Аудит є незалежною експертизою окремих областей функціонування організації. Аудит буває зовнішній та внутрішній.
Зовнішній аудит – це, як правило, разовий захід, який проводиться за ініціативою керівництва чи акціонерів. Для багатьох фінансових компаній зовнішній аудит є обов’язковою вимогою.
Внутрішній аудит – це безперервна діяльність, яка здійснюється підрозділом внутрішнього аудиту відповідно до “Положення про внутрішній аудит” та затверджується керівництвом компанії.
Аудит IT безпеки є одним із складових IT аудиту.
Цілі проведення аудиту IT безпеки:
- Аналіз ризиків, пов’язаних із можливістю здійснення загроз безпеці щодо ресурсів інформаційної мережі (ІС).
- Оцінка поточного рівня безпеки ІС.
- Локалізація вузьких місць у системі захисту ІС.
- Оцінка відповідності ІС існуючим стандартам у сфері IT безпеки.
- Вироблення рекомендацій щодо впровадження нових та підвищення ефективності існуючих механізмів безпеки ІВ.
Коли виникає необхідність проведення аудиту ІБ:
- За зміни стратегії розвитку компанії
- При злитті, приєднанні або поглинанні компанії.
- При зміні курсу управління компанією, змінах в організаційній структурі або зміні керівництва.
- З появою нових внутрішніх або зовнішніх вимог (наприклад, при зміні законодавства або міжнародного стандарту)
- За значних змін у бізнес-процесах.
- При значному розширенні компанії
- За значних змін в IT-інфраструктурі компанії.
Сьогодні, аудит інформаційної безпеки можна розділити на 2 класи:
- Експертний аудит інформаційної безпеки
У ході даного аудиту виявляються недоліки в існуючій системі захисту інформації, що базуються на досвіді експертів, які проводять аудит.
Основна мета даного виду аудиту – оцінка стану безпеки інформаційної системи та розробка рекомендацій щодо впровадження комплексу організаційних заходів та програмно-апаратних засобів для підвищення захисту ресурсів ІВ компанії.
- Аудит інформаційної безпеки на відповідність міжнародним стандартам
У ході цього аудиту визначається ступінь відповідності існуючої інформаційної системи міжнародному стандарту з можливістю сертифікації.
Потрібно пам’ятати, що об’єктом аудиту не обов’язково є вся інформаційна система компанії. Об’єктом аудиту може бути окремий сегмент, у якому здійснюється обробка інформації, що підлягає захисту.
Основні завдання аудиту:
- Збір та аналіз вихідних даних про організаційну та функціональну структуру ІС компанії.
- Аналіз існуючих політик та процедур забезпечення інформаційної безпеки
- Аналіз існуючих ризиків
- Формування рекомендацій щодо розробки/доопрацювання політик та процедур ІБ на підставі аналізу існуючого рівня ІБ.
- Формування пропозиції щодо використання існуючих та встановлення додаткових засобів захисту, для підвищення рівня надійності та безпеки ІВ компанії.
- Постановка завдань щодо забезпечення захисту інформації для IT фахівців компанії
- Участь у навчанні користувачів та обслуговуючого персоналу ІС інформаційної безпеки
- Участь у розборі інцидентів, пов’язаних із порушенням ІБ
Етапи проведення аудиту ІБ:
- Ініціювання процедури аудиту
- Збір інформації аудиту
- Аналіз даних аудиту
- Вироблення рекомендацій
- Підготовка аудиторського звіту
Ініціювання процедури аудиту
Ініціатором аудиту є керівництво компанії, яке у цьому питанні є основною зацікавленою стороною. Підтримка керівництва компанії є необхідною умовою щодо аудиту.
Оскільки аудит – це комплекс заходів, у якому задіяний як аудитор, а й представники більшості структурних підрозділів компанії, всі учасники цього процесу мають бути скоординовані.
Виходячи з цього, на етапі ініціювання аудиту мають бути вирішені сліди. організаційні питання:
- Права та обов’язки аудитора мають бути чітко визначені та документально закріплені.
- Аудитор повинен підготувати та узгодити з керівництвом компанії план проведення аудиту
- Документально має бути закріплено, що співробітники компанії зобов’язані сприяти аудитору та надавати всю необхідну йому інформацію.
Також, на даному етапі мають бути визначені межі проведення аудиту. Одні підсистеми можуть бути критичними і їх можна виключити, інші підсистеми можуть бути недоступними через міркування конфіденційності.
