Бизнес никогда не любил словосочетание «информационная безопасность». К сожалению, несмотря на сильную зависимость от технологий в цифровую эпоху, защита и развитие правильного подхода к обеспечению безопасности кажутся слишком сложным шагом для огромного числа компаний.
Недавний опрос Spiceworks показал, что 62% ИТ-специалистов заявили, что их работодатель не проводит регулярные аудиты безопасности. Это означает, что более половины предприятий остаются уязвимыми для потенциальных угроз.
Служит ли причиной отсутствие ресурсов, ограниченные знания или просто общее невежество, но без регулярного аудита безопасности ваш бизнес может «внезапно» обанкротиться. Ниже мы собрали информацию о том, как следует подготовиться к аудиту ИБ.
С чего начать
Правда в том, что никто не любит аудиты. Само слово вызывает образ неожиданной проверки, в результате которой всех критикуют за слабые места в безопасности. Но если вы человек, ответственный за ИТ, то, в случае успешной атаки, именно на вас будет лежать груз ответственности. Поэтому именно вам следует настаивать на регулярном тестировании.
Многие предприятия, например, в сфере связи и телекоммуникаций, обязаны иметь внешних аудиторов для подтверждения соблюдения нормативных актов и контроля спецоборудования, такого как (система технических средств для обеспечения функций оперативно-розыскных мероприятий), но это не означает, что при отсутствии обязательных требований, аудитом следует пренебрегать. Но порой даже сам выбор аудиторской компании может стать проблемой.
Определение целей
Прежде, чем начать поиск аудитора, вы должны определить цели, задав себе вопрос: «Что нам нужно от аудита?». Этот список нужно продумать до мельчайших деталей. Если в системе есть нарушение безопасности, выходящее за рамки аудита – значит вы плохо поставили задачу.
Найм подрядчика
Легче всего использовать для такой задачи своих же сотрудников. Тем не менее, мы бы не рекомендовали такой подход. Из-за сложного характера проверки операционных систем и приложений экономить на этом не стоит.
Технический аудит выявляет риски для технологической платформы путем анализа действующих политик и процедур, а также сетевых и системных конфигураций. Эта работа только для профессионалов в области безопасности.
Во время процесса или поиска аудитора учитывайте следующие факторы:
-
Посмотрите на их сертификаты и квалификацию. Убедитесь, что аудитор имеет реальный опыт работы в этой области.
-
Проверьте, есть ли у них опыт не только аудита, но и обеспечения безопасности. Спросите о рекомендациях. Реальный опыт внедрения и поддержки безопасности является важным показателем.
-
Ищите кандидатов. С коллегами и контрагентами, которым доверяете. Спросите, могут ли они порекомендовать аудиторскую организацию.
-
Ищите то, что нужно именно вам. Проведите несколько встреч с разными аудиторами. Найдите правильное решение для вашего бизнеса.
Подготовка
Когда речь заходит о допущениях аудитора, следует принять тот факт, что им потребуется доступ к определенным данным или помощь сотрудников на протяжении всего процесса. Однако, как только они начнут работу, нельзя допускать их ко всей без исключения информации. Все аспекты должны быть согласованы заранее и указаны в договоре.
Все моменты следует обсудить заранее:
-
менеджеры должны определить любые ограничения, чтобы предотвратить негативное влияние на производственные системы;
-
аудиторы, в свою очередь, соблюдать вашу политику в отношении обработки конфиденциальной информации;
-
аудиторам следует предоставить заявление о возмещении убытков, которое даст им право проводить мониторинг сети.
Кроме того, вам нужно предоставить основные данные и документацию, необходимые аудитору для анализа систем:
-
копии всех соответствующих процедур и политик;
-
полный список операционных систем;
-
внешние устройства безопасности;
-
список прикладного программного обеспечения;
-
топология сети и IP-адреса.
Процесс
Сам процесс аудита, как и последующие тестирования, должны быть частью одного плана, поэтому важно вовремя составить и согласовать этот план.
Аудиторы используют сканер уязвимостей для проверки систем и приложений по базе зарегистрированных уязвимостей. Очевидно, база данных сканера должна быть актуальной и проверять на наличие уязвимостей необходимо каждую целевую систему. Большинство сканеров выполняют эту задачу на приемлемом уровне, но, естественно, на практике у разных продуктов результаты могут отличаться.
Учет
После проведения аудита вы можете взглянуть на отчет и оценить его качество. Если вам выдадут стандартный контрольному список, который можно применить к любой организации, будьте уверены – деньги потрачены зря. Очевидно, некоторые коммерческие сканеры уязвимостей имеют тщательные механизмы отчетности, но аудитор должен интерпретировать эти результаты под вашу специфику.
Любой анализ должен отражать реальные риски организации. К сожалению, инструменты не обладают «аналитическим складом ума» и могут давать ложные срабатывания. Именно люди, а не инструменты проводят . Попросите ваших ИТ-специалистов изучить результаты, методы тестирования и предоставить ответы в письменном виде.
Анализ аудитора должен соответствовать установленным критериям, которые применяются к вашим конкретным бизнес-требованиям. Именно вердикт аудитора поможет вам исправить ошибки, поэтому он должен быть как можно более подробным.
В докладе должны быть следующие пункты:
-
определение возможных источников угрозы;
-
вероятность такой угрозы, примеры воздействия на другие сайты/системы;
-
возможные последствия;
-
рекомендуемые действия для устранения неполадок;
-
потенциальная юридическая ответственность – могут ли использовать вашу систему для хранения незаконных данных;
-
риск неполадок и остановки работы.
Бывает и такое, что аудиторы не находят существенных уязвимостей. В таком случае вместо предоставления стандартного контрольного списка аудиторы должны подробно описать свои методы тестирования и признать качество вашей системы безопасности. Вы можете попросить их выделить области, которые потенциально могут стать уязвимее и предложить меры по повышению безопасности.