Роль аудита в оценке соответствия нормативным требованиям и обеспечении безопасности

Термины “аудит” и “оценка соответствия” иногда используются как взаимозаменяемые. Но насколько допустимо такое смешение понятий? И главное – какую роль действительно играет аудит в обеспечении информационной безопасности и выполнении требований законодательства?

Автор: Екатерина Степанова, начальник отдела аудита и консалтинга АМТ-ГРУП

В профессиональных группах, публикациях и даже некоторых учебных пособиях понятия "аудит" и "оценка соответствия" действительно используются как синонимы. При определенных обстоятельствах это справедливо. В ГОСТ Р 57580.2–2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия" термин "оценка соответствия" подменяет термин "аудит", но это скорее исключение из правил.

Исходя из положений Федерального закона от 27.12.2002 № 184–ФЗ "О техническом регулировании", к оценке соответствия прибегают, когда необходимо подтвердить выполнение требований, предъявляемых к продукции или системе. При этом подтверждение соответствия может носить обязательный или добровольный характер. Последнее может осуществляться для установления соответствия документам по стандартизации, системам добровольной сертификации.

Иными словами, одним из способов подтверждения соответствия может быть сертификационный аудит. Критериями аудита, своего рода эталоном, с которым сравниваются свидетельства аудита, в таком случае могут выступать требования стандартов. В качестве примеров можно вспомнить:

• ГОСТ Р 57580.1–2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер";
• ГОСТ Р ИСО/МЭК 27001– 2021 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования";
• стандарты серии ISO 15408.

Независимая организация ("третья сторона"), выполняя оценку соответствия в форме сертификационного аудита, гарантирует, что система или продукция соответствует установленным требованиям. Давайте еще на одном примере рассмотрим, как связаны понятия "аудит" и "оценка соответствия".

Меры по обеспечению безопасности, приведенные в приложении к приказу ФСТЭК России от 25 декабря 2017 г. № 239 "Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации", могут быть реализованы как встроенными в программное обеспечение или программно-аппаратные средства механизмами, так и наложенными средствами защиты информации.

В соответствии с требованиями приказа ФСТЭК России № 239 для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться СЗИ, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки.

Казалось бы, выполнить это требование можно, используя сертифицированные наложенные средства защиты информации. Однако реализовать все требования приказа ФСТЭК России № 239 с использованием такого подхода зачастую бывает сложно, так как в настоящий момент на рынке далеко не все СЗИ имеют соответствующие сертификаты. Кроме этого, подтвердить соответствие встроенных механизмов таким способом невозможно.

Для решения данной задачи наши заказчики часто идут по пути приемки подсистемы безопасности значимого объекта КИИ.

Для подтверждения реализации мер обеспечивается сбор свидетельств выполнения и объективное оценивание степени их соответствия отдельным требованиям приказа ФСТЭК России № 239. Другими словами, проводится аудит мер обеспечения безопасности, критериями которого являются требования приказа ФСТЭК России № 239.

Таким образом, аудит является частным случаем оценки соответствия.

Что дает аудит безопасности?

Аудит является частным случаем оценки соответствия. Требованиями приказа ФСТЭК России № 239 и приказа ФСТЭК России от 21 декабря 2017 г. № 235 "Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской

Федерации и обеспечению их функционирования" предусмотрены следующие регулярные аудиты:

• Анализ уязвимостей, являющийся неотъемлемой частью жизненного цикла значимого объекта КИИ. В ходе анализа подтверждается, что уязвимости отсутствуют или их эксплуатация не приводит к возникновению угроз безопасности информации в отношении значимого объекта.
• Внутренний контроль, в ходе которого проверяется выполнение требований нормативно-методических документов по обеспечению безопасности, а также оценка эффективности принятых мер.

Таким образом, аудит для субъекта КИИ – уже не просто хорошая практика, но и обязанность.

Виды аудитов

В то же время для многих организаций оценка соответствия не является обязательной. Однако это не повод расслабляться, ведь регулярные аудиты ИБ позволяют проактивно выявлять и устранять бреши в обеспечении безопасности. Рассмотрим некоторые частные, но практически значимые виды аудитов.

Аудит инфраструктуры службы каталогов, корпоративных и технологических сетей передачи данных представляет собой комплекс работ, направленных на оценку текущей защищенности, выявление существующих недостатков и уязвимостей инфраструктуры компании.

Аудит службы каталогов

В рамках аудита инфраструктуры службы каталогов проводится анализ специфики реализации инфраструктуры, учетных записей пользователей и их прав, особенностей групп и групповых политик. В ходе анализа выявляются, в том числе:

• неиспользуемые объекты групповых политик, правами которых может воспользоваться злоумышленник;
• учетные записи со слабыми паролями;
• устаревшие или конфликтующие политики;
• некорректные настройки, например выключенный аудит событий безопасности.

Кроме этого "наведение порядка" в инфраструктуре службы каталогов – сокрытие неиспользуемых и оптимизация используемых объектов – может сократить время реагирования на инцидент ИБ, так как объем изучаемой информации значительно уменьшается.

Аудит сетевой инфраструктуры

Аудит сетевой инфраструктуры позволяет выявить предпосылки реализации атак, связанных с несанкционированным доступом и нарушением работоспособности систем и сервисов.

В ходе работ осуществляется:

• выявление узких мест, текущих и потенциальных проблем в сетях передачи данных в части масштабирования, отказоустойчивости, производительности, EoS/EoL оборудования;
• анализ конфигураций межсетевых экранов, L3-устройств;
• выявление уязвимостей в архитектуре сети с точки зрения ИБ.

Тестирование на проникновение

Тестирование на проникновение, или пентест, помогает дополнительно оценить возможность нарушения работоспособности сети передачи и получения несанкционированного доступа к системам и сетям передачи данных, к обрабатываемой информации. Такая оценка позволяет увидеть инфраструктуру компании так, как ее видит злоумышленник.

Соответствие требованиям безопасной настройки

Оценка степени соответствия требованиям руководств производителей программного обеспечения и оборудования по безопасной настройке помогает определить предпосылки реализации атак в ИТ- и ИБ-процессах, а также наличие необходимых превентивных и детектирующих мер защиты.

Заключение

Сформированный по результатам аудита перечень недостатков и уязвимостей системы безопасности может стать основой для планирования отдельных активностей, реализация которых направлена на повышение уровня ИБ компании в целом.

Залог успеха таких аудитов определяется компетенциями команды аудиторов. Так как специалисты аудиторской группы, обладая большим опытом в вопросах обеспечения безопасности критических систем и сетей, корпоративных и технологических сетей передачи данных, могут выполнить оценку текущей защищенности инфраструктуры, выявить существующие недостатки и уязвимости системы безопасности. Эти данные необходимы при планировании конкретных шагов и мер по повышению уровня ИБ, оптимизации и модернизации системы безопасности. Таким образом результаты аудита станут подспорьем для роста качества и повышения доверия к бизнесу, а не просто лягут на полку.