Аудит информационной безопасности (ИБ) — это процесс оценки уровня защищенности ИТ-инфраструктуры, проводимый на основании целевых показателей информационной безопасности. В ходе аудита обычно проверяют организационно-распорядительные документы (приказы, распоряжения и т.п.), относящиеся к обеспечению информационной безопасности, настройки межсетевых экранов и систем защиты периметра сети, журналы безопасности сетевых серверов и сетевого оборудования и многое другое в зависимости от поставленных перед аудиторами целей. Проведение аудита информационной безопасности позволяет понять, насколько ИТ-инфраструктура компании защищена от внешних угроз и несанкционированного доступа, а также при необходимости — насколько её уровень информационной безопасности соответствует требованиям регуляторов, отраслевых или международных стандартов.
Проведение аудита безопасности информационных систем может потребоваться в различных ситуациях:
В зависимости от перечисленных ситуаций цели аудита ИБ условно можно разделить на внутренние и внешние.
Этот метод имитирует действия злоумышленников в ходе реальных кибератак. Например, аудиторы информационной безопасности могут попытаться взломать интернет-магазин компании или систему онлайн-банкинга, если проводится исследование сети кредитной организации. Также проверяются на уязвимости системы управления контентом, которые используются на сайте заказчика (Битрикс, Вордпресс, Друпал и т.п.)
В ходе активного аудита информационной безопасности может быть проведено тестирование сетевого периметра, которое выявляет открытые сетевые порты и уязвимые сетевые сервисы, а также предприняты попытки с их помощью проникнуть в сеть компании.
В ходе инструментального аудита информационной безопасности может быть проведён стресс-тест корпоративной сети, имитирующий реальную атаку на отказ в обслуживании. Он даст понимание того, что будет происходить в случае реального нападения, и разработать стратегию проактивной защиты от DDoS.
Проводится экспертами-аудиторами, которые изучают состояние информационной безопасности компании и сравнивают его с эталонным описанием, в качестве которого может выступать, например, перечень требований, выдвинутых руководством компании, либо представление об идеальной системе безопасности в соответствии с мнением экспертов.
Проведение такого аудита ИБ сводится к сравнению характеристик информационной безопасности компании с требованиями конкретных стандартов, например, PCI DSS или ГОСТ Р ИСО/МЭК 27001. По результатам такого аудита составляется официальный отчёт, содержащий:
Может включать в себя любые комбинации перечисленных методов аудита.
На этом этапе определяется, что и каким образом будет проверяться, назначается состав рабочих групп и ответственные. Обычно в регламент включают:
На этом этапе команда аудиторов изучает сеть компании и собирает информацию в соответствии с регламентом. Действия аудиторов не ограничиваются исключительно запуском программ и могут включать опрос сотрудников и анализ нормативных документов.
Команда аудиторов обобщает собранные сведения и формирует аудиторское заключение, в котором описывает состояние сети компании. В зависимости от поставленных задач и полученных результатов аудиторы могут также разработать рекомендации по повышению уровня защищённости сетевой инфраструктуры.
Путь наименьшего сопротивления для многих компаний — использование внутренних ресурсов. Для этого обычно собирают рабочую группу из сотрудников службы внутреннего аудита, ИТ и ИБ, назначают куратора от высшего руководства и ставят задачу. При наличии опыта и времени такая команда вполне может провести аудит, однако при этом следует принимать во внимание следующие факторы:
Исключить влияние перечисленных негативных факторов на результаты аудита информационной безопасности позволяет внешний аудит информационной безопасности. Дополнительные преимущества этого подхода:
Смарт-Софт работает на рынке информационной безопасности с 2003 года и имеет широкую экспертизу в этой сфере. Мы предлагаем услуги аудита систем обеспечения информационной безопасности как один из самых эффективных способов получить объективную оценку уровня защищённости компании в соответствии с заданным набором критериев.
Сформированная на базе результатов аудита стратегия развития информационной безопасности позволит вашей компании грамотно управлять рисками и снижать уязвимость для кибератак.
Учитывая мировую тенденцию к росту угроз безопасности, понимание уровня киберрисков компании является необходимым условием для успешной работы и непрерывного развития бизнеса.
Неверный формат ID