Vvmebel.com

Новости с мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Аудит безопасности это

Аудит информационной безопасности

Аудит ИБ включает в себя технический аудит и организационно-методический аудит. В свою очередь, технический аудит обычно разделяется на общий аудит и инструментальный аудит.

IBS выполняет аудит на соответствие требованиям в одной или нескольких предметных областях:

  • законодательство и требования по защите персональных данных (ФЗ-152, 21-й приказ ФСТЭК и др.);
  • требования по защите информации в государственных информационных системах (17-й приказ ФСТЭК и др.);
  • законодательство и требования в области защиты информации в национальной платежной системе (ФЗ-161 и др.);
  • отраслевые требования, стандарты и рекомендации по защите информации в финансовых организациях, фин.процессинге (СТО БР ИББС-1.0, 382-П и др.);
  • аудит в области процессов (ISO 27001 и другие).

Результатом аудита является заключение о степени соответствия компании/организации критериям аудита, а также рекомендации по совершенствованию ИТ-инфраструктуры, защиты информации, процессов обеспечения и управления ИБ и документационного обеспечения заказчика.

Инструментальный аудит включает в себя следующие направления:

  • аудит защищенности ИТ-инфраструктуры и информационных систем;
  • тест на проникновение (pen-тест);
  • аудит информационных потоков в компании/организации;
  • контроль исходного кода приложений на уязвимости/закладки.

Логическим продолжением аудита является разработка корпоративных документов верхнего уровня по вопросам безопасности информации в компании/организации, среди которых:

  • корпоративная политика ИБ;
  • концепция обеспечения ИБ;
  • корпоративная модель угроз безопасности информации.

Разработанные верхнеуровневые документы обеспечивают базис для выстраивания всего комплекса работ по приведению процессов и технологий обеспечения и управления ИБ в компании/организации в соответствие требованиям законодательства, нормативным документам, лучшим практикам ИБ.

Формирование и выстраивание процессов обеспечения ИБ и управления ИБ является неотъемлемой составляющей процессной модели функционирования компаний на средних и высоких уровнях зрелости ИТ.

Для публичных компаний аудит ИБ является элементом неотъемлемой составляющей независимой внешней оценки рыночной стоимости компании, внося таким образом свой вклад в капитализацию компании.

Ключевые результаты

В результате выполнения проекта в зависимости от его масштаба и границ заказчик получит независимую оценку состояния обеспечения ИБ в его компании/организации, степень его соответствия обязательным законодательным, нормативным и отраслевым требованиям по вопросам защиты информации, степени уязвимости его ИТ- и ИБ-инфраструктуры и информационных систем к современным угрозам, а также могут быть выявлены свидетельства противоправной деятельности в его информационном пространстве различной природы.

Аудит информационной безопасности

Цель лекции

  • Рассмотреть понятие аудита информационной безопасности
  • Выделить основные этапы проведения аудита безопасности
  • Изучить способы проведения аудита безопасности

Аудит информационной безопасности — основа эффективной защиты предприятия

На сегодняшний день автоматизированные системы ( АС ) играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов как коммерческих, так и государственных предприятий. Вместе с тем повсеместное использование АС для хранения, обработки и передачи информации приводит к повышению актуальности проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак , приводящих к значительным финансовым и материальным потерям. Для того, чтобы гарантировать эффективную защиту от информационных атак злоумышленников компаниям необходимо иметь объективную оценку текущего уровня безопасности АС . Именно для этих целей и применяется аудит безопасности, различные аспекты которого рассматриваются в рамках настоящей лекции.

Что такое аудит безопасности?

