Грамотно выполненный аудит ИБ позволит вам решить следующие задачи:
- Быстро получить срез по текущему состоянию ИБ в компании;
- Выявить узкие места в подсистемах защиты информации;
- Определить соответствие ИБ задачам и бизнес-целям компании, а также определить соответствие требованиям действующего законодательства и международных стандартов;
- Выработать необходимые меры, направленные на совершенствование ИБ и используемых технологий в компании.
ЭТАП 1 – Подготовка
В первую очередь необходимо определиться c направлениями аудита и с зоной оценки.
После определения направлений и зоны оценки необходимо приступить к основной задаче данного этапа — заручиться поддержкой руководства компании. Наилучший вариант при аудите без временных ограничений — это создание рабочей группы по проекту. Но в нашем случае лучше действовать иначе: описать руководству планируемые работы и какие человеческие ресурсы при этом могут потребоваться.
Но тут возникает вопрос: кого из специалистов компании следует привлекать при проведении аудита ИБ? Как правило, в каждой компании имеется схема функционально-организационной структуры, прежде всего рекомендуем подробно изучить ее. Из данной структуры можно выделить следующие типовые позиции, кто будет предоставлять вам информацию для анализа:
Руководитель подразделения информационных технологий (в случае разделения полномочий: руководитель, отвечающий за сопровождение локальной сети, руководитель разработки программных средств и пр.).
Руководитель подразделения по работе с персоналом.
Руководитель подразделения внутренней безопасности.
Руководители, курирующие блоки основных бизнес-процессов.
Основная задача — постоянно взаимодействовать с определенными выше подразделениями, информационная безопасность — это работа не только с технологиями, но и с людьми. Итогом первого этапа должна стать обратная связь от руководства компании по проекту.
ЭТАП 2 – Сбор информации
После того как от руководства компании получена обратная связь и определен перечень участников проекта, следует приступать к сбору информации. В самом начале аудита важно понять, имеются ли уже какие-либо требования к ИБ, установленные в компании. Если имеются, то их необходимо определить для дальнейшего сопоставления с реальной ситуацией. Для этого нужно получить все имеющиеся утвержденные документы, которые могут относиться к вопросам обеспечения ИБ. Например, это не только политика ИБ или положение по управлению доступом, но и такие документы, как: положение о защите персональных данных, организационно-распорядительные документы (ОРД), определяющие режим коммерческой тайны, форма трудового договора, форма типовой должностной инструкции, положения о структурных подразделениях, типовые соглашения с контрагентами и пр.
У руководителя, ответственного за информационные технологии в компании, необходимо запросить информацию об имеющихся объектах информационной инфраструктуры.
ЭТАП 3 – Анализ информации
Вы должны внимательно изучить все описанные в собранной документации процедуры ИБ, а также выделить и зафиксировать все требования, которые распространяются на объекты информационной инфраструктуры в компании. В процессе анализа с большой долей вероятности возникнет потребность в уточнении информации. Из предоставленной инвентаризационной информации необходимо идентифицировать основные объекты информационной инфраструктуры и объекты локальной сети, которые прежде всего обеспечивают основные бизнес-процессы компании. После этого следует приступить к разработке плана-графика проведения аудита ИБ.
План-график должен содержать перечень интервьюируемых лиц, ответственных либо за выполнение процедур ИБ, либо за ключевые объекты информационной инфраструктуры.
Итогом третьего этапа должен стать согласованный со всеми участниками план-график по основным направлениям аудита ИБ с установленными датами и временем интервьюирования ответственных сотрудников.
ЭТАП 4 – Обследование процессов ИБ
Как правило, можно выделить следующие основные процессы ИБ:
При обследовании важно не упускать детали и выстроить полную картину по всем имеющимся в компании процессам ИБ. По каждому из процессов важно понять, как именно выполняется та или иная процедура, кто является ее участником, как происходит согласование и пр.
Этап 5 — Отчетность
Заключительный этап проекта — выводы по результатам аудита, которые должны быть оформлены и доведены до руководства компании.
Также хорошая практика — по ходу аудита по горячим следам выбрать основные узкие места, устранение которых не требует отвлечения серьезных ресурсов, и направить руководителям соответствующих подразделений предложения для оперативного устранения или совершенствования.