1

Аудит кибербезопасности: больше, чем заполненный опросник

При слове «аудит» первое, что приходит на ум – финансовые аудиторы, которые проверяют отчетность и другую документацию в компании. Когда же мы говорим про аудит информационных технологий, информационной безопасности или кибербезопасности – то многие шутят про консультантов, которые рассказывают одно и то же, не несут практической пользы и дают размытые рекомендации, которые и сам клиент мог бы написать. Ситуация немного изменилась с появлением отраслевых стандартов вроде PCI DSS, HIPAA и других. Появилось понятие аудита на соответствие требованиям конкретного стандарта и соответствующей сертификации. Однако, такие аудиты строго ограничены областью действия (охватом) конкретного стандарта и не могут отражать полной картины защищенности компании.

Аудит кибербезопасности – проект намного шире отраслевого аудита на соответствие или проверки внедренных мер безопасности по контролям распространенных стандартов, к примеру семейства ISO27000. Это комплексная оценка защищенности компании, которая включает в себя:

  • Аудит бизнес-процессов компании и организационной структуры

  • Аудит процессов кибербезопасности

  • Оценку технической защищенности (сканирование и тестирование на проникновение)

  • Оценку устойчивости компании к социальной инженерии

  • Аудит «теневых» информационных технологий

  • Аудит безопасности процессов аутсорсинга

Первый этап аудита кибербезопасности – это знакомство с бизнесом компании, коллективом и структурой управления в компании. Этот этап, который обыкновенно забывается аудиторами ИТ и информационной безопасности, критически важен для кибербезопасности. Он является связующим звеном с бизнесом и целями бизнеса, обосновывает развитие кибербезопасности компании не как расходную составляющую, а как неотъемлемую часть развития бизнеса. Фундаментальным этапом аудита бизнеса и бизнес-процессов является оценка рисков (или анализ существующих модели и карты рисков). Результатом этапа является понимание того, как работает компания, а также перечень критически важных процессов и наиболее опасных рисков для компании. Ключевым здесь является важность и критичность результатов именно для бизнеса и компании, а не просто устойчивости информационных технологий или развития инфраструктуры и «безопасности в целом».

Важной частью аудита является анализ процессов управления и обеспечения кибербезопасности в компании. В современной компании сфера действия кибербезопасности, как правило, распределена между целым рядом департаментов: информационных технологий, информационной безопасности, управления соответствием, управления кадрами, службой безопасности, внутренним аудитом и еще рядом других подразделений, которые напрямую и косвенно влияют на уровень киберзащищенности. Оценка эффективности и зрелости процессов управления кибербезопасностью и, что еще важнее, взаимодействия всех этих элементов – основа проактивной работы и эффективного реагирования в случае наступления киберинцидентов или при кибератаках. Результатом этапа является карта развития существующих и внедрения новых процессов, которые должны обеспечить необходимый уровень киберзащищенности бизнеса.

Техническая составляющая аудита кибербезопасности также обширнее, чем просто инвентаризация программных и аппаратных средств безопасности с выборочным пересмотром настроек. Это, в том числе, внешнее и внутреннее сканирования для определения уязвимостей (даже в случае наличия соответствующего процесса и инструментов в компании), а также проведение тестирования на проникновение извне и изнутри компании. Такая независимая оценка имеет еще больший эффект, если проводится «волной». Сначала проводится тестирование на проникновение «вслепую» (Blackbox), потом проводится аудит средств безопасности и настроек, а потом проводится «белое» тестирование на проникновение (Whitebox) со всеми конфигурациями и доступами на руках. Результаты этапа будут более интересны техническим подразделениям и специалистам, которые извлекут практическую пользу из рекомендаций, составленных консультантами и «белыми» хакерами.

В отдельную задачу иногда выделяют также проверку устойчивости компании к элементам социальной инженерии: фишингу и вишингу. Данная проверка – творческая и результат ее, во многом, зависит не от настроек технических средств безопасности, а от подготовки сотрудников компании к таким действиям со стороны злоумышленников. В зависимости от специфики проекта могут проводиться массовые фишинговые рассылки или именные, так называемые spear-фишинговые рассылки, которые концентрируются на конкретных сотрудниках компании с наиболее интересными доступами и правами.

В современном офисе можно зачастую увидеть массу технических устройств, которые не относятся к разряду корпоративных. А иногда и вовсе концепция «принеси свое устройство» (bring your own device, BYOD) стирает понятие корпоративных технологий, часто принося хаос с точки зрения контроля. В рамках аудита кибербезопасности отдельным процессом проводится аудит «теневых» информационных технологий для выявления несанкционированных программных и аппаратных продуктов в компании, которые могут использоваться, или уже используются, злоумышленниками.

Учитывая количество реализованных атак и угроз со стороны поставщиков, с которыми работает компания – аудит безопасности аутсорсинга является ключевым модулем аудита кибербезопасности. То, что мы описываем его последним, вовсе не значит, что это наименьшая по количеству необходимых ресурсов или по важности задача. Для крупных и средних по размеру компаний аудит аутсорсинга рекомендуется выносить в отдельный проект. В охвате кибербезопасности это не только сторонние разработчики или «приходящие-уходящие» системные администраторы. Даже аутсорсинг уборки на клининговую компанию – риск для вашей компании, который можно вполне конкретно оценить и которым можно управлять. Аудит аутсорсинга – это проверка существующих контрагентов и условий работы с ними, а также процесса привлечения новых подрядчиков и исполнителей к работе с компанией.

Подводя итог, аудит кибербезопасности – это сложный, комплексный проект, который можно выполнять, как целиком, так и по отдельным модулям. Основное отличие такого вида работ от «аудита защищенности» или «аудита ИБ» — в всесторонних рекомендациях как практического, так и методологического характера, проверке соответствия регуляторным нормам и даже оценке безопасности работы с контрагентами. Такой аудит выходит далеко за рамки сферы интересов департаментов информационных технологий и информационной безопасности. Поэтому он является сферой интересов высшего руководства компании, они получают понятную им оценку защищенности компании, а также информацию для стратегического планирования бизнеса в современных «кибер»-реалиях.

Related Posts

card__image

Управление ИТ активами — больше, чем инвентаризация

Информационные технологии (ИТ) и департаменты, ответственные за их эксплуатацию в компании, долгое время было принято воспринимать как расходы и только. О том, чтобы совместить слово «актив» и ИТ даже речи быть не могло. Директора по ИТ привычно боролись на совещаниях и советах директоров за право на существование и развитие, поскольку всем заправляли бизнес подразделения. Прошли […]

card__image

Киберстрахование. Cтрахуем риски, но не ждем чуда

Первые страховые продукты для покрытия ущерба от ошибок и проблем, связанных с информационными технологиями, появились еще в 1980х годах. Позже в 90–х годах эти продукты сформировали отдельную нишевую отрасль в страховом бизнесе, и пережили пик своей популярности в ожидании и страхе от Y2K (ошибки, связанной с переходом в 2000 год и потенциальным отказом вычислительных технологий, […]

card__image

Кибербезопасность в 2019: чего ждем мы и что ждет нас?

2018 уже назвали «годом технологических скандалов». Трудно вспомнить хотя бы одну индустрию, которая не попала бы на первые полосы ведущих изданий из-за проблем с кибербезопасностью. Вспомните количество топ-брендов, пострадавших в результате внутренних и внешних кибератак, утечки информации, нарушения регуляторных требований и т.д. Сотни миллионов записей данных клиентов были скомпрометированы (а если откровенно – то десятки […]

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *