Что такое аудит
В широком смысле аудит — это независимая оценка деятельности организации, системы, процесса, проекта или продукта по заранее известным критериям.
Аудит информационной безопасности также подразумевает проверку определенной области (или конкретного объекта) по утвержденным критериям, методикам.
Например, результатом аудита информационной безопасности может быть подтверждение соответствия компании какому-либо стандарту (PCI DSS, ISO2700X, AICPA SOC и другие). По результату такого аудита может выдаваться сертификат соответствия или другой отчетный документ, например, список уязвимостей и рекомендаций по устранению.
Цель проведения аудита
После того как мы разобрали что такое аудит, нужно определить зачем мы его проводим и какой результат хотим получить.
Наиболее распространенные цели проведения аудита и их результат:
Цель | Стандарт | Результат |
Соответствие требованиям российского/международного законодательства | Список выявленных несоответствий и рекомендаций, как их устранить | |
Аттестация/сертификация по стандартам | PCI DSS, NIST, ISO2700X, AICPA SOC, HIPAA, ГОСТ, CIS benchmarks, иной | Отчет, с указанием недостатков / несоответствия требований стандарта. Сертификат/аттестат соответствия стандарту |
Анализ защищенности (выявление уязвимостей) инфраструктуры, веб-приложения (сайта) или мобильного приложения | OWASP ASVS, OSSTMM, NIST, PTES, иной | Список уязвимостей и рекомендаций по их устранению |
Оценка текущего уровня зрелости процессов ИБ (или экспертная оценка) | СТО БР ИББС, COBIT, COBIT, O-SIM3, PCM, CCSM, ГОСТ, иной | Отчет с оценкой текущего уровня и рекомендаций по его повышению |
Аудит по требованиям заказчика | Отсутствует / определяется до заключения договора | Отчет по проведенным работам и их результаты |
Доверьте проведение аудита информационной безопасности вашего бизнеса профессионалам консалтинговой компании DAS Group:
Аудит текущих процессов по информационной безопасности, определение перечня обязательных/применимых требований по ИБ.
Анализ уязвимостей продукта/инфраструктуры. Выявление наиболее критичных для процессов заказчика.
Анализ защищенности инфраструктуры. Подготовка рекомендаций по их устранению.
Границы проводимых работ
На этой стадии нужно четко разграничить, что будет включено в область проводимых работ. Это нужно в первую очередь для того, чтобы заказчик и исполнитель понимали перечень объектов в работе и объем требуемых ресурсов с обеих сторон.
Здесь необходимо определить и основные этапы/сроки проекта.
В качестве области работ могут быть включены:
Регионы, подразделения, отделы, отдельные сотрудники.
Процессы — как автоматизированные, так и с участием сотрудников.
Сервисы, системы, отдельные серверы/оборудование, веб или мобильные приложения, исходный код.
Виды аудита
Теперь рассмотрим различные виды аудита.
В зависимости от проверяемого объекта, аудит можно разделить на:
1. Технический:
Анализ защищенности (поиск уязвимостей) внешнего периметра (всех доступных из интернет-ресурсов компании), веб-приложения (сайта), мобильного приложения.
Анализ конфигураций оборудования на предмет каких-либо стандартов (например, CIS benchmark, ГОСТ) или соответствие предъявленным требованиям.
Расследование инцидентов и следов компрометации инфраструктуры.
Анализ исходного кода.
Выявление каналов утечек информации.
Поиск аппаратных и программных закладок.
2. Оценка соответствия процессов ИБ:
Российскому законодательству.
Международному законодательству.
Лучшим практикам отрасли, стандартам.
Получите бесплатно запись вебинара «Как организовать информационную безопасность в компании»
Не становитесь жертвой кибератак и не позволяйте злоумышленникам получить доступ к вашим конфиденциальным данным
Узнайте как безопасно выстроить ключевые бизнес-процессы и как настроить систему информационной безопасности
3. Экспертный:
Проведение аудита по требованиям заказчика, например, эффективность используемых систем защиты.
В зависимости от договора с аудитором, аудит можно разделить на:
Внешний. Аудитор в штате консалтинговой компании или какой-то альтернативный вариант.
Внутренний. Аудитор в штате проверяемой компании или группы аффилированных компаний.
Как правило, компании малого и среднего бизнеса работают с внешними аудиторами, а крупный бизнес имеет специализированное подразделение аудиторов.
Профессионалы консалтинговой компании DAS Group проведут все этапы аудита информационной безопасности вашего бизнеса. Если в вашей компании есть собственные ИТ и ИБ подразделения, проведем консультацию по способам реализации требований по информационной безопасности и по вопросам проектирования систем защиты информации.
Проведение аудита
Разберем основные этапы проведения аудита.
Примечание: В зависимости от принадлежности аудитора к проверяемой компании и осведомленности о внутренних процессах, работы могут проводиться с разной скоростью и разным методикам.
В общем случае, все подобные работы можно разделить на следующие этапы:
1. Подготовительный этап.
Формируется команда, которая будет проводить аудит. Решаются организационные вопросы, например, предоставление доступа.
2. Сбор информации.
На этом этапе проводится сбор информации по проекту. В процессе сбора информации могут запрашиваться технические детали о системе защиты информации, журналы систем, другие сведения конфиденциального характера, проводят интервью с сотрудниками, в том числе ответственными за информационную безопасность.
3. Анализ собранной информации.
На этом этапе анализируется собранная информация и оценивается по выбранным для проекта критериям.
Проверка соответствия законодательству и стандартам — проводится проверка соответствия системы защиты информации законодательству и стандартам безопасности.
Проведение технических проверок и исследований — выявление уязвимостей и возможных угроз безопасности.
4. Подготовка отчета.
По результатам аудита составляется отчет, в котором указываются выявленные недостатки, а также рекомендации по их устранению.
Результаты
По завершении работ проведите самостоятельную оценку тех недостатков, которые выявил аудитор. Это необходимо в первую очередь потому, что любой бизнес динамичен и какие-то недостатки перестали быть актуальными (или перестанут в ближайшее время).
После проведения дополнительной оценки недостатков собственными силами, составьте план работ по устранению наиболее критичных недостатков, а также проанализируйте риски, относительно оставшихся. Вполне возможно, что часть из них можно принять, так как их реализация носит теоретический характер (или риск реализуется при определенных, сложно воспроизводимых условиях)
Вывод
Проведение аудита информационной безопасности — это важный процесс для обеспечения безопасности информационных систем и защиты конфиденциальной информации компании.
Он позволяет выявить недостатки и возможные угрозы безопасности, а также улучшить эффективность процессов защиты информации компании.
Для проведения аудита необходимо определить:
цель и ожидаемый результат;
вид аудита (технический, экспертный, комбинированный и т.д.) и аудитора;
границы проведения аудит — какие подразделения, процессы, системы будут включены.
Сам по себе факт проведения аудита не является законченным результатом. После проведения необходимо оценить выявленные недостатки и запланировать работы по их устранению. В случае получения сертификата/аттестата соответствия, нужно запланировать регулярные мероприятия по выполнению условий сертификации/аттестации.
DAS group | консалтинг для бизнеса
Выстраиваем и совершенствуем бизнес-процессы, задавая вектор улучшений и снижая риски
Реклама: ООО «ДАС ГРУП», ИНН 5405083068, erid: LjN8KJrbR
Комментарии
1Я думаю, что если использовать свой частный ресурс, то аудит особо не понадобится. Местные программисты и так знают все слабые места, при наличии. Так что, рекомендую создавать свои или работать в аспро.финансы