Аудит информационной безопасности

7755

Аудит информационной безопасности (ИБ) — это процесс оценки уровня защищенности ИТ-инфраструктуры, проводимый на основании целевых показателей информационной безопасности. В ходе аудита обычно проверяют организационно-распорядительные документы (приказы, распоряжения и т.п.), относящиеся к обеспечению информационной безопасности, настройки межсетевых экранов и систем защиты периметра сети, журналы безопасности сетевых серверов и сетевого оборудования и многое другое в зависимости от поставленных перед аудиторами целей. Проведение аудита информационной безопасности позволяет понять, насколько ИТ-инфраструктура компании защищена от внешних угроз и несанкционированного доступа, а также при необходимости — насколько её уровень информационной безопасности соответствует требованиям регуляторов, отраслевых или международных стандартов.

 

Когда нужен аудит ИБ

Проведение аудита безопасности информационных систем может потребоваться в различных ситуациях:

  • Перед выбором средства защиты информации — чтобы сформулировать релевантные требования к функциональным возможностям продукта и выявить слабые места сетевого периметра, а также оценить текущий уровень безопасности компании. Результаты аудита помогут с цифрами в руках обосновать выбор того или иного средства защиты информации и аргументировать саму необходимость покупки средства.
  • После внедрения приобретённого технического решения — чтобы оценить эффективность защиты и при необходимости скорректировать её.
  • Аудит информационной безопасности потребуется для проведения сертификации на соответствие стандартам — PCI DSS, СТО БР ИББ, GDPR, ГОСТ Р 57580.1-2017, ISO/IEC 27001:2005 и другим.
  • Аудит информационной безопасности предприятия поможет разобраться в существующих средствах защиты и привести всё к единому стандарту.
  • Проведение ИБ-аудита необходимо, чтобы расследовать инцидент, связанный с кибератакой, утечкой данных или другим нарушением информационной безопасности.

 

Цели проведения аудита информационной безопасности

В зависимости от перечисленных ситуаций цели аудита ИБ условно можно разделить на внутренние и внешние.

Внутренние:

  • расследование ИБ-инцидентов,
  • определение уровня осведомлённости пользователей в области информационной безопасности и разработка плана обучения и тренировки их навыкам безопасного поведения,
  • разработка или корректировка нормативных документов в сфере защиты информации,
  • разработка требований к уровню защищенности ИТ-инфраструктуры для последующей реализации комплекса мер сотрудниками ИТ-подразделения.

Внешние:

  • определение текущего уровня защищённости компании,
  • формирование перечня рисков, которые могут угрожать безопасности,
  • выявление слабых мест в защите сетевого периметра,
  • оценка соответствия компании ИБ-стандартам,
  • разработка рекомендаций по внедрению новых и доработке имеющихся средств защиты.

 

Методы аудита информационной безопасности

Активный или инструментальный аудит (пентест)

Этот метод имитирует действия злоумышленников в ходе реальных кибератак. Например, аудиторы информационной безопасности могут попытаться взломать интернет-магазин компании или систему онлайн-банкинга, если проводится исследование сети кредитной организации. Также проверяются на уязвимости системы управления контентом, которые используются на сайте заказчика (Битрикс, Вордпресс, Друпал и т.п.)

В ходе активного аудита информационной безопасности может быть проведено тестирование сетевого периметра, которое выявляет открытые сетевые порты и уязвимые сетевые сервисы, а также предприняты попытки с их помощью проникнуть в сеть компании.

В ходе инструментального аудита информационной безопасности может быть проведён стресс-тест корпоративной сети, имитирующий реальную атаку на отказ в обслуживании. Он даст понимание того, что будет происходить в случае реального нападения, и разработать стратегию проактивной защиты от DDoS.

Экспертный аудит информационной безопасности

Проводится экспертами-аудиторами, которые изучают состояние информационной безопасности компании и сравнивают его с эталонным описанием, в качестве которого может выступать, например, перечень требований, выдвинутых руководством компании, либо представление об идеальной системе безопасности в соответствии с мнением экспертов.

Аудит на соответствие стандартам

Проведение такого аудита ИБ сводится к сравнению характеристик информационной безопасности компании с требованиями конкретных стандартов, например, PCI DSS или ГОСТ Р ИСО/МЭК 27001. По результатам такого аудита составляется официальный отчёт, содержащий:

  • уровень соответствия безопасности информационной системы компании выбранному стандарту;
  • замечания и несоответствия, отсортированные по категориям;
  • рекомендации аудиторов по приведению системы обеспечения ИБ в соответствие с требованиями стандарта.

Комплексный аудит информационной безопасности

Может включать в себя любые комбинации перечисленных методов аудита.

 

Этапы проведения аудита информационной безопасности

Разработка регламента проведения аудита ИБ

Разработка регламента проведения аудита ИБ

На этом этапе определяется, что и каким образом будет проверяться, назначается состав рабочих групп и ответственные. Обычно в регламент включают:

  • список информационных активов,
  • состав рабочей группы и перечень ответственных,
  • модель угроз информационной безопасности и категории нарушителей,
  • расписание проведения инструментального аудита информационной безопасности и стресс-тестирования сетевого периметра.
Сбор исходных данных

Сбор исходных данных

На этом этапе команда аудиторов изучает сеть компании и собирает информацию в соответствии с регламентом. Действия аудиторов не ограничиваются исключительно запуском программ и могут включать опрос сотрудников и анализ нормативных документов.