Не смотря на то, что в настоящее время ещё не сформировалось устоявшегося определения аудита безопасности, в общем случае его можно представить в виде процесса сбора и анализа информации об АС , необходимой для последующего проведения качественной или количественной оценки уровня защиты от атак злоумышленников . Существует множество случаев, в которых целесообразно проводить аудит безопасности. Вот лишь некоторые из них:

  • аудит АС с целью подготовки технического задания на проектирование и разработку системы защиты информации ;
  • аудит АС после внедрения системы безопасности для оценки уровня её эффективности;
  • аудит , направленный на приведение действующей системы безопасности в соответствие требованиям российского или международного законодательства;
  • аудит , предназначенный для систематизации и упорядочивания существующих мер защиты информации ;
  • аудит в целях расследования произошедшего инцидента, связанного с нарушением информационной безопасности .

Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности . Инициатором процедуры аудита может являться руководство предприятия, служба автоматизации или служба информационной безопасности . В ряде случаев аудит также может проводиться по требованию страховых компаний или регулирующих органов. Аудит безопасности проводится группой экспертов, численность и состав которой зависит от целей и задач обследования, а также сложности объекта оценки.

Виды аудита безопасности

В настоящее время можно выделить следующие основные виды аудита информационной безопасности :

  • экспертный аудит безопасности, в процессе которого выявляются недостатки в системе мер защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре обследования;
  • оценка соответствия рекомендациям Международного стандарта ISO 17799 , а также требованиям руководящих документов ФСТЭК (Гостехкомиссии);
  • инструментальный анализ защищённости АС , направленный на выявление и устранение уязвимостей программно- аппаратного обеспечения системы;
  • комплексный аудит , включающий в себя все вышеперечисленные формы проведения обследования.

Каждый из вышеперечисленных видов аудита может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить предприятию. В качестве объекта аудита может выступать как АС компании в целом, так и её отдельные сегменты , в которых проводится обработка информации, подлежащей защите.

Состав работ по проведению аудита безопасности

В общем случае аудит безопасности, вне зависимости от формы его проведения, состоит из четырёх основных этапов, каждый из которых предусматривает выполнение определённого круга задач (рис. 28.1).

На первом этапе совместно с Заказчиком разрабатывается регламент , устанавливающий состав и порядок проведения работ . Основная задача регламента заключается в определении границ, в рамках которых будет проведено обследование. Регламент является тем документом, который позволяет избежать взаимных претензий по завершению аудита , поскольку чётко определяет обязанности сторон. Как правило, регламент содержит следующую основную информацию:

  • состав рабочих групп от Исполнителя и Заказчика, участвующих в процессе проведения аудита ;
  • перечень информации, которая будет предоставлена Исполнителю для проведения аудита ;
  • список и местоположение объектов Заказчика, подлежащих аудиту ;
  • перечень ресурсов, которые рассматриваются в качестве объектов защиты (информационные ресурсы, программные ресурсы, физические ресурсы и т.д.);
  • модель угроз информационной безопасности , на основе которой проводится аудит ;
  • категории пользователей, которые рассматриваются в качестве потенциальных нарушителей;
  • порядок и время проведения инструментального обследования автоматизированной системы Заказчика.

На втором этапе, в соответствии с согласованным регламентом , осуществляется сбор исходной информации. Методы сбора информации включают интервьюирование сотрудников Заказчика, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств.

Третий этап работ предполагает проведение анализа собранной информации с целью оценки текущего уровня защищённости АС Заказчика. По результатам проведённого анализа на четвёртом этапе проводится разработка рекомендаций по повышению уровня защищённости АС от угроз информационной безопасности .

Ниже в более подробном варианте рассмотрены этапы аудита , связанные со сбором информации, её анализом и разработкой рекомендаций по повышению уровня защиты АС .

Сбор исходных данных для проведения аудита

Качество проводимого аудита безопасности во многом зависит от полноты и точности информации, которая была получена в процессе сбора исходных данных. Поэтому информация должна включать в себя: существующую организационно-распорядительную документацию, касающуюся вопросов информационной безопасности , сведения о программно- аппаратном обеспечении АС , информацию о средствах защиты, установленных в АС и т.д. Более подробный перечень исходных данных представлен в таблице 28.1.

