1. Главная
  2. Блог
  3. Аудит информационной безопасности

Аудит информационной безопасности: особенности и этапы проведения

27 января 2022
1443

Содержание:

  1. Особенности аудита информационной безопасности
  2. Варианты аудита информационной безопасности
  3. Этапы проведения внешнего аудита
  4. Результат аудита ИБ
  5. Как выбрать организацию для проведения аудита

Корпоративная информационная система (ИС) — это структура, объединяющая различные сервисы, которые обеспечивают функционирование компании. ИС регулярно растет и меняется. Системы хранения и обработки информации постоянно усложняются, поэтому защитить данные становится все труднее. Выявить недостатки и определить состояние систем информационной безопасности помогает процедура аудита.

Особенности аудита информационной безопасности

Аудит ИБ — это независимая проверка системы защиты данных, которая соответствует нескольким критериям, например, требованиям закона или стандартам компании. Аудит проводится в отношении технологических процессов и сотрудников организации.

Цели и задачи аудита информационной безопасности:

  • оценка актуальной степени защиты систем информации;
  • устранение и защита каналов, по которым может произойти утечка информации;
  • оценка актуальных средств информационной защиты и приведение их к современным стандартам;
  • тщательный анализ нарушений правил информационной безопасности;
  • приведение документации по защите информации в соответствии с мировыми стандартами;
  • моделирование ситуаций утечки данных.

При реализации указанных целей и задач аудит безопасности и соответствующие экспертизы дают нужный результат.

Каждый сервис собирает и накапливает информацию о событиях, происходящих в информационной системе. Эта функция называется протоколированием. Все возможные события делятся на три категории:

  • внешние — вызванные действиями других сервисов;

  • внутренние — вызванные действиями самого сервиса;

  • клиентские — вызванные действиями пользователей и администраторов.

Виды аудита информационной безопасности

Аудит ИБ бывает двух видов:

Внешний — проводится независимой консалтинговой компанией, которая предоставляет услуги в области информационной безопасности.

Внутренний — осуществляется службой внутреннего контроля компании, отделом информационной безопасности или ИТ.

Аудит информационной безопасности

Схема комплексного внешнего аудита информационной безопасности включает в себя такие этапы:

  1. Анализ документации — проверка нормативных документов компании на соответствие законам, национальным и корпоративным стандартам, актуальным российским и мировым практикам. К документам для анализа относят стратегию, концепцию и политику информационной безопасности, инструкции, регламенты, руководства, договоры с контрагентами.

  2. Аудит защищенности сети — это проверка эффективности реализованных механизмов защиты информации перед существующими угрозами и рисками. Компания, проводящая аудит, инвентаризует сетевое и коммуникационное оборудование, средства и механизмы защиты, анализирует информационные потоки, защищенность периметра сети и беспроводной инфраструктуры, состоятельность актуальных средств защиты, подготавливает предложение по повышению качества ИТ-безопасности с учетом современных мировых практик.

  3. Тестирование на проникновение (пентест) — оценка безопасности компьютерных систем и сетей средствами, которые имитируют взлом сети как техническим путем, так и методами социальной инженерии. Внутреннее и внешнее тестирование на проникновение позволит выявить уязвимости и слабые места системы обеспечения информационной безопасности.

  4. Проверка осведомленности сотрудников определяет уровень знаний и степень следования работниками нормам и правилам IT-безопасности организации. Также данная проверка может проводиться для того, чтобы выполнить требования законов и стандартов, в частности 152-ФЗ «О персональных данных», 98-ФЗ «О коммерческой тайне», ISO 27001 и др.

Проверку можно выполнять по отдельности или комплексно в зависимости от потребностей предприятия и требований законодательства.

