Журнал "Information Security/ Информационная безопасность" #5, 2024

Ресурсами для проведе- ния аудита в первую оче- редь являются имеющаяся команда специалистов по ИБ и смежные подразделе- ния. Формирование стратегии аудита информационной безопасности требует тщательного планирования и системного подхода. ке, то нужно предусмотреть ана- лиз внутренней нормативной документации и ее корректи- ровку, выявление и устранение уязвимостей. Шаг 3. Сбор информации Соберите все необходимые данные о текущих процессах и системах безопасности. Они могут включать в себя: l локальные нормативные документы (приказы, распоря- жения, указания) по информа- ционной безопасности; l отчеты о предыдущих аудитах; l журналы событий и инциден- тов и т.п.; l интервью с ключевыми сотрудниками. Как это может выглядеть на практике? Перед форми- рованием стратегии не будет лишним освежить в памяти результаты прошлых аудитов. Если таковых нет или вы недавно работаете в организации, то сле- дует собрать и изучить имею- щиеся локальные нормативные документы, посвященные вопро- сам информационной безопас- ности, посмотреть (выборочно) настройки информационных ресурсов. Основная задача – получить общий объем знаний о предмете аудита. Не будет лишним провести короткие интервью с несколь- кими ключевыми сотрудниками, чтобы понять, как на практике реализуются политики безопас- ности. Шаг 4. Разработка стратегии аудита На данном этапе происходит разработка стратегии аудита. Сама стратегия – это план, который состоит из нескольких пунктов, перечисленных ниже. l Таймлайн проведения аудита (в частности, различных его видов). l Ресурсы, необходимые для выполнения аудита (команда, инструменты). l Методы и инструменты, кото- рые будут использоваться (например опросные листы, ска- неры уязвимостей, системы управления событиями безопас- ности и т.п.). Как это может выгля- деть на практике? При фор- мировании стратегии следует учесть временные интервалы планирования. Обычно меро- приятия по ИБ (не только аудит) планируются на один год. Одна- ко за такой короткий промежу- ток времени при ограниченных ресурсах вряд ли можно ком- плексно проаудировать ИБ по всем аспектам, поэтому стра- тегию желательно формировать с учетом среднесрочных (гори- зонт планирования до трех лет), а в некоторых случаях и долго- срочных периодов (горизонт планирования до десяти лет). Например, в первый год мы планируем комплаенс-аудит на соответствие требованиям; на второй год – технический аудит с тестированием на про- никновение; на третий год – аудит с целью оценки текущего уровня безопасности и зрелости организации в части ИБ. Ресурсами для проведения аудита в первую очередь являются имеющаяся команда специалистов по ИБ и смежные подразделения. Очень часто на практике при комплаенс- аудите весомую помощь могут оказать отдельные имеющиеся в организации подразделения по аудиту (в рамках всей орга- низации без специализации по ИБ) и юридические подразде- ления. В техническом аудите, безусловно, помогает ИТ-под- разделение. Отдельным вопросом стано- вится привлечение внешних ресурсов. Привлекая внешние ресурсы, нужно учитывать, что ни один внешний аудитор не сможет провести аудит каче- ственно самостоятельно, без привлечения внутренней команды. В части методов и инстру- ментов в рамках стратегии желательно предусмотреть раз- работку собственной методи- ческой основы (методик) для проведения аудитов в органи- зации. Шаг 5. Проведение аудитов и корректировка стратегии На особенностях проведения аудитов, так как это не предмет данной статьи, заострять вни- мание я не буду. Отмечу лишь, что ранее эти вопросы уже рас- сматривались на страницах журнала, например в статьях "Особенности проведения ауди- та информационной безопас- ности объектов критической информационной инфраструк- туры" № 3 за 2019 г. и № 3 за 2020 г. Поскольку стратегия – это план, направленный на дости- жение целей в условиях неопре- деленности, то ее корректиров- ка – нормальная практика. Формирование стратегии аудита информационной без- опасности требует тщательного планирования и системного под- хода. Описанные выше шаги и приведенные примеры помо- гут в разработке эффективной стратегии аудита вашей орга- низации. l • 67 УПРАВЛЕНИЕ www.itsec.ru Таблица 2. Типы подходов к проведению аудита Ваше мнение и вопросы присылайте по адресу is@groteck.ru Фото: Гротек Подход Описание Риск- ориентированный Фокусируется на выявлении и оценке рисков, связанных с информационны- ми ресурсами. Аудиторы определяют наиболее критичные ресурсы и уязви- мости, что позволяет сосредоточить усилия на тех областях, которые пред- ставляют наибольшую угрозу для организации Процессный Фокусируется на процессах, связанных с управлением ИБ, оценивает их эффективность. Этот подход позволяет выявить недостатки в процессах и предложить улучшения, которые могут повысить безопасность Комплаенс- ориентированный Оценивает соответствие информационных ресурсов и процессов требова- ниям законодательства и стандартов