Читать еще:  Определение политики безопасности

Зачем проводить аудит безопасности?
TADетали

Угрозы информационной безопасности все острее ощущаются бизнесом. Качественным улучшениям ИБ-инструментария противопоставляется все более разнообразный арсенал киберпреступников. Одним из ключевых способов предотвращения потери данных или нарушения бизнес-процессов предприятия остается аудит безопасности. В том, зачем его проводить, почему не удастся обеспечить безопасность собственными силами и как правильно выбрать аудитора, помогал разбираться Павел Волчков, начальник отдела консалтинга Центра информационной безопасности компании «Инфосистемы Джет».

Содержание

Основные угрозы информационной безопасности

Ключевыми проблемами, с которыми может столкнуться бизнес, остаются нарушения доступности бизнес-процессов и конфиденциальности данных. Аналитики Gartner отмечают, что именно данные (а значит — и вопросы их безопасности) являются ключевым звеном, без которого невозможна цифровая трансформация. А дополнительные расходы на защиту от киберпреступников в ближайшие два года выделят около 40% компаний, идущих по пути диджитализации.

Почему бизнес не может обеспечить безопасность собственными силами

Одна из проблем, с которой остро сталкиваются компании, желающие обеспечить информационную безопасность, — серьезная нехватка кадров. Именно в этом эксперты видят одну из ключевых причин незащищенности, причем, не только в бизнесе, но и в госсекторе. ИБ-процессы и отношение к ним в корпоративной среде оказывается недостаточно зрелым и не подкреплено всем необходимым инструментарием. В первую очередь, как отмечают аналитики, страдает контроль над состоянием информационной безопасности.

Несмотря на это, многие предприятия целиком и полностью полагаются на собственные ИБ-департаменты. Но обеспечение безопасности на должном уровне, по мнению экспертов рынка, без задействования внешних ресурсов практически невозможно.

Другой важный момент — накопление экспертизы. Весь мир давно идет по пути экспертного аутсорсинга. Условный специалист по реагированию на инциденты профессионально растет гораздо быстрее в коммерческом SOC или CSIRT, чем в своем ИБ-департаменте. Происходит это за счет интенсивности работы и общения с большой командой экспертов. А ведь нельзя забывать, что квалификация киберпреступников постоянно повышается.

Компании, как правило, делают выбор в пользу аутсорсинга по банальной причине: невозможно распылять усилия внутренней команды на все виды деятельности. Как раз аудит информационной безопасности представляет собой один из таких процессов.

Другое весомое преимущество подобных услуг — получение взгляда со стороны. Эксперты отмечают, что внешний аудитор часто обращает внимание на нюансы, неочевидные для сотрудника ИБ-департамента компании.

Из каких этапов состоит аудит безопасности

В первую очередь нужно определить цель аудита: зачем он проводится, какой результат должен быть получен, и как он будет использоваться. Уже после этого разрабатывается конкретная программа, в которой описываются все шаги, которые будут предприняты. Эксперты отмечают, что она должна быть максимально понятной и прозрачной для всех участников процесса. Также в ней должен быть план-график самого аудита и план проведения интервью. Этой частью лучше не пренебрегать: специалисты должны определить, с кем они будут общаться и на какие темы.

Что дает аудит ИБ заказчикам: пример дорожной карты на год

При этом в зависимости от цели аудита может быть использован самый разнообразный инструментарий. Это и средства инвентаризации элементов ИТ-инфраструктуры, и сканеры уязвимостей, и отдельные самописные инструменты, автоматизирующие те или иные проверки, и, конечно, вендорское ПО для диагностики состояния конкретной технологии. Некоторые виды аудита, например, анализ кода, точно невозможны без специальных инструментов.

Как выбрать правильную компанию-аудитора

Эксперты советуют в первую очередь обращать внимание на предлагаемую методологию проведения работ. Важно, чтобы аудит ИБ был комплексным и затрагивал все возможные области: от бизнес-процессов до отдельных элементов ИТ-инфраструктуры.

