Аудит безопасности информационных систем

Аудит систем безопасности – независимая проверка уровня защиты данных и выявление ее соответствия заданным критериям (нормативным актам, корпоративным правилам и др.). Аудит актуален для организаций, использующих в работе собственный сайт, корпоративные сети, интернет-платежи, сбор персональных данных и их хранение. Результат анализа – детальный отчет. Он содержит информацию о состоянии системы, ее недостатках и способах их устранения.

Аудит информационной безопасности находит слабые места системы. Аудиторы компании «ГСК» дадут развернутые рекомендации по защите от атак злоумышленников. Компания защитит ваши данные от взлома хакерами, выявит скрытые враждебные программы, собирающие вашу аналитику, предотвратит утечку персональной информации. Отразим DDoS-атаки, предотвратим заражение данных вирусами, устраним утечку данных после аппаратных сбоев, аварий, природных катаклизмов. Работаем по Санкт-Петербургу, выезжаем в организации, расположенные в Ленобласти.

Цены на аудит систем безопасности

Калькуляцию стоимости формируют:

• задачи аудита безопасности информационной системы;
• текущий уровень защищенности данных;
• масштаб запланированных работ;
• численность привлекаемой группы экспертов.

Наши аудиторы анализируют текущее состояние информационного пространства. Затем они согласуют детали с заказчиком, составляют техническое задание. Далее команда специалистов приступает к поиску брешей, сквозь которые уходит информация. В рамках аудита системы информационной безопасности аудиторы не занимаются устранением найденной бреши. Эту работу выполняют штатные сотрудники предприятия.

Цели аудита информационной безопасности

Аудит безопасности информационных систем актуален, когда:

• Поменялся состав ИТ отдела и требуется аудит текущего состояния безопасности для дальнейшего ее отслеживания в динамике.
• Сменился субподрядчик, оказывающий ИТ услуги, и компании требуется независимая оценка состояния защищенности данных.
• Произошел инцидент, который поставил надежность структуры информационного пространства под сомнение.

К утечке информации приводят несколько категорий угроз:

Первая категория – спланированные действия злоумышленников, которые хотят получить данные и использовать их для получения материальной выгоды, власти, шантажа.

Вторая категория – ненамеренное создание уязвимостей в информационной системе. Причиной могут стать использование сотрудниками зараженных флешек на корпоративных компьютерах или посещение сайтов, содержащих вирусы. 

Третья категория представлена халатным отношением к безопасности: отсутствие антивируса, предоставление свободного доступа к файлам для всех желающих, пренебрежение дублированием важной информации

Четвертая угроза – непредвиденные обстоятельства. Это стихийные бедствия (пожары, наводнения), военные действия или теракты, которые ведут к порче техники и утрате документов.

Финальным этапом аудита информационной безопасности компьютерных систем считается разработка рекомендаций по устранению ошибок. При этом сам аудитор не занимается их устранением, он лишь предлагает инструменты. Аудиторский анализ отличается от мероприятий, выполненных своими силами, независимым взглядом на ситуацию и высоким уровнем знаний проверяющих.

Процесс аудита систем безопасности организации

Экспертиза предприятия бывает:

• очной;
• заочной;
• смешанной.

В ходе проверки эксперт получает информацию о защищенности информационного пространства в компании. Полученные данные специалист обрабатывает, опираясь на свидетельства, затем сопоставляет данные с нормативами. Свидетельствами могут стать фотографии, записанные интервью сотрудников проверяемой компании, документы, наблюдения эксперта.

В зависимости от особенностей технического задания и сложности выбранных критериев оценки, сроки и план проведения экспертизы могут меняться. Только после того, как эксперт получил достаточное количество свидетельств, он может дать оценку информационной безопасности:

• по количественному параметру (например, 0.81);
• по качественным признакам (соответствует критерий или нет).

Полученные результаты сопровождаются обязательными рекомендациями по повышению оценки соответствия системы безопасности норме. Отчет предполагает разработку нескольких рекомендаций, чтобы заказчик мог выбрать подходящий из них.

Стандарты и виды аудит систем безопасности предприятия

Проверку системы информационной безопасности проводят в форматах:

• экспертного аудита;
• по заданным стандартам.

