Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Аудит бывает внешний и внутренний.
Внешний аудит – это, как правило, разовое мероприятие, которое проводится по инициативе руководства, или акционеров. Для многих финансовых компаний внешний аудит является обязательным требованием.
Внутренний аудит – это непрерывная деятельность, которая осуществляется подразделением внутреннего аудита в соответствии с “Положением о внутреннем аудите” и утверждается руководством компании.
Аудит IT безопасности является одной из составляющих IT аудита.
Цели проведения аудита IT безопасности:
- Анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов информационной сети (ИС).
- Оценка текущего уровня защищенности ИС.
- Локализация узких мест в системе защиты ИС.
- Оценка соответствия ИС существующим стандартам в области IT безопасности.
- Выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.
Когда возникает необходимость проведения аудита ИБ:
- При изменении стратегии развития компании
- При слиянии, присоединении, или поглощении компании.
- При смене курса управления компанией, изменениях в организационной структуре, или смене руководства.
- При появлении новых внутренних, или внешних требований (например, при изменении законодательства, или международного стандарта)
- При значительных изменениях в бизнес-процессах.
- При значительном расширении компании
- При значительных изменениях в IT-инфраструктуре компании.
Сегодня, аудит информационной безопасности можно разделить на 2 класса:
- Экспертный аудит информационной безопасности
В ходе данного аудита выявляются недостатки в существующей системе защиты информации, основанные на опыте экспертов, которые проводят аудит.
Основная цель данного вида аудита – оценка состояния безопасности информационной системы и разработка рекомендаций по внедрению комплекса организационных мер и программно-аппаратных средств для повышения защиты ресурсов ИС компании.
- Аудит информационной безопасности на соответствие международным стандартам
В ходе данного аудита определяется степень соответствия существующей информационной системы международному стандарту с возможностью прохождения сертификации.
Нужно помнить, что объектом аудита не обязательно выступает вся информационная система компании. Объектом аудита может выступать отдельный сегмент, в котором осуществляется обработка информации, подлежащая защите.
Основные задачи аудита:
- Сбор и анализ исходных данных об организационной и функциональной структуре ИС компании.
- Анализ существующих политик и процедур обеспечения информационной безопасности
- Анализ существующих рисков
- Формирование рекомендаций по разработке/доработке политик и процедур ИБ на основании анализа существующего уровня ИБ.
- Формирование предложения по использованию существующих и установке дополнительных средств защиты, для повышения уровня надежности и безопасности ИС компании.
- Постановка задач, касающихся обеспечения защиты информации, для IT специалистов компании
- Участие в обучении пользователей и обслуживающего персонала ИС информационной безопасности
- Участие в разборе инцидентов, связанных с нарушением ИБ
Этапы проведения аудита ИБ:
- Инициирование процедуры аудита
- Сбор информации аудита
- Анализ данных аудита
- Выработка рекомендаций
- Подготовка аудиторского отчета
Инициирование процедуры аудита
Инициатором аудита является руководство компании, которое в данном вопросе является основной заинтересованной стороной. Поддержка руководства компании является необходимым условием для проведения аудита.
Поскольку аудит – это комплекс мероприятий, в котором задействован не только аудитор, но и представители большинства структурных подразделений компании, все участники данного процесса должны быть скоординированы.
Исходя из этого, на этапе инициирования аудита должны быть решены след. организационные вопросы:
- Права и обязанности аудитора должны быть четко определены и документально закреплены.
- Аудитор должен подготовить и согласовать с руководством компании план проведения аудита
- Документально должно быть закреплено что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую ему информацию.
Так же, на данном этапе должны быть определены границы проведения аудита. Одни подсистемы могут не являться критичными и их можно исключить, а другие подсистемы могут оказаться недоступными из-за соображения конфиденциальности.
Границы аудита определяются след. понятиями:
- Список обследуемых физических, программных и информационных ресурсов
- Площадки (помещения)
- Основные рассматриваемые виды угроз безопасности
- Организационные, физические и программно-технические аспекты обеспечения безопасности.
Сбор информации аудита
Данный этап является наиболее сложным и длительным. Обычно это связано с отсутствием необходимой документации и плотного взаимодействия со многими должностными лицами компании.
Получение информации осуществляется в ходе специально организованных интервью с ответственными лицами, изучения технической и организационной документации и исследования информационной системы с помощью специализированного ПО.
Какая информация необходима аудитору для анализа?
- Схема организационной структуры пользователей
- Схема организационной структуры обслуживающих подразделений
- Кто является владельцем информации
- Кто является пользователем информации
- Кто является провайдером услуг
- Какие услуги и каким образом предоставляются конечным пользователям
- Какие основные виды приложений используются в ИС
- Количество и виды пользователей, использующих данные приложения.
Так же, очень полезным будут функциональные схемы, описание автоматизированных функций, описание основных технических решений, другая проектная и рабочая документация на ИС.
Наиболее требуемой является информация о структуре ИС, в связи с чем понадобятся ответы на такие вопросы, как:
- Из каких компонентов (подсистем) состоит ИС
- Функциональность отдельных компонентов
- Где проходят границы системы
- Какие точки входа имеются
- Как ИС взаимодействует с другими системами
- Какие каналы связи используются для взаимодействия с другими ИС
- Какие каналы связи используются для взаимодействия между компонентами системы
- По каким протоколам осуществляется взаимодействие
- Какие программно-аппаратные средства используются при построении системы
Анализ данных аудита
В данном случае есть 3 подхода.
Первый подход, самый сложный, базируется на анализе рисков. Аудитор опираясь на методы анализа рисков, определяет индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности среды и существующие в ней угрозы. Данный подход является наиболее трудоемким.