Компания-подрядчик должна быть готова проводить работы не «по фотографии», а путем очных интервью и ручных (либо полуавтоматизированных) проверок конфигураций. Уже на этапе пресейла целесообразно запрашивать методику аудита, ресурсный план проекта, план интервью, резюме специалистов и так далее.

Специалисты указывают и на то, что важно не забыть запросить благодарственные письма и примеры уже проведенных аудитором проектов.

Комплексный подход к аудиту ИБ

Сроки, стоимость и окупаемость проекта

Тут важно понимать, что аудит информационной безопасности целого предприятия — достаточно масштабируемая услуга. В отдельных случаях она будет затрагивать одну или несколько небольших систем, в других — всю корпоративную инфраструктуру. И стоимость проекта, само собой, сильно зависит от объемов работы.

Вместе с тем, об окупаемости аудита безопасности, как и любых других мероприятий, связанных с ИБ-департаментами, говорить достаточно сложно. Действительно работающих методик оценки окупаемости пока не существует. Впрочем, большая часть рынка сходится на том, что аудит ИБ при правильно поставленной цели — нужная инвестиция, которая обязательно себя окупит.

Пример удачного кейса

Один из самых свежих примеров 2018 года — экспертный аудит ИБ в одном из банков с последующей разработкой стратегии информационной безопасности. Проект был выполнен компанией «Инфосистемы Джет», ежегодно реализующей более 50 различных проектов по аудиту информационной безопасности.

Другой пример — масштабный аудит для одной из крупнейших компаний страны, над которым параллельно работали 25 специалистов. В сжатые сроки специалисты «Инфосистемы Джет» обследовали информационные системы, средства защиты и АСУ ТП предприятий заказчика по всей стране. На выходе компания получила дорожную карту мероприятий по информационной безопасности на ближайшие 2-3 года.

За дополнительной информацией можно обращаться к специалистам компании «Инфосистемы Джет».

Аудит безопасности объекта

В настоящее время практически каждый коммерческий или промышленный объект оснащен охранными системами. В ходе эксплуатации оборудование изнашивается и требует определенных изменений. В сфере обеспечения безопасности постоянно появляются инновационные технологии, которые отвечают современным требованиям. Поэтому в случае возникновения потребности, каждый руководитель объекта любого типа может усовершенствовать установленную защитную линию.

Для оценки состояния оборудования и эффективности его работы необходимо проводить аудит системы безопасности.

Аудит представляет собой проведение комплексных мероприятий, направленных на определение состояния линии безопасности и контроля. Любой охранный комплекс призван обеспечивать надлежащий уровень безопасности подконтрольного объекта и сохранность материальных активов. Специалисты рекомендуют проводить аудиторские мероприятия с привлечением сторонней организации. Независимые эксперты дадут оценку эффективности концепции и деятельности комплекса, а также рабочему режиму фирмы. При необходимости специализированная компания может оценить работу сотрудников охранного подразделения и внести свои предложения по поводу улучшения качества их работы.

Какие цели проведения аудиторских мероприятий на объекте

Аудит комплексов безопасности и контроля может быть внутренним и внешним. Внутренние аудиторские действия проводятся руководителями или назначенными работниками этой организации. Внешний аудит проводится сотрудниками независимой фирмы, с которой был заключен договор на предоставление такого рода услуг. Принято выделять общие цели проведения аудиторских проверок:

— Анализ имеющихся рисков, которые связаны с возможными угрозами уровню безопасности на объекте (либо относительно конкретных ресурсов);

— Оценку текущего состояния охранного комплекса и уровня защищенности;

— Локализацию специализированных мест в системе;

— Оценку оборудования на соответствие техническим требованиям и установленным стандартам в конкретной области;

— Разработку рекомендаций по внедрению новых технологий и улучшению качества работы охранной линии в целом или каждого механизма в отдельности.

