Внешний и внутренний аудит информационной безопасности
Аудит информационной безопасности позволяет объективно оценить, насколько защищена ИТ-инфраструктура, устойчива ли она к угрозам на уровне сети в целом или отдельных ее компонентов. С помощью этого инструмента компания имеет возможность получить реальную оценку уровня работы существующей системы, качественно и количественно оценить технологические или бизнес-процессы.
Различия внутреннего и внешнего аудита
Внутренний аудит выполняют сотрудники отдела ИБ компании. Перед этим создаётся документ, в котором есть следующие пункты:
- поиск уязвимостей;
- выбор метода проверки;
- структура итогового отчёта;
- расписание с датами проведения.
Цель внутреннего аудита добиться соответствия ИТ-инфраструктуры определённым требованиям.
Для проведения внешнего аудита привлекают сторонних специалистов. Компании, которые могут выполнить такую работу, обязаны иметь лицензию регулятора (ФСТЭК, ТЗКИ, ФСБ, сертификат ISO 27001). В отличие от внутреннего внешний разноплановый, требует привлечения разных специалистов, части из которых иногда в штате компании-заказчика нет.
Цель внешнего аудита – выявить проблемы, определить точки роста, получить авторитетное мнение стороннего специалиста, подтвердить правильность подходов, соответствие нормативным требованиям.
В процессе ИТ аудита проверяют:
- состояние ИТ-инфраструктуры;
- если необходимо, квалификацию специалистов информационного отдела;
- состояние системы информационной безопасности и процессов в компании.
Вообще же, направления могут быть самыми разными. Например, компания может провести проверку Wi-Fi-сети, чтобы выявить подключения несанкционированных устройств, соответствие роутеров стандартам безопасности. Иногда ИБ проверяют «в бою» – организуют фишинговые атаки, чтобы проверить правильность действий сотрудников.
Основное отличие внутреннего аудита от внешнего в том, что в первом случае к исполнителям не предъявляют специальных требований, в качестве нормативной базы используют в основном внутренние документы компании, услуги оплачивают не отдельно, а включают в зарплату, редко устанавливают жёсткие сроки проверки. Но и влияние внутреннего аудита на компанию выше – прямо в процессе проверки можно внести корректировки и быстрее повысить эффективность работы. В то же время уровень независимости намного ниже, чем при внешней проверке.
Плюсы и минусы
Основной плюс внутреннего аудита в том, что не нужно привлекать сторонних подрядчиков, которые часто могут быть не осведомлены о процессах внутри компании на таком же уровне. Собственные сотрудники заинтересованы найти ошибки, недоработки, поскольку от этого могут зависеть в том числе и результаты их работы.
У внутреннего аудита есть минусы – штатные сотрудники часто не могут объективно оценить во время проверки многие процессы, иногда нужно получить мнение со стороны.
Плюсы внешнего аудита – выполнение проверки независимыми экспертами, которые способны составить непредвзятое мнение о проблемах с ИБ компании. Но есть и минусы – иногда трактовка обнаруженных ошибок не соответствует реальному положению вещей, поскольку сторонний специалист часто неспособен вникнуть в бизнес-процессы заказчика. То есть, возможны искажения – например, обнаруживается ошибка, которую можно квалифицировать и как непреднамеренное действие, и как попытку мошенничества.
Когда и кому нужно проводить аудит ИБ
Чаще всего компании обращаются для проведения it аудита в таких случаях:
- реорганизация или слияние нескольких компаний, которые повлекут за собой изменения в информационном отделе;
- изменения в штате, особенно на ключевых должностях в сфере IT;
- оценка бизнес-активов фирмы, квалификации сотрудников.
Кроме выявления и устранения потенциально уязвимых мест аудит помогает руководству компании повысить контроль над работой информационного отдела и улучшить бизнес-процессы.
Этапы аудита информационной безопасности
Аудит проходит в несколько этапов:
- Составляют план. После этого заказчик согласовывает его с клиентом.
- Аудитор изучает документацию. Её должен предоставить заказчик.
- Собственно проверка на месте. Подрядчик приезжает в компанию (если это не внутренний аудит) и на месте оценивает состояние ИТ-инфраструктуры и/или отдельных её элементов.
- Дополнительные мероприятия. Это может быть анкетирование сотрудников, исследование программного обеспечения, тестирование на проникновение.
Ещё какое-то время будет затрачено на составление отчёта. Его аудитор передаёт заказчику.
Результаты аудита
Результатами проверки становятся итоговые отчёты, структуру которых прописывают заранее:
- топология сети, разбивка используемого оборудования по разным помещениям с описанием назначения и функций каждого из устройств;
- физическое расположение, характеристики состояния серверов, сетевого оборудования, источников бесперебойного питания;
- полное описание рабочих мест сотрудников;
- советы по улучшению текущей ситуации.
Кроме того, отчёт описывает все потенциально уязвимые места в защите, предлагает варианты решения проблем, содержит архитектуру корпоративной сети, обязательно – перечень оборудования. В идеале аудитор всегда дает такие рекомендации, которые компания сможет выполнить с учётом бюджета, сроков и технической оснащенности.