Кордони аудиту визначаються слідом. поняттями:
- Список обстежуваних фізичних, програмних та інформаційних ресурсів
- Майданчики (приміщення)
- Основні види загроз безпеці
- Організаційні, фізичні та програмно-технічні аспекти забезпечення безпеки.
Збір інформації аудиту
Даний етап є найбільш складним та тривалим. Зазвичай це пов’язано з відсутністю необхідної документації та взаємодії з багатьма посадовими особами компанії.
Отримання інформації здійснюється під час спеціально організованих інтерв’ю з відповідальними особами, вивчення технічної та організаційної документації та дослідження інформаційної системи за допомогою спеціалізованого ПЗ.
Яка інформація потрібна аудитору для аналізу?
- Схема організаційної структури користувачів
- Схема організаційної структури обслуговуючих підрозділів
- Хто є власником інформації
- Хто є користувачем інформації
- Хто є провайдером послуг
- Які послуги та яким чином надаються кінцевим користувачам
- Які основні види додатків використовуються в ІС
- Кількість та види користувачів, які використовують дані програми.
Також дуже корисними будуть функціональні схеми, опис автоматизованих функцій, опис основних технічних рішень, інша проектна та робоча документація на ІВ.
Найбільш необхідною є інформація про структуру ІС, у зв’язку з чим знадобляться відповіді на такі питання, як:
- З яких компонентів (підсистем) складається ІС
- Функціональність окремих компонентів
- Де проходять межі системи
- Які точки входу є
- Як ІВ взаємодіє з іншими системами
- Які канали зв’язку використовуються для взаємодії з іншими ІС
- Які канали зв’язку використовуються для взаємодії між компонентами системи
- За якими протоколами здійснюється взаємодія
- Які програмно-апаратні засоби використовуються при побудові системи
Аналіз даних аудиту
У цьому випадку є 3 підходи.
Перший підхід , найскладніший, базується на аналізі ризиків. Аудитор спираючись на методи аналізу ризиків, визначає індивідуальний набір вимог безпеки, що найбільше враховує особливості середовища та існуючі в ньому загрози. Цей підхід є найбільш трудомістким.
Другий підхід , найпрактичніший, спирається на міжнародні стандарти. Стандарти визначають базовий набір вимог інформаційної безпеки широкого класу ІС.
Даний підхід є найпоширенішим і найменш витратним (набір вимог уже прописаний стандартом, інструкції з перевірки теж є).
Третій підхід , найефективніший, передбачає комбінування перших двох підходів.
У чому полягає аналіз ризиків?
Аналіз ризиків у тому, щоб виявити існуючі ризики та оцінити їх величину (дати їм якісну чи кількісну оцінку). Процес аналізу ризиків можна поділити на кілька послідовних етапів:
- Ідентифікація ключових ресурсів ІС;
- визначення важливості тих чи інших ресурсів для організації;
- Ідентифікація існуючих загроз безпеці та вразливостей, які уможливлюють здійснення загроз;
- Обчислення ризиків, пов’язаних із здійсненням загроз безпеці. Ресурси ІС можна розділити на такі категорії:
- Інформаційні ресурси;
- Програмне забезпечення;
- Технічні засоби (сервери, робочі станції, активне мережеве обладнання тощо);
- Людські ресурси.
У кожній категорії ресурси поділяються на класи та підкласи. Необхідно ідентифікувати лише ті ресурси, які визначають функціональність ІВ та суттєві з точки зору забезпечення безпеки.
Важливість (або вартість) ресурсу визначається величиною шкоди, заподіяної у разі порушення конфіденційності, цілісності чи доступності цього ресурсу. Зазвичай розглядаються такі види збитків:
- Дані були розкриті, змінені, видалені або недоступні;
- Апаратуру було пошкоджено або зруйновано;
- Порушено цілісність програмного забезпечення.
Збитки можуть бути завдані організації в результаті успішного здійснення наступних видів загроз безпеці:
- локальні та віддалені атаки на ресурси ІВ;
- стихійні лиха;
- помилки, чи навмисні дії персоналу ІВ;
- збої в роботі ІВ, спричинені помилками у програмному забезпеченні або несправностями апаратури.