Второй подход, самый практичный, опирается на международные стандарты. Стандарты определяют базовый набор требований информационной безопасности для широкого класса ИС.
Данный подход является самым распространенным и наименее затратным (набор требований уже прописан стандартом, инструкции по проверке тоже уже есть).
Третий подход, наиболее эффективный, предполагает комбинирование первых двух подходов.
В чем состоит анализ рисков?
Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им качественную, либо количественную оценку). Процесс анализа рисков можно разделить на несколько последовательных этапов:
- Идентификация ключевых ресурсов ИС;
- Определение важности тех или иных ресурсов для организации;
- Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;
- Вычисление рисков, связанных с осуществлением угроз безопасности. Ресурсы ИС можно разделить на следующие категории:
- Информационные ресурсы;
- Программное обеспечение;
- Технические средства (серверы, рабочие станции, активное сетевое оборудование и т. п.);
- Человеческие ресурсы.
В каждой категории ресурсы делятся на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность ИС и существенны с точки зрения обеспечения безопасности.
Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. Обычно рассматриваются следующие виды ущерба:
- Данные были раскрыты, изменены, удалены или стали недоступны;
- Аппаратура была повреждена или разрушена;
- Нарушена целостность программного обеспечения.
Ущерб может быть нанесен организации в результате успешного осуществления следующих видов угроз безопасности:
- локальные и удаленные атаки на ресурсы ИС;
- стихийные бедствия;
- ошибки, либо умышленные действия персонала ИС;
- сбои в работе ИС, вызванные ошибками в программном обеспечении или неисправностями аппаратуры.
Величина риска определяется на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости по следующей формуле:
Риск = (стоимость ресурса * вероятность угрозы) / величина уязвимости
Задача управления рисками заключается в выборе обоснованного набора контрмер, позволяющих снизить уровни рисков до приемлемой величины.
Методы анализа рисков
Обычно аудиторы выполняют следующие группы задач:
- Анализ ресурсов ИС, включая информационные ресурсы, программные и технические средства, а также людские ресурсы.
- Анализ групп задач, решаемых системой, и бизнес процессов.
- Построение (неформальной) модели ресурсов ИС, определяющей взаимосвязи между информационными, программными, техническими и людскими ресурсами, их взаимное расположение и способы взаимодействия.
- Оценка критичности информационных ресурсов, а также программных и технических средств.
- Определение критичности ресурсов с учетом их взаимозависимостей
- Определение наиболее вероятных угроз безопасности в отношении ресурсов ИС и уязвимостей защиты, делающих возможным осуществление этих угроз.
- Оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации в случае успешного осуществления угроз.
- Определение величины рисков для каждой тройки: угроза группа ресурсов — уязвимость.
Оценка рисков может даваться с использованием различных как качественных, так и количественных шкал. Главное, чтобы существующие риски были правильно идентифицированы и проранжированы в соответствии со степенью их критичности для организации. На основе такого анализа может быть разработана система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.
Соответствие международным стандартам
В данном случае аудитор, полагаясь на свой опыт, оценивает применимость требований стандарта к обследуемой ИС и ее соответствие этим требованиям.
Данные о соответствии различных областей функционирования ИС требованиям стандарта, обычно, представляются в табличной форме. Из таблицы видно, какие требования безопасности в системе не реализованы. Исходя из этого, делаются выводы о соответствии обследуемой ИС требованиям стандарта и даются рекомендации по реализации в системе механизмов безопасности, позволяющих обеспечить такое соответствие.
Выработка рекомендаций
Рекомендации, выдаваемые аудитором по результатам анализа состояния ИС, определяются используемым подходом, особенностями обследуемой ИС, состоянием дел с информационной безопасностью и степенью детализации, используемой при проведении аудита.
В любом случае, рекомендации аудитора должны быть конкретными и применимыми к данной ИС, экономически обоснованными, аргументированными (подкрепленными результатами анализа) и отсортированными по степени важности. При этом мероприятия по обеспечению защиты организационного уровня практически всегда имеют приоритет над конкретными программно-техническими методами защиты.
В то же время, наивно ожидать от аудитора, в качестве результата проведения аудита, выдачи технического проекта подсистемы информационной безопасности, либо детальных рекомендаций по внедрению конкретных программно технических средств защиты информации. Это требует более детальной проработки конкретных вопросов организации защиты, хотя, внутренние аудиторы могут принимать в этих работах самое активное участие.
Отчетные документы
Аудиторский отчет является основным результатом проведения аудита. Его качество характеризует качество работы аудитора. Структура отчета может существенно различаться в зависимости от характера и целей проводимого аудита. Однако определенные разделы должны обязательно присутствовать в аудиторском отчете. Он должен, по крайней мере, содержать:
- описание целей проведения аудита,
- характеристику обследуемой ИС,
- указание границ проведения аудита и используемых методов,
- результаты анализа данных аудита,
- выводы, обобщающие эти результаты и содержащие оценку уровня защищенности АС или соответствие ее требованиям стандартов,
- и, конечно, рекомендации аудитора по устранению существующих недостатков и совершенствованию системы защиты.
Специалисты компании «Амика» всегда готовы проконсультировать вас по сервисам, услугам и устройствам защиты ваших ресурсов. Мы занимаемся следующими направлениями:
- Защита от утечки конфиденциальной информации за пределы компании (DLP).
- Защита от целенаправленных хакерских атак (APT).
- Защита от DDOS.
- Защита мобильных устройств (BYOD и MDM)
- Аудит и проверка на уязвимость
- Тесты на проникновение.
Бесплатную консультацию вы можете получить, обратившись к нам по телефону +38 044 355-07-70 или по адресу security@amica.ua.