1

Cybersecurity audit

Leider ist der Eintrag nur auf ru und ua verfügbar.

При слове «аудит» первое, что приходит на ум – финансовые аудиторы, которые проверяют отчетность и другую документацию в компании. Когда же мы говорим про аудит информационных технологий, информационной безопасности или кибербезопасности – то многие шутят про консультантов, которые рассказывают одно и то же, не несут практической пользы и дают размытые рекомендации, которые и сам клиент мог бы написать. Ситуация немного изменилась с появлением отраслевых стандартов вроде PCI DSS, HIPAA и других. Появилось понятие аудита на соответствие требованиям конкретного стандарта и соответствующей сертификации. Однако, такие аудиты строго ограничены областью действия (охватом) конкретного стандарта и не могут отражать полной картины защищенности компании.

Аудит кибербезопасности – проект намного шире отраслевого аудита на соответствие или проверки внедренных мер безопасности по контролям распространенных стандартов, к примеру семейства ISO27000. Это комплексная оценка защищенности компании, которая включает в себя:

  • Аудит бизнес-процессов компании и организационной структуры

  • Аудит процессов кибербезопасности

  • Оценку технической защищенности (сканирование и тестирование на проникновение)

  • Оценку устойчивости компании к социальной инженерии

  • Аудит «теневых» информационных технологий

  • Аудит безопасности процессов аутсорсинга

Первый этап аудита кибербезопасности – это знакомство с бизнесом компании, коллективом и структурой управления в компании. Этот этап, который обыкновенно забывается аудиторами ИТ и информационной безопасности, критически важен для кибербезопасности. Он является связующим звеном с бизнесом и целями бизнеса, обосновывает развитие кибербезопасности компании не как расходную составляющую, а как неотъемлемую часть развития бизнеса. Фундаментальным этапом аудита бизнеса и бизнес-процессов является оценка рисков (или анализ существующих модели и карты рисков). Результатом этапа является понимание того, как работает компания, а также перечень критически важных процессов и наиболее опасных рисков для компании. Ключевым здесь является важность и критичность результатов именно для бизнеса и компании, а не просто устойчивости информационных технологий или развития инфраструктуры и «безопасности в целом».

Важной частью аудита является анализ процессов управления и обеспечения кибербезопасности в компании. В современной компании сфера действия кибербезопасности, как правило, распределена между целым рядом департаментов: информационных технологий, информационной безопасности, управления соответствием, управления кадрами, службой безопасности, внутренним аудитом и еще рядом других подразделений, которые напрямую и косвенно влияют на уровень киберзащищенности. Оценка эффективности и зрелости процессов управления кибербезопасностью и, что еще важнее, взаимодействия всех этих элементов – основа проактивной работы и эффективного реагирования в случае наступления киберинцидентов или при кибератаках. Результатом этапа является карта развития существующих и внедрения новых процессов, которые должны обеспечить необходимый уровень киберзащищенности бизнеса.

Техническая составляющая аудита кибербезопасности также обширнее, чем просто инвентаризация программных и аппаратных средств безопасности с выборочным пересмотром настроек. Это, в том числе, внешнее и внутреннее сканирования для определения уязвимостей (даже в случае наличия соответствующего процесса и инструментов в компании), а также проведение тестирования на проникновение извне и изнутри компании. Такая независимая оценка имеет еще больший эффект, если проводится «волной». Сначала проводится тестирование на проникновение «вслепую» (Blackbox), потом проводится аудит средств безопасности и настроек, а потом проводится «белое» тестирование на проникновение (Whitebox) со всеми конфигурациями и доступами на руках. Результаты этапа будут более интересны техническим подразделениям и специалистам, которые извлекут практическую пользу из рекомендаций, составленных консультантами и «белыми» хакерами.

В отдельную задачу иногда выделяют также проверку устойчивости компании к элементам социальной инженерии: фишингу и вишингу. Данная проверка – творческая и результат ее, во многом, зависит не от настроек технических средств безопасности, а от подготовки сотрудников компании к таким действиям со стороны злоумышленников. В зависимости от специфики проекта могут проводиться массовые фишинговые рассылки или именные, так называемые spear-фишинговые рассылки, которые концентрируются на конкретных сотрудниках компании с наиболее интересными доступами и правами.

В современном офисе можно зачастую увидеть массу технических устройств, которые не относятся к разряду корпоративных. А иногда и вовсе концепция «принеси свое устройство» (bring your own device, BYOD) стирает понятие корпоративных технологий, часто принося хаос с точки зрения контроля. В рамках аудита кибербезопасности отдельным процессом проводится аудит «теневых» информационных технологий для выявления несанкционированных программных и аппаратных продуктов в компании, которые могут использоваться, или уже используются, злоумышленниками.

Учитывая количество реализованных атак и угроз со стороны поставщиков, с которыми работает компания – аудит безопасности аутсорсинга является ключевым модулем аудита кибербезопасности. То, что мы описываем его последним, вовсе не значит, что это наименьшая по количеству необходимых ресурсов или по важности задача. Для крупных и средних по размеру компаний аудит аутсорсинга рекомендуется выносить в отдельный проект. В охвате кибербезопасности это не только сторонние разработчики или «приходящие-уходящие» системные администраторы. Даже аутсорсинг уборки на клининговую компанию – риск для вашей компании, который можно вполне конкретно оценить и которым можно управлять. Аудит аутсорсинга – это проверка существующих контрагентов и условий работы с ними, а также процесса привлечения новых подрядчиков и исполнителей к работе с компанией.

Подводя итог, аудит кибербезопасности – это сложный, комплексный проект, который можно выполнять, как целиком, так и по отдельным модулям. Основное отличие такого вида работ от «аудита защищенности» или «аудита ИБ» – в всесторонних рекомендациях как практического, так и методологического характера, проверке соответствия регуляторным нормам и даже оценке безопасности работы с контрагентами. Такой аудит выходит далеко за рамки сферы интересов департаментов информационных технологий и информационной безопасности. Поэтому он является сферой интересов высшего руководства компании, они получают понятную им оценку защищенности компании, а также информацию для стратегического планирования бизнеса в современных «кибер»-реалиях.

Related Posts

card__image

Cyberattacks on Critical Infrastructure: The Digital Battlefield

Leider ist der Eintrag nur auf en und ua verfügbar. Cyber threats are escalating in critical sectors like energy and healthcare. Recent warnings from CISA, NSA, and FBI highlight vulnerabilities exploited by Chinese-linked operations.   In today’s world, it’s hard to miss the constant buzz about cyber threats, especially when they hit critical infrastructure and […]

card__image

Surge in DDoS Attacks: Gcore Report Reveals 46% Increase in First Half of 2024

Leider ist der Eintrag nur auf en, ru und ua verfügbar. Monitoring evolving DDoS trends is essential for anticipating threats and adapting defensive strategies. The comprehensive Gcore Radar Report for the first half of 2024 provides detailed insights into DDoS attack data, showcasing changes in attack patterns and the broader landscape of cyber threats. Here, we share […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert