Контакты
Подписка 2025

Стратегия аудита информационной безопасности в пяти шагах

Константин Саматов, 11/12/24

В условиях стремительного развития технологий и увеличения числа угроз регулярный аудит становится необходимым инструментом для обеспечения надежной защиты данных, предотвращения утечек информации и обеспечения непрерывного функционирования информационных ресурсов.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

ris2-Dec-11-2024-07-50-37-0434-AM

Аудит информационной безопасности представляет собой важный процесс, направленный на оценку уровня защищенности информационной инфраструктуры организаций.

На практике под аудитом обычно понимают форму независимой оценки состояния объекта ИБ (информационной системы, автоматизированной системы, организации в качестве объекта защиты в целом и т.д.) на соответствие заданным критериям, таким как требования действующего законодательства, принятые корпоративные стандарты, отсутствие уязвимостей, способность обеспечить защиту при проведении компьютерной атаки и т.п.

Каждый из видов аудита имеет свои особенности и цели, но все они направлены на обеспечение надежной защиты информации и минимизацию рисков (см. табл. 1).

t1-Dec-11-2024-07-47-52-6229-AM

Существует несколько подходов к проведению аудита ИБ (см. табл. 2).

t2-Dec-11-2024-07-48-04-5087-AM

Указанные моменты необходимо учитывать при формировании стратегии аудита в рамках организации. Стратегия – это общий план, направленный на достижение одной или нескольких долгосрочных целей в условиях неопределенности.

Создание стратегии аудита ИБ в рамках организации требует системного подхода и учета множества факторов.

Пять шагов разработки эффективной стратегии аудита

Шаг 1. Определение целей аудита

Для начала необходимо определить цель аудита. Целью может быть:

  • оценка текущего уровня безопасности;
  • проверка соответствия нормативным требованиям;
  • выявление уязвимостей и рисков;
  • улучшение процессов ИБ: управление уязвимостями, управление инцидентами и т.п.

Как это может выглядеть на практике? Допустим [1], у вас есть несколько дочерних обществ, в которых никогда не занимались ИБ, или вы только что "пришли" в организацию. В этом случае целью аудита будет оценка текущего уровня безопасности и выявление уязвимостей и рисков. Если у вас зрелая организация, то целью будет оценка текущего уровня безопасности и улучшение процессов ИБ.

Аудит с целью проверки соответствия нормативным требованиям обычно предшествует контрольно-надзорным мероприятиям, которые проводят соответствующие уполномоченные органы (так называемые проверки регуляторов), или совпадает с указанными мероприятиями.

Шаг 2. Определение объема аудита

Необходимо определить, какие системы, процессы и данные будут охвачены аудитом. Они могут включать в себя:

  • ИТ-инфраструктуру (серверы, сети, приложения и т.п.);
  • политики и процедуры безопасности;
  • физическую безопасность (доступ к рабочим местам пользователей и серверным помещениям);
  • осведомленность персонала и т.п.

Как это может выглядеть на практике? Исходя из целей аудита определяется объем мероприятий. Например, если целью является оценка текущего уровня безопасности и выявление уязвимостей и рисков, то нужно включить в стратегию инвентаризацию ИТ-инфраструктуры, выявление уязвимостей и оценку рисков. Если целью является комплаенс-аудит для подготовки к проверке, то нужно предусмотреть анализ внутренней нормативной документации и ее корректировку, выявление и устранение уязвимостей.

Шаг 3. Сбор информации

Соберите все необходимые данные о текущих процессах и системах безопасности. Они могут включать в себя:

  • локальные нормативные документы (приказы, распоряжения, указания) по информационной безопасности;
  • отчеты о предыдущих аудитах;
  • журналы событий и инцидентов и т.п.;
  • интервью с сотрудниками.

Как это может выглядеть на практике? Перед формированием стратегии не будет лишним освежить в памяти результаты прошлых аудитов. Если таковых нет или вы недавно работаете в организации, то следует собрать и изучить имеющиеся локальные нормативные документы, посвященные вопросам информационной безопасности, посмотреть (выборочно) настройки информационных ресурсов. Основная задача – получить общий объем знаний о предмете аудита.

