Внутренний аудит информационной безопасности

Когда информация становится ценным активом, а ее защита — критически важным фактором работы компании, внутренний аудит информационной безопасности (ИБ) переходит из разряда рекомендуемых процедур в обязательные. И если держать под контролем внешние и внутренние угрозы, четко видеть перспективу и минимизировать риски важно не здесь и сейчас, а в перспективе, аудит придется перевести на регулярную основу. 

Каким должен быть аудит ИБ

Считается, что полноценный аудит ИБ — это только внешний аудит. Действительно, не во всех компаниях есть отдел информационной безопасности или IT-департамент. И не всегда внутри департамента есть беспристрастные эксперты, готовые взять на себя ответственность за сбор, анализ и интерпретацию результатов. Однако для базовой оценки эффективности защиты информации или подготовки к внешнему аудиту, внутренних ресурсов обычно достаточно. И тем более их достаточно, если целью аудита является какое-то одно из направлений деятельности компании, оценка состояния IT перед миграцией в облако или решение конкретных узких проблем, например, поиск причин отставания в обработке данных, хроническая нехватка мощностей, регулярные простои оборудования или ошибки в работе ПО.

Аудит информационной безопасности

Аудит информационной безопасности

Внутренний аудит ИБ как процесс

Нельзя просто так в один день взять и начать проверять IT-системы компании. Чтобы получить достоверный и практически применимый результат, процесс аудита важно формализовать:

  1. Прописать, какая информация, в каком виде и где хранится в компании. Есть ли среди этой информации данные, представляющие коммерческую тайну? Как они промаркированы и промаркированы ли? Как построена схема их обработки и пр.

  2. Составить список хранилищ, ресурсов и мест обработки данных,

  3. Перечислить и описать каналы, по которым поступает и уходит информация,

  4. Инвентаризировать ПО,

  5. Проверить техническую и юридическую основу программного обеспечения и обрабатываемых данных,

  6. Сформировать перечень физических носителей с полными техническими данными.

Дополнительно определяется круг лиц, уполномоченных проводить аудит, указываются требования к их квалификации, компетенции и уровню доступа, перечисляются методы и инструменты исследования, например программы StaffCop Enterprise и Kali Linux,  или модели тестирования White box и Grey box.

Инструменты и методы аудита ИБ

Инструменты и методы аудита ИБ

Выполнив все эти пункты, вы получите план аудита информационной безопасности. Останется шаг за шагом пройтись по всем этапам, документируя результаты. И уже на их основе можно будет составлять отчет с обнаруженными уязвимостями, выяснять, каких элементов не хватает, что нужно исправить и доработать.

Базовый чек-лист для внутреннего аудита ИБ

Планировать аудит удобно по чек-листу. Можно отрабатывать объекты проверки — это самый простой вариант. Процессный подход сложнее, но дает более точные и наглядные результаты. При процессном подходе аудит идет по всему жизненному циклу объекта. Применительно к резервированию данных, например, это будет проверка всех этапов процесса, включая планирование резервного копирования, составление расписания, обзор логов, защита базы, актуализация временного окна, создание отчетов о проблемах и пр. 


Объекты проверки

Проверяемые процессы

Беспроводные и локальные сети

Технологических процессы, обслуживание оборудования и ПО

Сетевые правила доступа

Резервирование данных

ОС и основные настройки безопасности операционных систем

Создание, сохранение, маркировка и доступ к конфиденциальным данным

Системы виртуализации и настройки, влияющие на их безопасность

Управление средствами защиты информации

СУБД и настройки безопасности СУБД

Закрытие уязвимостей и отработка инцидентов

Специфичные компоненты, например, прикладное ПО и корпоративные приложения

Информирование сотрудников о правилах безопасности

Средства защиты информации и их настройки

Удаленные доступы к серверу терминалов и в сеть организации

Защищенность помещений, где установлено серверное оборудование и терминалы

Домашние терминалы с удаленным доступом

Мобильные устройства


Для углубленного аудита можно использовать предельно детализированный «Опросный лист B для самооценки» Стандарта безопасности данных индустрии платежных карт (PSI DSS) или опросный лист ГОСТ Р ИСО МЭК 27001-2006 «Информационная технология. Методы и средства безопасности. Система менеджмента информационной безопасности. Требования». А если в организации внедрены облачные решения, то и «Руководство по облачной безопасности для малого и среднего бизнеса», разработанное ENISA.

Поделиться:
Читать еще
Будущее за виртуальными машинами 14.05.2021
Базовые сценарии использования виртуальных машин в банках, при разработке ПО и приложений, в рутинной работе IT-отделов крупных компаний.
Читать подробнее
Организация и хранение документов в облаке 21.05.2021
Варианты облачных решений для хранения документов и меры защиты информации при организации документооборота и архива в облаках.
Читать подробнее
Как выбрать PDU для своих и арендованных стоек 28.05.2021
Чтобы выбрать PDU, который не подведет при перегрузке и не разорит бюджет, ответьте на 4 простых вопроса.
Читать подробнее
Автоматический ввод резерва (АВР) в дата-центре 04.06.2021
Где используются и как работают устройства автоматического ввода резерва в дата-центре.
Читать подробнее
Стоит ли компаниям инвестировать в IaaS? 11.06.2021
Как рассчитать целесообразность инвестирования в IaaS в условиях российского рынка.
Читать подробнее
Как разобраться с логированием: гайд для начинающих 25.06.2021
Зачем оно нужно, это логирование и как упростить процесс сбора, анализа и хранения логов.
Читать подробнее
Оставить заявку
После отправки заявки ожидайте звонка нашего менеджера.
* Поля, обязательные к заполнению.
Спасибо!
Данные вашего заказа будут переданы в отдел продаж.
После чего ожидайте звонка вашего личного менеджера.
контакты компании
Адрес компании
124460, Москва, Зеленоград, ул. Конструктора Лукина, д. 14А, офис 501
Поддержка 24\7
8 800 350 15 00
ПОЧТИ готово!
Спасибо, данные вашего заказа будут переданы в отдел продаж.
После чего ожидайте звонка вашего личного менеджера.
* Поля, обязательные к заполнению.