Помимо вышеперечисленных целей, перед аудиторской проверкой устанавливается ряд дополнительных задач:

— Разработка политики безопасности на объекте, которая закрепляется в специальных документальных актах;

— Постановка задач и контроль над их выполнением со стороны ответственных сотрудников (например, службы охраны);

— Обучение пользователей охранных систем;

— Участие в проведении расследований в случае возникновения инцидентов и др.

Этапы предоставления аудиторских услуг относительно систем безопасности

Проведение оценки состояния системы безопасности объекта включает в себя несколько последовательных этапов:

Читать еще:  Как обойти политику безопасности

— Инициирование проведения аудиторской проверки;

— Сбор необходимой информации и выполнение комплексных мероприятий, направленных на получение сведений, соответствующих действительности;

— Анализ полученных данных;

— Разработку и предоставление рекомендаций по улучшению качества работы системы безопасности, установленной на подконтрольной территории;

— Предоставление отчетной документации.

Инициирование проведения проверки текущего состояния системы безопасности осуществляет руководитель объекта или лицо, которое имеет необходимые полномочия. На сегодняшний день существует ряд специализированных фирм, предоставляющих такого рода услуги. Все виды работ осуществляются исключительно после составления договорной документации. Оплата за проведение аудита взимается согласно установленной ставке на конкретный вид услуг в этой фирме. Определить однозначную стоимость работ по Российской Федерации не представляется возможным, поскольку на установление цены влияет ряд индивидуальных факторов (тип объекта, объем работ, масштабность охранного комплекса и т. п.).

Что включает в себя экспертная проверка охранного комплекса

На сегодняшний день достаточно актуальным стал мониторинг системы внутреннего контроля. Выполнение мониторинговых и анализирующих действий позволяет получить информацию о состоянии охранного комплекса в настоящее время. Получив определенные сведения, руководитель может принять меры по улучшению качества работы защитной линии и повышению уровня охраны объекта.

Несмотря на то что многие фирмы имеют собственную службу безопасности, взгляд со стороны и проведение оценки состояния оборудования позволит выявить недостатки в работе механизмов и исправить их.

Аудит безопасности объекта, как правило, включает в себя выполнение ряда действий:

— Оценку качества работы и технических характеристик устройств, комплектующих охранную систему;

— Анализ качества технических линий;

— Оценку эффективности внутреннего распорядка, установленного на объекте;

— Проверку соблюдения всех установленных правил безопасности сотрудниками предприятия (организации или учреждения);

— Оценку эффективности и качества работы охранного подразделения или отделения вневедомственной охраны;

— Разработку концептуальных подходов к улучшению работы линии защиты;

— Предоставление консультаций и рекомендаций относительно личной или общественной безопасности субъектов;

— Составление отчета и передачу фактических документов руководителю или уполномоченному лицу.

Оценка состояния информационной защищенности

В настоящее время одним из основных направлений аудиторских проверок является оценка состояния защищенности информационных систем. В век электронных технологий информационные системы содержат множество персональных данных субъектов, а также конфиденциальную информацию. Поэтому в первую очередь необходимо позаботиться о защищенности информации на объекте. Для определения уровня защищенности информационных данных установлены определенные критерии и стандарты.

Контроль системы информационной безопасности должен осуществляться на высшем уровне и иметь достаточную степень защиты от утечки информации и последующего использования ее в незаконных целях. Выделяют несколько видов аудита линий информационной защиты:

— Соответствующий установленным стандартам и требованиям.

Активные аудиторские услуги являются самыми распространенными в сфере систем информационной безопасности. Все проверочные действия выполняются с точки зрения так называемого злоумышленника, который обладает достаточными знаниями в области компьютерных технологий. Для выполнения проверки используется специализированное программное обеспечение. Квалифицированные специалисты собирают информацию о текущем состоянии линии информационной защиты путем моделирования различных сетевых ситуаций. В случае обнаружения возможности утечки персонифицированной информации, аудитор предлагает различные решения по усовершенствованию существующего комплекса безопасности. Некоторые компании предоставляют программное обеспечение собственной разработки, которое позволяет установить необходимую степень информационной защиты.