Не будет лишним провести короткие интервью с несколькими ключевыми сотрудниками, чтобы понять, как на практике реализуются политики безопасности.

Шаг 4. Разработка стратегии аудита

На данном этапе происходит разработка стратегии аудита. Сама стратегия – это план, который состоит из нескольких пунктов, перечисленных ниже.

  • Таймлайн проведения аудита (в частности, различных его видов).
  • Ресурсы, необходимые для выполнения аудита (команда, инструменты).
  • Методы и инструменты, которые будут использоваться (например опросные листы, сканеры уязвимостей, системы управления событиями безопасности и т.п.).

Как это может выглядеть на практике? При формировании стратегии следует учесть временные интервалы планирования. Обычно мероприятия по ИБ (не только аудит) планируются на один год. Однако за такой короткий промежуток времени при ограниченных ресурсах вряд ли можно комплексно проаудировать ИБ по всем аспектам, поэтому стратегию желательно формировать с учетом среднесрочных (горизонт планирования до трех лет), а в некоторых случаях и долгосрочных периодов (горизонт планирования до десяти лет).

Например, в первый год мы планируем комплаенс-аудит на соответствие требованиям; на второй год – технический аудит с тестированием на проникновение; на третий год – аудит с целью оценки текущего уровня безопасности и зрелости организации в части ИБ.

Ресурсами для проведения аудита в первую очередь являются имеющаяся команда специалистов по ИБ и смежные подразделения. Очень часто на практике при комплаенсаудите весомую помощь могут оказать отдельные имеющиеся в организации подразделения по аудиту (в рамках всей организации без специализации по ИБ) и юридические подразделения. В техническом аудите, безусловно, помогает ИТ-подразделение.

Отдельным вопросом становится привлечение внешних ресурсов. Привлекая внешние ресурсы, нужно учитывать, что ни один внешний аудитор не сможет провести аудит качественно самостоятельно, без привлечения внутренней команды.

В части методов и инструментов в рамках стратегии желательно предусмотреть разработку собственной методической основы (методик) для проведения аудитов в организации.

Шаг 5. Проведение аудитов и корректировка стратегии

На особенностях проведения аудитов, так как это не предмет данной статьи, заострять внимание я не буду. Отмечу лишь, что ранее эти вопросы уже рассматривались на страницах журнала, например в статьях "Особенности проведения аудита информационной безопасности объектов критической информационной инфраструктуры" № 3 за 2019 г. и № 3 за 2020 г.

Поскольку стратегия – это план, направленный на достижение целей в условиях неопределенности, то ее корректировка – нормальная практика.

Формирование стратегии аудита информационной безопасности требует тщательного планирования и системного подхода. Описанные выше шаги и приведенные примеры помогут в разработке эффективной стратегии аудита вашей организации.


  1. Здесь и далее приводятся лишь некоторые примеры
Темы:УправлениеАудитЖурнал "Информационная безопасность" №5, 2024

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Кризисный менеджмент в информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В данной статье рассмотрим, что такое кризисный менеджмент и как его принципы соотносятся с классическим циклом PDCA, обеспечивая системный подход к управлению информационной безопасностью.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Секьюритизация сотрудников: практики и инструменты в интересах безопасности организации
    Кирилл Шалеников, руководитель проектов в интеграторе Angara Security
    Security Awareness – неотъемлемая часть стратегии информационной безопасности для любой организации. Обученные сотрудники способствуют созданию более защищенной среды и снижают риски для потери данных и репутации компании. Инвестиции в обучение и повышение осведомленности сотрудников могут оказаться одной из наиболее эффективных мер по обеспечению безопасности информации.
  • Ключевые показатели эффективности для подразделений информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В практической деятельности у руководителей cлужб информационной безопасности часто возникают проблемы, связанные с оценкой эффективности возглавляемого ими подразделения.
  • Что такое Compromise Assessment и зачем он нужен бизнесу
    Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора “Бастион”
    Если СЗИ молчат, то это не значит, что систему безопасности организации не взломали. Некоторые хакеры могут годами прятаться в ИТ-инфраструктуре и шпионить, прежде чем решат нанести удар. Вовремя выявить такую опасность или убедиться в ее отсутствии помогает практика Compromise Assessment.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...