Аудит информационной безопасности

Множество информационных преступлений совершается благодаря утечкам данных. Одинаково важна и информационная безопасность госучреждений, и вопросы сохранности данных в частных компаниях. Чтобы убедиться в том, что фирма находится под надежной защитой, необходимо регулярно проводить аудит. Эта процедура позволяет определить слабые места, оценить возможные варианты утечек, разработать стратегии по предупреждению проблем.

Когда нужен аудит ИБ

Аудит информационной безопасности — это комплекс мер, которые оценивают уровень защищенности от внешних угроз и несанкционированного доступа. Он может потребоваться в следующих случаях:

• выбор средства защиты информации. У большинства ПО своя специфика, она должна отвечать целям и задачам компании. Определить требования к функциональным возможностям продукта позволяет приглашение специалиста по аудиту;
• оценка текущего уровня защищенности информационного пространства фирмы. Это может быть как рутинная операция, так и проверка после внедрения новой системы безопасности;
• получение сертификата. Чаще всего это сертификация по ГОСТ или ISO, но есть и другие стандарты, для которых требуется определенный уровень инфобезопасности;
• расследование инцидента, связанного с утечкой данных или кибератакой.

Технологии развиваются и изменяются, поэтому аудит требуется проводить регулярно. Он позволит выявить устаревшие решения и привести всю систему в компании к единому стандарту.

Цели и задачи аудитора

Аудитор в компании может реализовывать разные цели, однако, в первую очередь проверка должна определить уровень защищенности компании, выявить риски, сформировать перечень слабых мест. На базе этой информации путем анализа можно получить другие данные, например, выяснить причину связанного с ИБ инцидента.

Также целью специалиста часто становится определение уровня знаний сотрудников, их обучение, консультирование. Закономерным итогом может быть и обучение, если выявлен недостаток знаний. Проверяются нормативные документы, могут быть изменены требования к уровню защищенности ИТ-инфраструктуры. В конце аудита разрабатывается план по внедрению новых технологий защиты.

Методы

Аудит обычно проводится в несколько этапов. Для выполнения задач клиента специалист может использовать разные методы. Выбор конкретных способов проверки зависит от того, каких целей пытается достичь заказчик и для чего пригласил аудитора.

Специалисты по аудиту информационной безопасности выделяют три типичных метода проверки организации:

• Пентест или активное тестирование. В ходе него аудитор имитирует действия злоумышленника: пытается взломать сайт, сделать некорректный заказ, использовать уязвимости CMS, имитирует DDoS-атаку. Во время этого теста проверяются открытые порты, сетевые сервисы с неправильной настройкой, через которые можно получить данные из внутренней сети компании. Также разрабатываются методы противодействия DDoS-атакам.
• Экспертное сравнение. Для него берется некий эталонный комплекс мер, которые должны быть применены на предприятии с точки зрения начальства, отдела безопасности, других экспертов. Аудитор сравнивает имеющуюся степень защиты с идеальной и выносит вердикт.
• Сертификация. Для получения сертификата PCI DSS или ГОСТ Р ИСО/МЭК 27001 компания должна отвечать определенным требованиям. Представитель службы проверки изучает именно эти моменты, оценивая, насколько решения в компании соответствуют стандартам. В итоге фирма получает рекомендации, что именно нужно сделать, чтобы пройти сертификацию без проблем.
• Существует еще один метод — комплексный. Он позволяет оценить уровень защиты системы в компании с использованием всех перечисленных методов или их комбинаций. Считается наиболее эффективным, так как позволяет дать наиболее полную оценку ситуации.

Этапы

Обычно аудит ИТ-безопасности проходит по стандартному сценарию. Сначала разрабатывается регламент, который включает список ответственных лиц, состав рабочих групп и список проверяемых элементов. Также в регламенте прописывается модель угроз ИБ, возможные типажи нарушителей. Определяется и расписание, зоны ответственности.

Когда формальности решены, начинается второй этап — сбор данных. Каждый сотрудник работает в своей зоне ответственности и оценивает уровень информационной безопасности в ней. Кто-то изучает документы, другие — настройки софта, третьи имитируют атаки хакеров, четвертые опрашивают сотрудников и т.д. Каждая группа составляет отчет по своей деятельности.

Последний этап — это анализ полученных данных. На их базе формируется заключение, в котором дается подробный отчет по состоянию ИБ в компании. Там же могут содержаться рекомендации по исправлению спорных ситуаций и т.д.

Программа для обеспечение безопасности данных

Обеспечить должный уровень безопасности данных организации помогают разные инструменты. В том числе часть вопросов защиты может решить интернет-шлюз ИКС. Это единое решение для контроля и фильтрации контента, ограничения трафика, разграничения прав пользователей. С помощью данного ПО можно настроить комплексную защиту сети от разных угроз:

• вирусов (имеются интегрированные антивирусные программы — как платные, так и бесплатные);
• спама (для этого используются черные, белые списки, встроенные в антиспам RspamD и модуль Kaspersky Anti-Spam);
• попыток проникновения в сеть пользователей (за счет системы fail2ban).

Среди защитного софта, интегрированного в ИКС, антивирус и антиспам Касперский, который обеспечивает отличный уровень защиты для пользователей. Подробности о настройке можно посмотреть в записи онлайн-вебинара на канале ИКС на YouTube.

Попробовать интернет-шлюз Интернет Контроль Сервер можно бесплатно в течение месяца. Во время тестирования доступно как основное ПО, так и все модули.