Анализ собранных данных

Анализ собранных данных

Команда аудиторов обобщает собранные сведения и формирует аудиторское заключение, в котором описывает состояние сети компании. В зависимости от поставленных задач и полученных результатов аудиторы могут также разработать рекомендации по повышению уровня защищённости сетевой инфраструктуры.

 

Кто может быть аудитором информационной безопасности

Путь наименьшего сопротивления для многих компаний — использование внутренних ресурсов. Для этого обычно собирают рабочую группу из сотрудников службы внутреннего аудита, ИТ и ИБ, назначают куратора от высшего руководства и ставят задачу. При наличии опыта и времени такая команда вполне может провести аудит, однако при этом следует принимать во внимание следующие факторы:

  • эффект «замыленности» взгляда: штатные сотрудники с большой вероятностью могут «проглядеть» привычные вещи, создающие угрозу;
  • стремление «сгладить» проблему или «не сдавать своих»: сотрудники ИБ и ИТ могут попытаться скрыть факты нарушения действующих регламентов, чтобы избежать взыскания;
  • компетенции даже опытных сотрудников может оказаться недостаточно для проведения комплексного обследования, поэтому его эффективность будет ограниченной;
  • участники рабочей группы уже имеют определённую рабочую нагрузку, поэтому добавление «факультатива» в виде аудита ИБ создаёт риск того, что работа будет выполнена по принципу минимальных трудозатрат, что делает её бессмысленной.

Исключить влияние перечисленных негативных факторов на результаты аудита информационной безопасности позволяет внешний аудит информационной безопасности. Дополнительные преимущества этого подхода:

  • профессиональное владение внешних аудиторов лучшими практиками и отраслевыми стандартами проведения аудита ИБ,
  • непредвзятость аудиторов по сравнению с работниками компании,
  • меньшие сроки проведения аудита за счёт сосредоточенности аудиторов исключительно на этой задаче.

 

Внешний аудит ИБ со Смарт-Софт

Смарт-Софт работает на рынке информационной безопасности с 2003 года и имеет широкую экспертизу в этой сфере. Мы предлагаем услуги аудита систем обеспечения информационной безопасности как один из самых эффективных способов получить объективную оценку уровня защищённости компании в соответствии с заданным набором критериев.

Сформированная на базе результатов аудита стратегия развития информационной безопасности позволит вашей компании грамотно управлять рисками и снижать уязвимость для кибератак.

Учитывая мировую тенденцию к росту угроз безопасности, понимание уровня киберрисков компании является необходимым условием для успешной работы и непрерывного развития бизнеса.


Logo Smart-Soft

Направить запрос на аудит информационной безопасности

Назад
Далее
Рекомендуем почитать Смотреть все

Traffic Inspector Next Generation совместим с ROSA Virtualization

Теги: Traffic Inspector Next Generation, Система виртуализации

Traffic Inspector Next Generation Education для образовательных учреждений

Теги: Traffic Inspector Next Generation Education, Сфера образования

Traffic Inspector Next Generation совместим с российскими TLS-сертификатами

Теги: Traffic Inspector Next Generation, TLS-сертификаты

Попробуйте бесплатно в течение 30 дней

Traffic Inspector Next Generation подойдет и вашему бизнесу вне зависимости от его размеров. Убедитесь!
Меню навигации
Бесплатный звонок по России 8 800 511-05-81
Сообщение отправлено
Спасибо за заявку! Мы свяжемся с вами в ближайшее время.
ОК
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Вы получите
полнофункциональный комплекс, сможете изучить удобный интерфейс и попробовать все средства защиты, такие как:
Файрвол
Антивирус
Фильтрация трафика
IDS/IPS
и многое другое.
Тестовое оборудование всегда есть на складе и мы предоставим его в кратчайшие сроки. Детали расскажет наш специалист — просто оставьте заявку!
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите устройство
S100-DE
S100-NP
S100 FSTEC-NP
S300-AQ
S300 FSTEC-AQ
S500-DE
M700-AQ
M700 FSTEC-AQ
M1000-DE
L1000+-DE
L1500+-AQ
L1500 FSTEC-AQ
Light
Программное обеспечение
ФСТЭК
Облачный NGFW
Укажите количество
Стоимость будет рассчитана специально для вас
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ модуля! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите модули
Traffic Inspector Next Generation Anti-Virus powered by Kaspersky
NetPolice для Traffic Inspector Next Generation
MULTIFACTOR для Traffic Inspector Next Generation
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваше обращение! Менеджер свяжется с вами в ближайшее время.
ОК
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваш вопрос! Менеджер свяжется с вами в ближайшее время.
ОК
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Добро пожаловать в программу White Label! Мы свяжемся с вами в ближайшее время.
ОК
WHITE LABEL
партнерская программа
WHITE LABEL
партнерская программа