Экспертные аудиторские действия заключаются в сравнении текущего состояния охранного комплекса и установленных стандартов.

Самым распространенным способом получения информации в ходе экспертной оценки является интервьюирование сотрудников и ответственных лиц. По результатам экспертной оценки в существующую систему безопасности могут вноситься изменения путем установки дополнительного оборудования или программного обеспечения. В случае ненадлежащего уровня информационной защиты, аудитор может предложить установку нового комплекса с учетом всех необходимых требований.

Аудиторские операции на соответствие стандартам заключаются в проведении проверки и оценки текущего состояния устройств и механизмов, их технической характеристики, эффективности работы. После сбора информации аудитор выполняет сверку полученных данных с установленными требованиями. В отчете содержатся обязательные ссылки на нормативные документы. Как правило, такой тип аудиторской проверки проводится при необходимости сертификации или лицензирования предприятия.

Аудит ИБ в крупных компаниях: инструкция по применению

Чтобы понять, что собой представляет комплексный аудит информационной безопасности, стоит взглянуть на вопрос с практической точки зрения: что нужно учесть, чтобы проектная команда хорошо сделала свою работу, не сорвала при этом сроки и попала в ожидания заказчика. Статья от эксперта компании «Инфосистемы Джет» будет полезна тем, кто проводит внешний ИБ- или ИТ-аудит, а также менеджерам внутренних ИТ- и ИБ-проектов.

Введение

Под комплексным аудитом будем понимать следующие работы, проводимые в рамках одного проекта:

  • тестирование на проникновение;
  • аудит процессов ИБ;
  • обследование ключевых бизнес-систем и бизнес-процессов;
  • анализ конфигураций элементов ИТ-инфраструктуры;
  • обследование процессов обработки ПДн и режима КТ;
  • разработка рекомендаций для повышения уровня зрелости процессов ИБ.

Наверняка все помнят детские задачки из серии «из пункта А в пункт Б вышел пешеход, двигающийся со скоростью 5 км/ч, а также выехал велосипедист со скоростью 15 км/ч…»

Рисунок 1. Визуализированная детская задачка

Добавим немного переменных, присущих проекту по комплексному аудиту ИБ в крупной компании (для примера приведены числовые показатели аудита, проведенного в 2018 году):

  • обследование головного офиса и 7 дочерних организаций;
  • анализ 60 информационных систем, 50 средств защиты и 8 комплексных АСУ ТП;
  • разработка дорожной карты мероприятий ИБ;
  • 2,5 месяца и более 25 работников на проекте.

В результате получаем неформализованную задачу, которая выглядит примерно так:

Пять проектных команд выехали из пункта А в пункт Д с разной скоростью. Что нужно сделать, чтобы в соответствии с планом-графиком все команды пришли в точку Д, куда они договорились прибыть одновременно, при этом заехав по пути в филиалы Б, В и Г, сохранив нервы менеджера проекта и главного конструктора и тратя на сон более 5 часов в день.

В своей работе мы по многим направлениям используем заранее подготовленные «напоминалки», так называемые чек-листы — они помогают во многом структурировать и упорядочить проектную деятельность. Это отличный инструмент для напоминаний, позволяющий не забыть базовые вещи.

Любой проект глобально можно разделить на три основных блока:

  • подготовка к проведению аудита;
  • сбор свидетельств аудита и анализ полученных данных;
  • разработка рекомендаций и презентация результатов.

Подготовка к проведению аудита

Пожалуй, самый ответственный этап, от результата которого во многом зависит успех всего проекта. Мероприятия этого этапа направлены на формирование четкой координации внутри проектной команды, согласование с заказчиком подходов, методов и сроков проведения каждого этапа аудита.