Величина ризику визначається на основі вартості ресурсу, ймовірності здійснення загрози та величини вразливості за такою формулою:
Ризик = (вартість ресурсу * ймовірність загрози) / величина вразливості
Завдання управління ризиками полягає у виборі обґрунтованого набору контрзаходів, що дозволяють знизити рівні ризиків до прийнятної величини.
Методи аналізу ризиків
Зазвичай аудитори виконують такі групи завдань:
- Аналіз ресурсів ІС, включаючи інформаційні ресурси, програмні та технічні засоби, а також людські ресурси.
- Аналіз груп завдань, що вирішуються системою, та бізнес процесів.
- Побудова (неформальної) моделі ресурсів ІВ, що визначає взаємозв’язки між інформаційними, програмними, технічними та людськими ресурсами, їх взаємне розташування та способи взаємодії.
- Оцінка критичності інформаційних ресурсів, а також програмних та технічних засобів.
- Визначення критичності ресурсів з урахуванням їх взаємозалежностей
- Визначення найбільш вірогідних загроз безпеці щодо ресурсів ІС та вразливостей захисту, які уможливлюють здійснення цих загроз.
- Оцінка ймовірності здійснення загроз, величини вразливостей та збитків, які завдають організації у разі успішного здійснення загроз.
- Визначення величини ризиків кожної трійки: загроза група ресурсів — вразливість.
Оцінка ризиків може бути з використанням різних як якісних, і кількісних шкал. Головне, щоб існуючі ризики були правильно ідентифіковані та проранжовані відповідно до ступеня їх критичності для організації. На основі такого аналізу може бути розроблено систему першочергових заходів щодо зменшення величини ризиків до прийнятного рівня.
Відповідність міжнародним стандартам
В даному випадку аудитор, покладаючись на свій досвід, оцінює застосовність вимог стандарту до обстежуваної ІС та її відповідність цим вимогам.
Дані про відповідність різних областей функціонування ІС вимог стандарту, зазвичай, подаються в табличній формі. З таблиці видно, які вимоги безпеки системі не реалізовані. Виходячи з цього, робляться висновки про відповідність обстежуваної ІС вимогам стандарту та надаються рекомендації щодо реалізації у системі механізмів безпеки, що дозволяють забезпечити таку відповідність.
Вироблення рекомендацій
Рекомендації, що видаються аудитором за результатами аналізу стану ІС, визначаються підходом, особливостями обстежуваної ІС, станом справ з інформаційною безпекою та ступенем деталізації, що використовується при проведенні аудиту.
У будь-якому разі, рекомендації аудитора повинні бути конкретними та застосовними до цієї ІС, економічно обґрунтованими, аргументованими (підкріпленими результатами аналізу) та відсортованими за ступенем важливості. При цьому заходи щодо захисту організаційного рівня практично завжди мають пріоритет над конкретними програмно-технічними методами захисту.
У той же час, наївно очікувати від аудитора, як результат проведення аудиту, видачі технічного проекту підсистеми інформаційної безпеки, або детальних рекомендацій щодо впровадження конкретних програмно-технічних засобів захисту інформації. Це потребує більш детального опрацювання конкретних питань організації захисту, хоча, внутрішні аудитори можуть у цих роботах найактивнішу участь.
Звітні документи
Аудиторський звіт є основним результатом аудиту. Його якість характеризує якість роботи аудитора. Структура звіту може суттєво відрізнятися залежно від характеру та цілей аудиту. Однак певні розділи повинні бути обов’язково присутніми в аудиторському звіті. Він повинен принаймні містити:
- опис цілей проведення аудиту,
- характеристику обстежуваної ІВ,
- вказівка меж проведення аудиту та використовуваних методів,
- результати аналізу даних аудиту,
- висновки, що узагальнюють ці результати та містять оцінку рівня захищеності АС або відповідність її вимогам стандартів,
- і, звичайно, рекомендації аудитора щодо усунення існуючих недоліків та вдосконалення системи захисту.
Фахівці компанії «Аміка» завжди готові проконсультувати вас щодо сервісів, послуг та пристроїв захисту ваших ресурсів. Ми займаємося такими напрямками:
- Захист від витоку конфіденційної інформації межі компанії (DLP).
- Захист від цілеспрямованих атак хакерів (APT).
- Захист від DDOS.
- Захист мобільних пристроїв (BYOD та MDM)
- Аудит та перевірка на вразливість
- Тести проникнення.
Безкоштовну консультацію ви можете отримати, звернувшись до нас за телефоном +38 044 355-07-70 або за адресою security@amica.ua .