В первом случае аудит разрабатывается под определенную задачу, поставленную руководством предприятия. Например, в компании имел место инцидент утечки данных. Внутренняя проверка обнаружила некорректно настроенное сетевое оборудование. Руководство привлекает внештатного эксперта для аудита безопасности одного из направлений информационной системы. Специалист проведет тестирование системы на сложность проникновения в нее посторонних. Для этого аудитор выполнит настройку сетевого оборудования, проверит на корректность работы все процессы, опросит сотрудников.

Во втором случае анализ ведут по заранее определенным критериям. Например, за эталон принимают набор стандартов ISO, NIST, ГОСТ. В таких условиях аудитор будет работать с полным объемом информационной безопасности на предприятии. Методы исследований определены в самих стандартах:

• ISO 27001;
• NIST SP серия 800;
• ГОСТ Р ИСО / МЭК 18045;
• ГОСТ 57580.х;
• ГОСТ Р ИСО / МЭК 27007 и другие документы.

Список документов для аудита по стандартам может меняться от сферы деятельности предприятия и корпоративных стандартов.

Виды аудитов системы безопасности

В зависимости от исполнителя, проверка бывает внутренней и внешней. Внутренним аудитом информационной безопасности занимаются сотрудники компании. Внешний мониторинг выполняют приглашенные аудиторы. В обоих случаях специалисты работают по заранее выделенным критериям.

Приглашенные внешние специалисты во время аудита безопасности сымитируют реальную атаку на информационную систему. Также они проверяют программный код и безопасность сайта. Одновременно могут оценивать техническую и документальную реализацию:

• аудит удаленной работы сотрудников;
• проверка инвентаризации оборудования;
• экспертиза процесса разработки программного обеспечения;
• аудит информационной безопасности за определенный промежуток времени;
• проверка на соответствие информационной безопасности корпоративным стандартам;
• аудит отдельных процессов и прочие проверки.

Результаты экспертизы по информационной безопасности используют для устранения погрешностей в работе, а также в судебных процессах.

Планы и программы аудита системы безопасности

План проверки обычно подробно расписывают в техническом задании на аудит с уточнением его формы. Под таким планом имеют в виду конкретный аудит. Тем временем программа аудита предполагает серию из нескольких аудитов. В разных стандартах под определениями плана и программы аудита могут находиться разные задачи.

Этапы аудита систем безопасности

Задачи и уровни угрозы определяют способ проведения проверки. Аудит безопасности информационных систем представлен этапами:

1. Инициация аудита.  Клиент совместно с аудитором составляют техническое задание. В нем обе стороны указывают, как должна работать идеальная система.
2. Подписание договора. Когда стороны пришли к общему видению процесса, они заключают договор.
3. Сбор информации. Аудитор проводит интервью с персоналом, анализирует документацию и технические данные.  
4. Обработка информации. Аудитор анализирует информацию и делает выводы с целью достижения задач аудита. 
5. Составление отчета. Конечный вид отчета прописывают во время составления техзадания.

На этапе формирования технического задания в работу могут быть включены дополнительные пункты. Ими могут быть: предварительное согласование отчета, формирование дополнительных документов по результатам работы, оформление презентации, прочее.

Отчет по аудиту систем информационной безопасности

Форма отчета и его содержание определяют стандарты информационной безопасности (например, ГОСТ 57580.2), либо техническое задание на аудит. В отчетах указывают:

1. Данные заказчика и аудитора.
2. Информацию об аудиторской группе.
3. Задачи проводимого аудита.
4. Сроки исполнения проверки.
5. Сведения о ходе аудита безопасности информационных систем.
6. Результаты работы.
7. Рекомендации.

Результаты аудита помогают оценить эффективность используемых мер по защите информации. С их помощью разрабатывают рекомендации по модернизации защитных мер. Полученные итоги описывают все компоненты информационной системы предприятия, способные влиять на уровень защищенности данных. Данные отчета раскрывают возможности доработки системы. Из рекомендаций заказчик может выбрать те, которые дают высокий уровень защиты. Также он может отдать приоритет рекомендациям, которые удачнее других вписываются в бюджет.

Компания «ГСК» выполнит анализ внутренних нормативных документов вашего предприятия, проведет анализ информационной инфраструктуры, выполнит тестирование для определения уязвимостей. Обеспечим непредвзятую оценку состояния системы информационной безопасности. Быстро среагируем на выявленные бреши и предложим методы повышения надежности защиты информации. Выполним аудит по конкретным задачам. Проведем мониторинг всей системы информационной безопасности.