Ci spiace, ma questo articolo è disponibile soltanto in Russo e Ucraino.
При слове «аудит» первое, что приходит на ум – финансовые аудиторы, которые проверяют отчетность и другую документацию в компании. Когда же мы говорим про аудит информационных технологий, информационной безопасности или кибербезопасности – то многие шутят про консультантов, которые рассказывают одно и то же, не несут практической пользы и дают размытые рекомендации, которые и сам клиент мог бы написать. Ситуация немного изменилась с появлением отраслевых стандартов вроде PCI DSS, HIPAA и других. Появилось понятие аудита на соответствие требованиям конкретного стандарта и соответствующей сертификации. Однако, такие аудиты строго ограничены областью действия (охватом) конкретного стандарта и не могут отражать полной картины защищенности компании.
Аудит кибербезопасности – проект намного шире отраслевого аудита на соответствие или проверки внедренных мер безопасности по контролям распространенных стандартов, к примеру семейства ISO27000. Это комплексная оценка защищенности компании, которая включает в себя:
-
Аудит бизнес-процессов компании и организационной структуры
-
Аудит процессов кибербезопасности
-
Оценку технической защищенности (сканирование и тестирование на проникновение)
-
Оценку устойчивости компании к социальной инженерии
-
Аудит «теневых» информационных технологий
-
Аудит безопасности процессов аутсорсинга
Первый этап аудита кибербезопасности – это знакомство с бизнесом компании, коллективом и структурой управления в компании. Этот этап, который обыкновенно забывается аудиторами ИТ и информационной безопасности, критически важен для кибербезопасности. Он является связующим звеном с бизнесом и целями бизнеса, обосновывает развитие кибербезопасности компании не как расходную составляющую, а как неотъемлемую часть развития бизнеса. Фундаментальным этапом аудита бизнеса и бизнес-процессов является оценка рисков (или анализ существующих модели и карты рисков). Результатом этапа является понимание того, как работает компания, а также перечень критически важных процессов и наиболее опасных рисков для компании. Ключевым здесь является важность и критичность результатов именно для бизнеса и компании, а не просто устойчивости информационных технологий или развития инфраструктуры и «безопасности в целом».
Важной частью аудита является анализ процессов управления и обеспечения кибербезопасности в компании. В современной компании сфера действия кибербезопасности, как правило, распределена между целым рядом департаментов: информационных технологий, информационной безопасности, управления соответствием, управления кадрами, службой безопасности, внутренним аудитом и еще рядом других подразделений, которые напрямую и косвенно влияют на уровень киберзащищенности. Оценка эффективности и зрелости процессов управления кибербезопасностью и, что еще важнее, взаимодействия всех этих элементов – основа проактивной работы и эффективного реагирования в случае наступления киберинцидентов или при кибератаках. Результатом этапа является карта развития существующих и внедрения новых процессов, которые должны обеспечить необходимый уровень киберзащищенности бизнеса.
Техническая составляющая аудита кибербезопасности также обширнее, чем просто инвентаризация программных и аппаратных средств безопасности с выборочным пересмотром настроек. Это, в том числе, внешнее и внутреннее сканирования для определения уязвимостей (даже в случае наличия соответствующего процесса и инструментов в компании), а также проведение тестирования на проникновение извне и изнутри компании. Такая независимая оценка имеет еще больший эффект, если проводится «волной». Сначала проводится тестирование на проникновение «вслепую» (Blackbox), потом проводится аудит средств безопасности и настроек, а потом проводится «белое» тестирование на проникновение (Whitebox) со всеми конфигурациями и доступами на руках. Результаты этапа будут более интересны техническим подразделениям и специалистам, которые извлекут практическую пользу из рекомендаций, составленных консультантами и «белыми» хакерами.
В отдельную задачу иногда выделяют также проверку устойчивости компании к элементам социальной инженерии: фишингу и вишингу. Данная проверка – творческая и результат ее, во многом, зависит не от настроек технических средств безопасности, а от подготовки сотрудников компании к таким действиям со стороны злоумышленников. В зависимости от специфики проекта могут проводиться массовые фишинговые рассылки или именные, так называемые spear-фишинговые рассылки, которые концентрируются на конкретных сотрудниках компании с наиболее интересными доступами и правами.
В современном офисе можно зачастую увидеть массу технических устройств, которые не относятся к разряду корпоративных. А иногда и вовсе концепция «принеси свое устройство» (bring your own device, BYOD) стирает понятие корпоративных технологий, часто принося хаос с точки зрения контроля. В рамках аудита кибербезопасности отдельным процессом проводится аудит «теневых» информационных технологий для выявления несанкционированных программных и аппаратных продуктов в компании, которые могут использоваться, или уже используются, злоумышленниками.
Учитывая количество реализованных атак и угроз со стороны поставщиков, с которыми работает компания – аудит безопасности аутсорсинга является ключевым модулем аудита кибербезопасности. То, что мы описываем его последним, вовсе не значит, что это наименьшая по количеству необходимых ресурсов или по важности задача. Для крупных и средних по размеру компаний аудит аутсорсинга рекомендуется выносить в отдельный проект. В охвате кибербезопасности это не только сторонние разработчики или «приходящие-уходящие» системные администраторы. Даже аутсорсинг уборки на клининговую компанию – риск для вашей компании, который можно вполне конкретно оценить и которым можно управлять. Аудит аутсорсинга – это проверка существующих контрагентов и условий работы с ними, а также процесса привлечения новых подрядчиков и исполнителей к работе с компанией.
Подводя итог, аудит кибербезопасности – это сложный, комплексный проект, который можно выполнять, как целиком, так и по отдельным модулям. Основное отличие такого вида работ от «аудита защищенности» или «аудита ИБ» – в всесторонних рекомендациях как практического, так и методологического характера, проверке соответствия регуляторным нормам и даже оценке безопасности работы с контрагентами. Такой аудит выходит далеко за рамки сферы интересов департаментов информационных технологий и информационной безопасности. Поэтому он является сферой интересов высшего руководства компании, они получают понятную им оценку защищенности компании, а также информацию для стратегического планирования бизнеса в современных «кибер»-реалиях.
