Аудит информационной безопасности компании

Грамотно выполненный аудит ИБ позволит вам решить следующие задачи:

- Быстро получить срез по текущему состоянию ИБ в компании;

- Выявить узкие места в подсистемах защиты информации;

- Определить соответствие ИБ задачам и бизнес-целям компании, а также определить соответствие требованиям действующего законодательства и международных стандартов;

- Выработать необходимые меры, направленные на совершенствование ИБ и используемых технологий в компании.

ЭТАП 1 – Подготовка

В первую очередь необходимо определиться c направлениями аудита и с зоной оценки.

После определения направлений и зоны оценки необходимо приступить к основной задаче данного этапа — заручиться поддержкой руководства компании. Наилучший вариант при аудите без временных ограничений — это создание рабочей группы по проекту. Но в нашем случае лучше действовать иначе: описать руководству планируемые работы и какие человеческие ресурсы при этом могут потребоваться.

Но тут возникает вопрос: кого из специалистов компании следует привлекать при проведении аудита ИБ? Как правило, в каждой компании имеется схема функционально-организационной структуры, прежде всего рекомендуем подробно изучить ее. Из данной структуры можно выделить следующие типовые позиции, кто будет предоставлять вам информацию для анализа:

Руководитель подразделения информационных технологий (в случае разделения полномочий: руководитель, отвечающий за сопровождение локальной сети, руководитель разработки программных средств и пр.).

Руководитель подразделения по работе с персоналом.

Руководитель подразделения внутренней безопасности.

Руководители, курирующие блоки основных бизнес-процессов.

Основная задача — постоянно взаимодействовать с определенными выше подразделениями, информационная безопасность — это работа не только с технологиями, но и с людьми. Итогом первого этапа должна стать обратная связь от руководства компании по проекту.

ЭТАП 2 – Сбор информации

После того как от руководства компании получена обратная связь и определен перечень участников проекта, следует приступать к сбору информации. В самом начале аудита важно понять, имеются ли уже какие-либо требования к ИБ, установленные в компании. Если имеются, то их необходимо определить для дальнейшего сопоставления с реальной ситуацией. Для этого нужно получить все имеющиеся утвержденные документы, которые могут относиться к вопросам обеспечения ИБ. Например, это не только политика ИБ или положение по управлению доступом, но и такие документы, как: положение о защите персональных данных, организационно-распорядительные документы (ОРД), определяющие режим коммерческой тайны, форма трудового договора, форма типовой должностной инструкции, положения о структурных подразделениях, типовые соглашения с контрагентами и пр.

У руководителя, ответственного за информационные технологии в компании, необходимо запросить информацию об имеющихся объектах информационной инфраструктуры.

ЭТАП 3 – Анализ информации

Вы должны внимательно изучить все описанные в собранной документации процедуры ИБ, а также выделить и зафиксировать все требования, которые распространяются на объекты информационной инфраструктуры в компании. В процессе анализа с большой долей вероятности возникнет потребность в уточнении информации. Из предоставленной инвентаризационной информации необходимо идентифицировать основные объекты информационной инфраструктуры и объекты локальной сети, которые прежде всего обеспечивают основные бизнес-процессы компании. После этого следует приступить к разработке плана-графика проведения аудита ИБ.

План-график должен содержать перечень интервьюируемых лиц, ответственных либо за выполнение процедур ИБ, либо за ключевые объекты информационной инфраструктуры.

Итогом третьего этапа должен стать согласованный со всеми участниками план-график по основным направлениям аудита ИБ с установленными датами и временем интервьюирования ответственных сотрудников.

ЭТАП 4 – Обследование процессов ИБ

Как правило, можно выделить следующие основные процессы ИБ:
 

• Обеспечение ИБ при работе с персоналом.
• Обучение и повышение осведомленности персонала в вопросах ИБ.
• Управление доступом к информационным системам.
• Обеспечение защиты от вредоносного кода.
• Мониторинг событий информационной безопасности.
• Реагирование и управление инцидентами ИБ.
• Обеспечение ИБ на различных стадиях жизненного цикла объектов информационной инфраструктуры.
• Организация парольной защиты.
• Обеспечение работы средств криптографической защиты информации.
• Организация резервного копирования и восстановления данных.
• Работа с мобильными устройствами и носителями информации.
• Обеспечение ИБ при использовании ресурсов интернета и корпоративной электронной почты.
• Оценка рисков ИБ.
• Обеспечение ИБ при работе с третьими лицами.
• Анализ защищенности и поиск уязвимостей.
• Обеспечение сетевой безопасности.

При обследовании важно не упускать детали и выстроить полную картину по всем имеющимся в компании процессам ИБ. По каждому из процессов важно понять, как именно выполняется та или иная процедура, кто является ее участником, как происходит согласование и пр.

Этап 5 — Отчетность

Заключительный этап проекта — выводы по результатам аудита, которые должны быть оформлены и доведены до руководства компании.

Также хорошая практика — по ходу аудита по горячим следам выбрать основные узкие места, устранение которых не требует отвлечения серьезных ресурсов, и направить руководителям соответствующих подразделений предложения для оперативного устранения или совершенствования.