Аудит ИБ: чтобы соответствовать требованиям регуляторов и быть неуязвимым для хакеров
Цифровое поле – территория недружественная. Она полна угроз, защищаться от которых приходится каждой компании, будь то крупная госструктура или небольшая интернет-площадка. Злоумышленники не дремлют, и бизнес в этой ситуации обязан действовать на опережение. Обнаружить уязвимые места и построить стратегию развития комплексной системы информационной безопасности помогает аудит ИБ. Этот инструмент особенно эффективен, если ваш аудитор – гроссмейстер в своем деле.
Всем, кто в цифре
Вот простой тест, нужен ли вашей компании аудит ИБ: если вы используете цифровые технологии, то нужен. Защита ресурсов от DDoS-атак и краж данных, поддержка доступности сервисов для пользователей в любой момент – ключевая цель любого цифрового бизнеса.
По статистике, чаще всего злоумышленники хотят заработать и атакуют финансовые учреждения, банки, крупных агрегаторов персональных данных. Но это не означает, что остальные организации вне опасности. Политические и идеологические мотивы хакерских атак никто не отменял. Целью хакера можно стать и случайно, а последствия будут критичны. Одна букмекерская компания, например, утратила доступность сервисов всего на пару часов и этого хватило, чтобы ее игроки ушли к конкуренту.
Для облачных сред, помимо классических угроз, связанных с нарушением конфиденциальности, целостности и доступности информационных активов, актуальны угрозы, связанные с кражей аутентификационных данных, доступом привилегированных пользователей, уязвимостями в ПО оркестрации и предоставления сервисов. Порой жертва даже не подозревает, что, например, уже полгода является частью ботсети, занятой майнингом.
Для чего нужен аудит ИБ
Прежде всего для выявления уязвимостей, наличие которых играет на руку злоумышленникам. Пока методики и схемы получения несанкционированного доступа к данным меняются, никто не может быть полностью уверенным, что его инфраструктура выдержит очередную атаку. Проведение аудита и выполнение рекомендаций аудитора снижает вероятность успеха мошенников в разы.
Другой важный момент – соответствие требованиям, предъявляемым законодательством в области ИБ. В целом они сводятся к построению системы защиты информации в соответствии с моделью угроз и типом обрабатываемых в информационной системе данных. ФЗ-152, например, поясняет, какие технические и организационные меры должны быть выполнены, чтобы обеспечение конфиденциальности и целостности данных считалось достаточным. Мера ответственности за несоблюдение этих требований зависит от тяжести инцидента и назначается в судебном порядке. Инциденты по причине явной халатности к обеспечению ИБ могут повлечь уголовную ответственность. Но не всегда причина в халатности. Известны большие кейсы, например с Uber и Facebook, когда пользовательские данные похищались вопреки мерам защиты, в таких случаях дело обходится штрафами.
Кроме того, наличие положительного заключения по аудиту открывает бизнесу возможность расширять свои функции, взаимодействовать с новыми партнерами, также имеющими сертификат о прохождении соответствующего аудита.
Как часто нужен аудит ИБ
Аудит должен быть частью привычного цикла: выявление узких мест / их починка / следующий аудит. Фиксированного интервала между аудитами не существует, исходить надо из потребностей бизнеса и временного ресурса, необходимого компании для обработки результатов аудита. Нет смысла проводить аудит раз в три месяца, если компании необходимо четыре месяца для устранения недостатков, выявленных предыдущим аудитом. Обычно комплексный аудит проводят раз в год. Самое главное – подходить к этому системно и не формально.
Подготовка к аудиту ИБ
Аудит ИБ является достаточно стандартной процедурой, однако готовиться к нему нужно. Так, до прихода аудитора компания должна определить цели и домены аудита, выделить ответственных специалистов на местах, которые предварительно подготовят поле для аудита в операционной и нормативной части. Они должны суметь предоставить аудитору только достоверную информацию, тогда вся процедура пройдет успешно и с пользой для бизнеса.
Критерии выбора аудитора
Конечно, от аудитора зависит многое. Это как в шахматах, где гроссмейстер решает этюд за секунды, а второразрядник помучается. Аудит пройдет тем легче, чем больше будет компетенций и опыта у самого аудитора. Хорошо, если его опыт составляет хотя бы три-четыре года. А наличие у него сертификатов, подтверждающих квалификацию, гарантирует, что при проведении аудита данные будут собираться и трактоваться корректно. Большой плюс, если аудитор работает по вашему профилю и понимает сферу вашей деятельности, то есть может разговаривать с вашими специалистами на одном языке.
Если же компания собирается проводить аудит самостоятельно, то имеет смысл хотя бы на первый раз обратиться к профессиональным аудиторам. Только гроссмейстер научит правильной последовательности ходов и кратчайшему пути к необходимому результату.
Как проходит аудит ИБ
Классический аудит ИБ состоит из следующих этапов: сбор информации; анализ информационных систем и сетевой инфраструктуры на наличие уязвимостей; получение данных анализа и формирование заключения по итогам аудита.
Методология проведения аудита не зависит от изменения актуальных векторов атак и угроз. Стандартно аудиторы проверяют на предмет соответствия требованиям регуляторов 15 доменов. При этом инструментарий может быть разным: интервью с работниками, написание скриптов, которые проверят определенные компоненты информационных активов заказчика на заданные аудитором критерии, вплоть до поиска слабых мест в ПО с помощью пентестера. Всё зависит от постановки задачи, границ проведения аудита и принимаемых в силу разных причин ограничений в рамках процедуры.
Заключения и рекомендации по итогам аудита всегда разные в соответствии с целями процесса. Можно сказать, что каждый аудит – это новый квест, который аудитор должен пройти, следуя своему видению лучших практик.
Результаты аудита как повод для развития
По итогам своей работы аудитор указывает угрозы ИБ в компании клиента и задачи, которые служба ИБ должна закрыть, чтобы эти угрозы минимизировать или обнулить. Компетентное аудиторское заключение обычно делится на две части. Первая – расширенная, для безопасников и техспециалистов. Вторая – на паре листов – содержит в том числе рекомендации, какие средства необходимо приобрести для решения поставленных задач, в какие направления ИБ вложить деньги. Таким образом, качественный отчет по аудиту – это всегда возможность применить его результаты в стратегии развития компании, основа для формирования бюджета.
Только комплексная работа
Обследование в области информационной безопасности должно быть комплексным: самый высокий и крепкий забор не будет надежным, если в нем оставлен хоть один лаз. Только всеобъемлющая проверка выявляет все угрозы и уязвимые места, позволяет выработать компенсационные меры противодействия атакам и защитить бизнес от злоумышленников.
Резюме
-
Вам нужен аудит ИБ, если вы хотите обеспечить безопасность и непрерывность вашего бизнеса.
-
Для проведения аудита вам необходимо определить объекты аудита, задачи и сроки его проведения, а далее обратиться к профессионалам, которые смогут компетентно выполнить работы в соответствии с техническим заданием на аудит.
-
Проведя аудит, вы сможете существенно повысить уровень информационной безопасности деятельности вашей организации путем устранения всех узких мест в ее ИБ-системе.
Опубликовано 19.12.2022