Составьте профиль заказчика. Заранее проанализируйте информацию в СМИ о возможных произошедших инцидентах ИБ, утечках информации, о реализованных ИТ- и ИБ-проектах, о расширении бизнеса либо приобретении новых активов, ИТ- и ИБ-закупках. Подготовьте типовые риски, характерные для сферы деятельности компании. Данная информация поможет определить ключевые точки, на которые стоит обратить особое внимание при проведении работ (например, compliance или безопасность сегмента АСУ ТП).

Помогите заказчику подготовить бизнес к проведению работ. Зачастую внутренний менеджер со стороны заказчика упускает этот этап, и при согласовании встреч мы можем получить негатив — работники не понимают необходимость проведения работ, и в рамках какого проекта такие интервью запланированы. Подготовьте небольшую памятку о проводимых работах для вовлеченных в проект специалистов.

Правило хорошего тона — план проведения интервью. Проработайте документ с заказчиком совместно. Хорошая практика — заранее запросить оргштатную структуру и на основании нее подготовить план-график «в первом приближении». Чтобы представитель со стороны заказчика не гадал, контакты какого специалиста поставить под общей темой «повышение осведомленности» — HR, отдел обучения или отдел информационной безопасности — лучше добавить некоторую избыточность, то есть детально расписать предполагаемые темы общения в плане.

Читать еще:  Исполнявший код безопасности

Договоритесь о применимых способах сбора информации. Использование камеры смартфона значительно ускоряет проектную работу (вместо того, чтобы сначала запрашивать скриншоты, а после ждать их предоставления), однако для некоторых компаний такой способ сбора неприемлем.

Заранее согласуйте с заказчиком план-проспект отчета. План-проспект — документ, содержащий в себе структуру разделов, обезличенные примеры их наполнения, пример описания рекомендаций. Заранее договоритесь, как будут документироваться отдельные активности в рамках проекта. Например, необходимо ли вынесение результатов тестирования на проникновение в отдельный отчет? Может быть, анализ защищенности обрабатываемых персональных данных целесообразнее предоставить в виде отдельной аналитической записки?

Проведите нормоконтроль согласованных план-проспектов отчета. Зачастую в крупных компаниях существует свой формат предоставления отчетной документации, свой набор стилей для документов и их оформления. Работа проектной команды в уже отформатированных отчетах поможет сохранить огромное количество времени группе нормоконтроля — гораздо проще править ошибки в заполненном шаблоне, чем с нуля форматировать 1000-страничный отчет.

Создайте отдельную проектную область с иерархией папок. Четкое понимание, где должны храниться полученные документы от заказчика, куда необходимо выкладывать драфты документов на согласование, в какой области хранятся финальные документы на конкретную дату, поможет в дальнейшем не запутаться и не получить ситуацию, когда разные специалисты работали в разных документах.

Определите способ формирования проектных команд и выделите руководителей в каждой из них. В рамках проведения работ мы используем два сценария: когда проектные команды формируются в зависимости от выполняемых функций (например, группа сетевой безопасности, группа compliance, группа, занимающаяся обследованием ИС, и пр.) или когда в каждой команде присутствует профильный специалист каждого направления.

Создайте отдельную группу почтовой рассылки для участников проекта. Это сэкономит время и избавит от необходимости каждый раз добавлять в адресаты всех участников проекта. Таких рассылок мы создаем, как правило, несколько: для руководителей команд, для пентестеров и пр. Хорошей практикой является создание отдельного чата, например, в What’s App, для быстрой координации внутри команды.

Согласуйте формат нахождения аудиторов на площадке. Проведение аудита, как правило, занимает от 2 недель и более. Большую часть этого времени аудиторы обычно находятся на площадке заказчика. Распространенная практика — бронирование отдельной переговорной комнаты для всей проектной команды на время аудита или организация отдельных рабочих мест.

