важно формализовать:

  1. Прописать, какая информация, в каком виде и где хранится в компании. Есть ли среди этой информации данные, представляющие коммерческую тайну? Как они промаркированы и промаркированы ли? Как построена схема их обработки и пр.

  2. Составить список хранилищ, ресурсов и мест обработки данных,

  3. Перечислить и описать каналы, по которым поступает и уходит информация,

  4. Инвентаризировать ПО,

  5. Проверить техническую и юридическую основу программного обеспечения и обрабатываемых данных,

  6. Сформировать перечень физических носителей с полными техническими данными.

Дополнительно определяется круг лиц, уполномоченных проводить аудит, указываются требования к их квалификации, компетенции и уровню доступа, перечисляются методы и инструменты исследования, например программы StaffCop Enterprise и Kali Linux,  или модели тестирования White box и Grey box.

Инструменты и методы аудита ИБ

Инструменты и методы аудита ИБ

Выполнив все эти пункты, вы получите план аудита информационной безопасности. Останется шаг за шагом пройтись по всем этапам, документируя результаты. И уже на их основе можно будет составлять отчет с обнаруженными уязвимостями, выяснять, каких элементов не хватает, что нужно исправить и доработать.

Базовый чек-лист для внутреннего аудита ИБ

Планировать аудит удобно по чек-листу. Можно отрабатывать объекты проверки — это самый простой вариант. Процессный подход сложнее, но дает более точные и наглядные результаты. При процессном подходе аудит идет по всему жизненному циклу объекта. Применительно к резервированию данных, например, это будет проверка всех этапов процесса, включая планирование резервного копирования, составление расписания, обзор логов, защита базы, актуализация временного окна, создание отчетов о проблемах и пр. 


Объекты проверки

Проверяемые процессы

Беспроводные и локальные сети

Технологических процессы, обслуживание оборудования и ПО

Сетевые правила доступа

Резервирование данных

ОС и основные настройки безопасности операционных систем

Создание, сохранение, маркировка и доступ к конфиденциальным данным

Системы виртуализации и настройки, влияющие на их безопасность

Управление средствами защиты информации

СУБД и настройки безопасности СУБД

Закрытие уязвимостей и отработка инцидентов

Специфичные компоненты, например, прикладное ПО и корпоративные приложения

Информирование сотрудников о правилах безопасности

Средства защиты информации и их настройки

Удаленные доступы к серверу терминалов и в сеть организации

Защищенность помещений, где установлено серверное оборудование и терминалы

Домашние терминалы с удаленным доступом

Мобильные устройства


Для углубленного аудита можно использовать предельно детализированный «Опросный лист B для самооценки» Стандарта безопасности данных индустрии платежных карт (PSI DSS) или опросный лист ГОСТ Р ИСО МЭК 27001-2006 «Информационная технология. Методы и средства безопасности. Система менеджмента информационной безопасности. Требования». А если в организации внедрены облачные решения, то и «Руководство по облачной безопасности для малого и среднего бизнеса», разработанное ENISA.

Читать еще
Как разобраться с логированием: гайд для начинающих 25.06.2021
Зачем оно нужно, это логирование и как упростить процесс сбора, анализа и хранения логов.
Читать подробнее
Когда нужен внешний аудит информационной безопасности 09.07.2021
Про объекты, результаты и периодичность внешнего аудита информационной безопасности для операторов ПДн, объектов критической информационной инфраструктуры, субъектов НПС и других компаний.
Читать подробнее
Что такое тикет-система и как она применяется в ЦОД 16.07.2021
Чем тикет-система лучше телефонной поддержки и как ЦОД использует тикеты для улучшения работы.
Читать подробнее
Аварии в ЦОД и как их избежать 23.07.2021
Про экстраординарные форс-мажоры ЦОД на примере аварии дата-центра «Курчатовский» и меры защиты от основных глобальных рисков
Читать подробнее
Введение нового порядка госаккредитации ИТ-компаний в РФ 30.07.2021
Как изменится госаккредитация ИТ-компаний с 1 августа 2021 года? Делаем обзор изменений и нововведений.
Читать подробнее
В GreenBushDC началось строительство нового модуля А1 23.08.2024
В Центре обработки данных стартовало строительство модуля А1, который предоставит клиентам больше возможностей для масштабирования и оптимизации их ИТ-инфраструктуры.
Читать подробнее
Оставить заявку
После отправки заявки ожидайте звонка нашего менеджера.
* Поля, обязательные к заполнению.
Спасибо!
Данные вашего заказа будут переданы в отдел продаж.
После чего ожидайте звонка вашего личного менеджера.
контакты компании
Адрес компании
124460, Москва, Зеленоград, ул. Конструктора Лукина, д. 14А, офис 501
Поддержка 24/7
8 495 784 60 80
ПОЧТИ готово!
Спасибо, данные вашего заказа будут переданы в отдел продаж.
После чего ожидайте звонка вашего личного менеджера.
* Поля, обязательные к заполнению.