Этапы проведения внешнего аудита

Обычно внешний аудит ИБ проводится в несколько этапов:

  1. Сформировать запрос к аудиту. Заказчик вместе с исполнителем определяют области, направления и глубину проверки. Лучше проводить экспертизу во всей компании, а не в отдельных подразделениях. Если бюджет и сроки не позволяют выполнить комплексный аудит, проверьте отдельную область в СУИБ. Например, механизм привлечения подрядчиков и предоставления им доступа к данным компании. 

  2. Собрать и систематизировать данные. Составляется перечень источников информации, лиц с правом доступа и указанием уровня, а также анализируются порядок обмена, хранения и использования данных.

  3. Оценить информационные процессы. Проверяется, насколько корректно персонал компании работает с данными в соответствии с документами, регламентирующими ИБ. В рамках оценки также анализируется механизм наделения правами доступа, эффективность защиты от вредоносных программ, порядок внутреннего наблюдения ИБ.

  4. Подготовить заключение по результатам проведенного аудита, в которое вносится информация о выявленных недостатках и проблемах, а также рекомендованные методики их устранения.

Результат аудита ИБ

Результат аудита — экспертный отчет о степени соответствия организации критериям экспертизы, а также рекомендации по улучшению ИТ-инфраструктуры, защиты информации, процессов обеспечения и управления информационной безопасностью и документационного обеспечения заказчика.

Стоит отметить, что в рамках аудита ИБ обнаруженные уязвимости не устраняются, а лишь фиксируются. Ликвидация угроз — это отдельная процедура.

Логическое продолжение аудита — разработка корпоративных правовых документов верхнего уровня, которые регулируют вопросы безопасности информации в организации:

  • корпоративная политика ИБ;

  • концепция обеспечения информационной безопасности;

  • корпоративная модель угроз ИБ.

Документы верхнего уровня — правовая основа проведения комплекса работ по стандартизации процессов и технологий информационной безопасности. В результате таких мероприятий ИБ компании будет соответствовать законодательству, нормативным документам, лучшим современным практикам.

Сформированные и выстроенные процессы обеспечения и управления ИБ — неотъемлемая часть процессной модели функционирования компаний со средним и высоким уровнями развития ИТ.

Для публичных компаний аудит ИБ — обязательный элемент независимой внешней оценки стоимости компании.

Аудит информационной безопасности

Как выбрать организацию для проведения аудита

Независимый внешний аудитор — компания, которая занимается проверкой информационной безопасности и обладает необходимым программным обеспечением и оборудованием, а также штатом квалифицированных сотрудников.

При выборе внешнего аудитора обратите внимание не только на сайт с описанием услуг или коммерческое предложение, но и на:

  • реализованные проекты;
  • сертификаты и лицензии, выданные регуляторами рынка информационной безопасности;
  • отзывы клиентов.

В ходе экспертизы аудитору может потребоваться доступ к внутренним сетям и конфиденциальной информации компании. Поэтому перед началом работ подпишите с исполнителем соглашение о неразглашении (NDA), которое запрещает копировать, использовать и распространять внутренние данные.

Чтобы своевременно выявлять уязвимости, регулярно проводите аудит ИБ. Все издержки и затраты на него оправдаются. Мероприятия по экспертизе информационной безопасности снижают риск утечки данных или потери контроля над серверами.

Интересное
Информационная безопасность предприятия
16 июня 2023
Vipnet Coordinator
31 марта 2022
Как настроить кластер с использованием криптошлюзов HW1000 и зачем он нужен?
22 февраля 2023
Позвоните нам!
Ваш заказ готов к оформлению
Личный кабинет
Вам будет доступна история заказов, управление рассылками, свои цены и скидки для постоянных клиентов и прочее.
Ваш логин
Ваш пароль
Забыли пароль?
Создать личный кабинет
+7 (499) 938-43-96
Работаем для вас пн-пт с 9:00 до 18:00
Заказать звонок
г. Москва, ул. Барклая, д. 13, стр. 1
Интернет-магазин Комрунет
г. Москва, ул. Барклая, д.13, стр.1
+74951059152sale@komrunet.ru