1

Аудит кибербезопасности: больше, чем заполненный опросник

При слове «аудит» первое, что приходит на ум – финансовые аудиторы, которые проверяют отчетность и другую документацию в компании. Когда же мы говорим про аудит информационных технологий, информационной безопасности или кибербезопасности – то многие шутят про консультантов, которые рассказывают одно и то же, не несут практической пользы и дают размытые рекомендации, которые и сам клиент мог бы написать. Ситуация немного изменилась с появлением отраслевых стандартов вроде PCI DSS, HIPAA и других. Появилось понятие аудита на соответствие требованиям конкретного стандарта и соответствующей сертификации. Однако, такие аудиты строго ограничены областью действия (охватом) конкретного стандарта и не могут отражать полной картины защищенности компании.

Аудит кибербезопасности – проект намного шире отраслевого аудита на соответствие или проверки внедренных мер безопасности по контролям распространенных стандартов, к примеру семейства ISO27000. Это комплексная оценка защищенности компании, которая включает в себя:

  • Аудит бизнес-процессов компании и организационной структуры

  • Аудит процессов кибербезопасности

  • Оценку технической защищенности (сканирование и тестирование на проникновение)

  • Оценку устойчивости компании к социальной инженерии

  • Аудит «теневых» информационных технологий

  • Аудит безопасности процессов аутсорсинга

Первый этап аудита кибербезопасности – это знакомство с бизнесом компании, коллективом и структурой управления в компании. Этот этап, который обыкновенно забывается аудиторами ИТ и информационной безопасности, критически важен для кибербезопасности. Он является связующим звеном с бизнесом и целями бизнеса, обосновывает развитие кибербезопасности компании не как расходную составляющую, а как неотъемлемую часть развития бизнеса. Фундаментальным этапом аудита бизнеса и бизнес-процессов является оценка рисков (или анализ существующих модели и карты рисков). Результатом этапа является понимание того, как работает компания, а также перечень критически важных процессов и наиболее опасных рисков для компании. Ключевым здесь является важность и критичность результатов именно для бизнеса и компании, а не просто устойчивости информационных технологий или развития инфраструктуры и «безопасности в целом».

Важной частью аудита является анализ процессов управления и обеспечения кибербезопасности в компании. В современной компании сфера действия кибербезопасности, как правило, распределена между целым рядом департаментов: информационных технологий, информационной безопасности, управления соответствием, управления кадрами, службой безопасности, внутренним аудитом и еще рядом других подразделений, которые напрямую и косвенно влияют на уровень киберзащищенности. Оценка эффективности и зрелости процессов управления кибербезопасностью и, что еще важнее, взаимодействия всех этих элементов – основа проактивной работы и эффективного реагирования в случае наступления киберинцидентов или при кибератаках. Результатом этапа является карта развития существующих и внедрения новых процессов, которые должны обеспечить необходимый уровень киберзащищенности бизнеса.

Техническая составляющая аудита кибербезопасности также обширнее, чем просто инвентаризация программных и аппаратных средств безопасности с выборочным пересмотром настроек. Это, в том числе, внешнее и внутреннее сканирования для определения уязвимостей (даже в случае наличия соответствующего процесса и инструментов в компании), а также проведение тестирования на проникновение извне и изнутри компании. Такая независимая оценка имеет еще больший эффект, если проводится «волной». Сначала проводится тестирование на проникновение «вслепую» (Blackbox), потом проводится аудит средств безопасности и настроек, а потом проводится «белое» тестирование на проникновение (Whitebox) со всеми конфигурациями и доступами на руках. Результаты этапа будут более интересны техническим подразделениям и специалистам, которые извлекут практическую пользу из рекомендаций, составленных консультантами и «белыми» хакерами.

В отдельную задачу иногда выделяют также проверку устойчивости компании к элементам социальной инженерии: фишингу и вишингу. Данная проверка – творческая и результат ее, во многом, зависит не от настроек технических средств безопасности, а от подготовки сотрудников компании к таким действиям со стороны злоумышленников. В зависимости от специфики проекта могут проводиться массовые фишинговые рассылки или именные, так называемые spear-фишинговые рассылки, которые концентрируются на конкретных сотрудниках компании с наиболее интересными доступами и правами.

В современном офисе можно зачастую увидеть массу технических устройств, которые не относятся к разряду корпоративных. А иногда и вовсе концепция «принеси свое устройство» (bring your own device, BYOD) стирает понятие корпоративных технологий, часто принося хаос с точки зрения контроля. В рамках аудита кибербезопасности отдельным процессом проводится аудит «теневых» информационных технологий для выявления несанкционированных программных и аппаратных продуктов в компании, которые могут использоваться, или уже используются, злоумышленниками.

Учитывая количество реализованных атак и угроз со стороны поставщиков, с которыми работает компания – аудит безопасности аутсорсинга является ключевым модулем аудита кибербезопасности. То, что мы описываем его последним, вовсе не значит, что это наименьшая по количеству необходимых ресурсов или по важности задача. Для крупных и средних по размеру компаний аудит аутсорсинга рекомендуется выносить в отдельный проект. В охвате кибербезопасности это не только сторонние разработчики или «приходящие-уходящие» системные администраторы. Даже аутсорсинг уборки на клининговую компанию – риск для вашей компании, который можно вполне конкретно оценить и которым можно управлять. Аудит аутсорсинга – это проверка существующих контрагентов и условий работы с ними, а также процесса привлечения новых подрядчиков и исполнителей к работе с компанией.

Подводя итог, аудит кибербезопасности – это сложный, комплексный проект, который можно выполнять, как целиком, так и по отдельным модулям. Основное отличие такого вида работ от «аудита защищенности» или «аудита ИБ» — в всесторонних рекомендациях как практического, так и методологического характера, проверке соответствия регуляторным нормам и даже оценке безопасности работы с контрагентами. Такой аудит выходит далеко за рамки сферы интересов департаментов информационных технологий и информационной безопасности. Поэтому он является сферой интересов высшего руководства компании, они получают понятную им оценку защищенности компании, а также информацию для стратегического планирования бизнеса в современных «кибер»-реалиях.

Related Posts

card__image

10Guards: Cyberattacks through social engineering are inevitable

Извините, этот текст доступен только на “Английский”. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language. Looking at the posts and comments in our LinkedIn Security Industry Group, it is clear that cybersecurity is a key topic for many of […]

card__image

Черные лебеди, Канарейки и кибербезопасность

Кому-то юмор помог стать президентом, а мне он однажды помог на мероприятии Startup Crash Test выиграть бумажную книгу Нассима Талеба «Черный лебедь». В то время я читал электронные книги, и эта книга пропылилась на полке примерно год, пока у меня не сломалась электронная «читалка». Пробежав глазами по книжной полке, заметил ценник на книге Талеба, подумал: «Дорогая […]

card__image

Управление ИТ активами — больше, чем инвентаризация

Информационные технологии (ИТ) и департаменты, ответственные за их эксплуатацию в компании, долгое время было принято воспринимать как расходы и только. О том, чтобы совместить слово «актив» и ИТ даже речи быть не могло. Директора по ИТ привычно боролись на совещаниях и советах директоров за право на существование и развитие, поскольку всем заправляли бизнес подразделения. Прошли […]

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *