Зачем проводить аудит безопасности?
TADетали
Угрозы информационной безопасности все острее ощущаются бизнесом. Качественным улучшениям ИБ-инструментария противопоставляется все более разнообразный арсенал киберпреступников. Одним из ключевых способов предотвращения потери данных или нарушения бизнес-процессов предприятия остается аудит безопасности. В том, зачем его проводить, почему не удастся обеспечить безопасность собственными силами и как правильно выбрать аудитора, помогал разбираться Павел Волчков, начальник отдела консалтинга Центра информационной безопасности компании «Инфосистемы Джет».
Содержание |
Основные угрозы информационной безопасности
Ключевыми проблемами, с которыми может столкнуться бизнес, остаются нарушения доступности бизнес-процессов и конфиденциальности данных. Аналитики Gartner отмечают, что именно данные (а значит — и вопросы их безопасности) являются ключевым звеном, без которого невозможна цифровая трансформация. А дополнительные расходы на защиту от киберпреступников в ближайшие два года выделят около 40% компаний, идущих по пути диджитализации.
«Если рассматривать угрозы на техническом уровне, то наиболее актуальными сейчас являются сценарии комплексных атак, которые начинаются с методов социальной инженерии и используют уязвимости в корпоративной Windows-инфраструктуре», — добавляет начальник отдела консалтинга Центра информационной безопасности компании «Инфосистемы Джет» Павел Волчков. |
Почему бизнес не может обеспечить безопасность собственными силами
Одна из проблем, с которой остро сталкиваются компании, желающие обеспечить информационную безопасность, — серьезная нехватка кадров. Именно в этом эксперты видят одну из ключевых причин незащищенности, причем, не только в бизнесе, но и в госсекторе. ИБ-процессы и отношение к ним в корпоративной среде оказывается недостаточно зрелым и не подкреплено всем необходимым инструментарием. В первую очередь, как отмечают аналитики, страдает контроль над состоянием информационной безопасности.
Несмотря на это, многие предприятия целиком и полностью полагаются на собственные ИБ-департаменты. Но обеспечение безопасности на должном уровне, по мнению экспертов рынка, без задействования внешних ресурсов практически невозможно.
Другой важный момент — накопление экспертизы. Весь мир давно идет по пути экспертного аутсорсинга. Условный специалист по реагированию на инциденты профессионально растет гораздо быстрее в коммерческом SOC или CSIRT, чем в своем ИБ-департаменте. Происходит это за счет интенсивности работы и общения с большой командой экспертов. А ведь нельзя забывать, что квалификация киберпреступников постоянно повышается.
Компании, как правило, делают выбор в пользу аутсорсинга по банальной причине: невозможно распылять усилия внутренней команды на все виды деятельности. Как раз аудит информационной безопасности представляет собой один из таких процессов.
«Аудит — это сравнение текущего состояния (AS IS) с заранее выбранным эталоном с последующим анализом причин расхождения и проработкой вариантов их устранения (достижение TO BE). В качестве эталона могут быть выбраны как внутренняя документация компании по информационной безопасности, так и международные стандарты ИБ», — добавляет Павел Волчков. |
Другое весомое преимущество подобных услуг — получение взгляда со стороны. Эксперты отмечают, что внешний аудитор часто обращает внимание на нюансы, неочевидные для сотрудника ИБ-департамента компании.
Из каких этапов состоит аудит безопасности
В первую очередь нужно определить цель аудита: зачем он проводится, какой результат должен быть получен, и как он будет использоваться. Уже после этого разрабатывается конкретная программа, в которой описываются все шаги, которые будут предприняты. Эксперты отмечают, что она должна быть максимально понятной и прозрачной для всех участников процесса. Также в ней должен быть план-график самого аудита и план проведения интервью. Этой частью лучше не пренебрегать: специалисты должны определить, с кем они будут общаться и на какие темы.
«Далее процесс можно разделить на три основные части: сбор информации, ее анализ и документирование, — объясняет Павел Волчков. — На выходе заказчик получает аналитические выводы о текущем состоянии информационной безопасности в выбранном разрезе и рекомендации по повышению уровня защищенности». |
Что дает аудит ИБ заказчикам: пример дорожной карты на год
При этом в зависимости от цели аудита может быть использован самый разнообразный инструментарий. Это и средства инвентаризации элементов ИТ-инфраструктуры, и сканеры уязвимостей, и отдельные самописные инструменты, автоматизирующие те или иные проверки, и, конечно, вендорское ПО для диагностики состояния конкретной технологии. Некоторые виды аудита, например, анализ кода, точно невозможны без специальных инструментов.
Как выбрать правильную компанию-аудитора
Эксперты советуют в первую очередь обращать внимание на предлагаемую методологию проведения работ. Важно, чтобы аудит ИБ был комплексным и затрагивал все возможные области: от бизнес-процессов до отдельных элементов ИТ-инфраструктуры.
Компания-подрядчик должна быть готова проводить работы не «по фотографии», а путем очных интервью и ручных (либо полуавтоматизированных) проверок конфигураций. Уже на этапе пресейла целесообразно запрашивать методику аудита, ресурсный план проекта, план интервью, резюме специалистов и так далее.
Специалисты указывают и на то, что важно не забыть запросить благодарственные письма и примеры уже проведенных аудитором проектов.
Комплексный подход к аудиту ИБ
Сроки, стоимость и окупаемость проекта
Тут важно понимать, что аудит информационной безопасности целого предприятия — достаточно масштабируемая услуга. В отдельных случаях она будет затрагивать одну или несколько небольших систем, в других — всю корпоративную инфраструктуру. И стоимость проекта, само собой, сильно зависит от объемов работы.
«Два основных параметра, влияющих на стоимость аудита, — это объем проверяемой инфраструктуры и необходимая глубина обследования», — комментирует Павел Волчков, начальник отдела консалтинга Центра информационной безопасности компании «Инфосистемы Джет». |
Вместе с тем, об окупаемости аудита безопасности, как и любых других мероприятий, связанных с ИБ-департаментами, говорить достаточно сложно. Действительно работающих методик оценки окупаемости пока не существует. Впрочем, большая часть рынка сходится на том, что аудит ИБ при правильно поставленной цели — нужная инвестиция, которая обязательно себя окупит.
Пример удачного кейса
Один из самых свежих примеров 2018 года — экспертный аудит ИБ в одном из банков с последующей разработкой стратегии информационной безопасности. Проект был выполнен компанией «Инфосистемы Джет», ежегодно реализующей более 50 различных проектов по аудиту информационной безопасности.
«В ходе этого проекта мы выявили проблемы, касающиеся не только ИБ-блока, но и такие, которые относятся сугубо к ИТ-направлению, связанные, например, с архитектурой сети и системами виртуализации. После окончания аудита банк привлек нас к решению этих проблем и отметил профессионализм наших работ благодарственным письмом», — рассказывает Павел Волчков. |
Другой пример — масштабный аудит для одной из крупнейших компаний страны, над которым параллельно работали 25 специалистов. В сжатые сроки специалисты «Инфосистемы Джет» обследовали информационные системы, средства защиты и АСУ ТП предприятий заказчика по всей стране. На выходе компания получила дорожную карту мероприятий по информационной безопасности на ближайшие 2-3 года.
За дополнительной информацией можно обращаться к специалистам компании «Инфосистемы Джет».