1

Аудит кибербезопасности: больше, чем заполненный опросник

При слове «аудит» первое, что приходит на ум – финансовые аудиторы, которые проверяют отчетность и другую документацию в компании. Когда же мы говорим про аудит информационных технологий, информационной безопасности или кибербезопасности – то многие шутят про консультантов, которые рассказывают одно и то же, не несут практической пользы и дают размытые рекомендации, которые и сам клиент мог бы написать. Ситуация немного изменилась с появлением отраслевых стандартов вроде PCI DSS, HIPAA и других. Появилось понятие аудита на соответствие требованиям конкретного стандарта и соответствующей сертификации. Однако, такие аудиты строго ограничены областью действия (охватом) конкретного стандарта и не могут отражать полной картины защищенности компании.

Аудит кибербезопасности – проект намного шире отраслевого аудита на соответствие или проверки внедренных мер безопасности по контролям распространенных стандартов, к примеру семейства ISO27000. Это комплексная оценка защищенности компании, которая включает в себя:

  • Аудит бизнес-процессов компании и организационной структуры

  • Аудит процессов кибербезопасности

  • Оценку технической защищенности (сканирование и тестирование на проникновение)

  • Оценку устойчивости компании к социальной инженерии

  • Аудит «теневых» информационных технологий

  • Аудит безопасности процессов аутсорсинга

Первый этап аудита кибербезопасности – это знакомство с бизнесом компании, коллективом и структурой управления в компании. Этот этап, который обыкновенно забывается аудиторами ИТ и информационной безопасности, критически важен для кибербезопасности. Он является связующим звеном с бизнесом и целями бизнеса, обосновывает развитие кибербезопасности компании не как расходную составляющую, а как неотъемлемую часть развития бизнеса. Фундаментальным этапом аудита бизнеса и бизнес-процессов является оценка рисков (или анализ существующих модели и карты рисков). Результатом этапа является понимание того, как работает компания, а также перечень критически важных процессов и наиболее опасных рисков для компании. Ключевым здесь является важность и критичность результатов именно для бизнеса и компании, а не просто устойчивости информационных технологий или развития инфраструктуры и «безопасности в целом».

Важной частью аудита является анализ процессов управления и обеспечения кибербезопасности в компании. В современной компании сфера действия кибербезопасности, как правило, распределена между целым рядом департаментов: информационных технологий, информационной безопасности, управления соответствием, управления кадрами, службой безопасности, внутренним аудитом и еще рядом других подразделений, которые напрямую и косвенно влияют на уровень киберзащищенности. Оценка эффективности и зрелости процессов управления кибербезопасностью и, что еще важнее, взаимодействия всех этих элементов – основа проактивной работы и эффективного реагирования в случае наступления киберинцидентов или при кибератаках. Результатом этапа является карта развития существующих и внедрения новых процессов, которые должны обеспечить необходимый уровень киберзащищенности бизнеса.

Техническая составляющая аудита кибербезопасности также обширнее, чем просто инвентаризация программных и аппаратных средств безопасности с выборочным пересмотром настроек. Это, в том числе, внешнее и внутреннее сканирования для определения уязвимостей (даже в случае наличия соответствующего процесса и инструментов в компании), а также проведение тестирования на проникновение извне и изнутри компании. Такая независимая оценка имеет еще больший эффект, если проводится «волной». Сначала проводится тестирование на проникновение «вслепую» (Blackbox), потом проводится аудит средств безопасности и настроек, а потом проводится «белое» тестирование на проникновение (Whitebox) со всеми конфигурациями и доступами на руках. Результаты этапа будут более интересны техническим подразделениям и специалистам, которые извлекут практическую пользу из рекомендаций, составленных консультантами и «белыми» хакерами.

В отдельную задачу иногда выделяют также проверку устойчивости компании к элементам социальной инженерии: фишингу и вишингу. Данная проверка – творческая и результат ее, во многом, зависит не от настроек технических средств безопасности, а от подготовки сотрудников компании к таким действиям со стороны злоумышленников. В зависимости от специфики проекта могут проводиться массовые фишинговые рассылки или именные, так называемые spear-фишинговые рассылки, которые концентрируются на конкретных сотрудниках компании с наиболее интересными доступами и правами.

В современном офисе можно зачастую увидеть массу технических устройств, которые не относятся к разряду корпоративных. А иногда и вовсе концепция «принеси свое устройство» (bring your own device, BYOD) стирает понятие корпоративных технологий, часто принося хаос с точки зрения контроля. В рамках аудита кибербезопасности отдельным процессом проводится аудит «теневых» информационных технологий для выявления несанкционированных программных и аппаратных продуктов в компании, которые могут использоваться, или уже используются, злоумышленниками.

Учитывая количество реализованных атак и угроз со стороны поставщиков, с которыми работает компания – аудит безопасности аутсорсинга является ключевым модулем аудита кибербезопасности. То, что мы описываем его последним, вовсе не значит, что это наименьшая по количеству необходимых ресурсов или по важности задача. Для крупных и средних по размеру компаний аудит аутсорсинга рекомендуется выносить в отдельный проект. В охвате кибербезопасности это не только сторонние разработчики или «приходящие-уходящие» системные администраторы. Даже аутсорсинг уборки на клининговую компанию – риск для вашей компании, который можно вполне конкретно оценить и которым можно управлять. Аудит аутсорсинга – это проверка существующих контрагентов и условий работы с ними, а также процесса привлечения новых подрядчиков и исполнителей к работе с компанией.

Подводя итог, аудит кибербезопасности – это сложный, комплексный проект, который можно выполнять, как целиком, так и по отдельным модулям. Основное отличие такого вида работ от «аудита защищенности» или «аудита ИБ» — в всесторонних рекомендациях как практического, так и методологического характера, проверке соответствия регуляторным нормам и даже оценке безопасности работы с контрагентами. Такой аудит выходит далеко за рамки сферы интересов департаментов информационных технологий и информационной безопасности. Поэтому он является сферой интересов высшего руководства компании, они получают понятную им оценку защищенности компании, а также информацию для стратегического планирования бизнеса в современных «кибер»-реалиях.

Related Posts

card__image

Cyberattacks on Critical Infrastructure: The Digital Battlefield

Извините, этот текст доступен только на “en” и “ua”. Cyber threats are escalating in critical sectors like energy and healthcare. Recent warnings from CISA, NSA, and FBI highlight vulnerabilities exploited by Chinese-linked operations.   In today’s world, it’s hard to miss the constant buzz about cyber threats, especially when they hit critical infrastructure and sectors […]

card__image

Киберугрозы растут, а специалистов становится все меньше

Ключевым вопросом исследования рынка труда в сфере кибербезопасности ISC2 2024, является необходимость для организаций расширить возможности для развития кадрового потенциала в этой сфере, а также предоставить больше возможностей для новичков войти в профессию и развивать необходимые навыки при поддержке опытных коллег.   Согласно новым данным, глобальный рост числа специалистов по кибербезопасности впервые за шесть лет […]

card__image

Количество DDoS-атак увеличивается

Мониторинг развивающихся тенденций DDoS важен для предвидения угроз и адаптации стратегий защиты. Комплексный отчет Gcore Radar за первое полугодие 2024 года предоставляет подробную информацию по DDoS-атакам, демонстрируя изменения в моделях атак и более широком ландшафте киберугроз. Ниже мы делимся основнвыми инсайтами.   Ключевые выводы   Количество DDoS-атак в первом полугодии 2024 года выросло на 46% […]

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *