Журнал "Information Security/ Информационная безопасность" #5, 2024

Создание стратегии аудита ИБ в рамках органи- зации требует системного подхода и учета множества факторов. Исходя из целей аудита определяется объем меро- приятий. Например, если целью является оценка теку- щего уровня безопасности и выявление уязвимостей и рисков, то нужно включить в стратегию инвентариза- цию ИТ-инфраструктуры, выявление уязвимостей и оценку рисков. Аудит информацион- ной безопасности пред- ставляет собой важный процесс, направленный на оценку уровня защи- щенности информа- ционной инфраструкту- ры организаций. На практике под аудитом обычно понимают форму неза- висимой оценки состояния объ- екта ИБ (информационной системы, автоматизированной системы, организации в каче- стве объекта защиты в целом и т.д.) на соответствие задан- ным критериям, таким как тре- бования действующего зако- нодательства, принятые корпо- ративные стандарты, отсут- ствие уязвимостей, способ- ность обеспечить защиту при проведении компьютерной атаки и т.п. Каждый из видов аудита имеет свои особенности и цели, но все они направлены на обес- печение надежной защиты информации и минимизацию рисков (см. табл. 1). Существует несколько под- ходов к проведению аудита ИБ (см. табл. 2). Указанные моменты необхо- димо учитывать при формиро- вании стратегии аудита в рам- ках организации. Стратегия – это общий план, направленный на достижение одной или нескольких долгосрочных целей в условиях неопределенности. Создание стратегии аудита ИБ в рамках организации тре- бует системного подхода и учета множества факторов. Пять шагов разработки эффективной стратегии аудита Шаг 1. Определение целей аудита Для начала необходимо опре- делить цель аудита. Целью может быть: l оценка текущего уровня без- опасности; l проверка соответствия нор- мативным требованиям; l выявление уязвимостей и рисков; l улучшение процессов ИБ: управление уязвимостями, управление инцидентами и т.п. Как это может выглядеть на практике? Допустим 1 , у вас есть несколько дочерних обществ, в которых никогда не занимались ИБ, или вы только что "пришли" в организацию. В этом случае целью аудита будет оценка теку- щего уровня безопасности и выявление уязвимостей и рис- ков. Если у вас зрелая органи- зация, то целью будет оценка текущего уровня безопасности и улучшение процессов ИБ. Аудит с целью проверки соот- ветствия нормативным требова- ниям обычно предшествует конт- рольно-надзорным мероприя- тиям, которые проводят соответ- ствующие уполномоченные орга- ны (так называемые проверки регуляторов), или совпадает с указанными мероприятиями. Шаг 2. Определение объема аудита Необходимо определить, какие системы, процессы и дан- ные будут охвачены аудитом. Они могут включать в себя: l ИТ-инфраструктуру (серверы, сети, приложения и т.п.); l политики и процедуры без- опасности; l физическую безопасность (доступ к рабочим местам поль- зователей и серверным поме- щениям); l осведомленность персонала и т.п. Как это может выгля- деть на практике? Исходя из целей аудита определяется объем мероприятий. Например, если целью является оценка текущего уровня безопасности и выявление уязвимостей и рис- ков, то нужно включить в страте- гию инвентаризацию ИТ-инфра- структуры, выявление уязвимо- стей и оценку рисков. Если целью является комплаенс- аудит для подготовки к провер- 66 • УПРАВЛЕНИЕ Стратегия аудита информационной безопасности в пяти шагах условиях стремительного развития технологий и увеличения числа угроз регулярный аудит становится необходимым инструментом для обеспечения надежной защиты данных, предотвращения утечек информации и обеспечения непрерывного функционирования информационных ресурсов. В Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности Таблица 1. Виды аудита ИБ Фото: Константин Саматов Вид аудита Описание Внутренний и внешний аудит Внутренний аудит проводится сотрудниками организации для оценки собственных процессов и систем. Он позволяет выявить недостатки и предложить улучшения без привлечения сторонних экспертов. Внешний аудит осуществляется независимыми специалистами или компаниями, что обеспечивает объективность и беспристрастность оценки Комплаенс-аудит Оценка соответствия информационных ресурсов и процессов требованиям законодательства, стандартов и внутренних нормативных документов Технический аудит Фокусируется на оценке технических средств защиты информации, он помогает выявить уязвимости и недостатки в конфигурации систем. Разновидностью технического аудита является тестирования на проникновение (так называемый пентест) 1 Здесь и далее приводятся лишь некоторые примеры