Выделите отдельную роль — внутренний администратор проекта. Выделение такой роли обоснованно, когда заказчик имеет большую филиальную сеть и в область аудита входит несколько площадок. Функции такого специалиста:

  • отслеживание сроков предоставления свидетельств/документации;
  • сбор с руководителей команд информации, которую необходимо запросить;
  • вычитка отчетной документации;
  • работа с проектной областью — выкладывание материалов, наведение порядка;
  • работа с со службой нормоконтроля и пр.

Соберите заранее всю информацию в одном месте. Вся информация, которая необходима для старта проекта и согласования проведения каких-либо работ (удаленного доступа, тестирования на проникновение и пр.), должна храниться в одном доступном месте. Примерами могут быть паспортные данные проектной команды, шаблон Letter of Authorization (LOA), запрос e-mail-адресов, исключаемых при проведении фишинга, требования к организации рабочего места пентестера, серийные номера ноутбуков для оформления пропуска и пр.

Сбор свидетельств аудита

Как говорит один наш коллега, «консультант должен жить у заказчика, должен жить его проблемами». С точки зрения работы с большим количеством людей и объемом собираемой информации, сбор свидетельств аудита — это самый длительный и сложный этап, в рамках которого участники проекта буквально живут на площадке и общаются с профильными специалистами.

Распечатайте несколько экземпляров NDA, подписанных с заказчиком, и возьмите их с собой. Зачастую представители заказчика отказываются общаться, не будучи уверенными в том, что все формальности соблюдены.

Не аудит, а обследование. Позиционируйте проведение работ как обследование процессов обеспечения ИБ, слово «аудит» зачастую заставляет нервничать интервьюируемых работников.

Записывайте сразу в ноутбук. В бумажных записях больше минусов, чем плюсов (затруднен поиск информации, нет под рукой уже полученной ранее информации и пр.), к тому же, записанное на бумаге все равно придется позже оцифровывать.

Не используйте диктофон при сборе информации. На оцифровку материала придется потратить уйму времени, а интервьюируемые при виде диктофона зачастую чувствуют себя неуютно.

Используйте принцип одного окна при запросе информации. Мы используем схему, когда руководитель каждой команды в конце рабочего дня формирует для администратора проекта перечень запрашиваемой информации. Администратор обобщает эти данные в единый файл и ведет его совместно с заказчиком — отслеживает сроки получения информации, в случае необходимости эскалирует на руководство.

Выделяйте час рабочего дня ежедневно на формирование кратких отчетов о проведенных встречах и их согласование. Такой документ содержит в себе ключевые тезисы проведенного интервью, минимизирует риск того, что часть информации была упущена или неправильно интерпретирована.

Сообщайте о критических уязвимостях сразу. В рамках проекта мы готовим еженедельную справку о найденных критических недостатках, которые рекомендуем устранить немедленно.

Валидируйте собираемую информацию частями. Мы рекомендуем заранее, еще до предоставления отчетной документации, согласовывать с заказчиком отдельные разделы отчета — например, описание процессов ИБ или лист оценки защищенности ИС. Чем раньше промежуточные результаты будут согласованы, тем меньше вероятность, что полученный результат не попадет в ожидания заказчика.

Договоритесь о периодических перерывах для оформления полученной информации. Мы стараемся использовать следующую схему: 2-3 дня интервью — 1 день паузы. Данное время позволит структурировать полученную информацию, выделить пробелы при сборе информации.

Проводите еженедельные статусные встречи с участием руководителей команд и представителями заказчика.

Разработка рекомендаций и презентация результатов проекта

Аналитический этап, в рамках которого разрозненные данные структурируются, обрабатываются и оцениваются. Проектной командой осуществляется разработка рекомендаций и визуализация полученных результатов и итогов проекта.

Подготовьте к отчетным документам отдельную справку для руководства. Включите в документ краткую информацию о проведенном аудите, ключевых недостатках и точках роста.

Согласуйте формат проведения нормоконтроля отчетной документации. Вычитка (нормоконтроль) сотен страниц занимает большое количество времени. Чтобы этот процесс не затягивал общий ход работ, мы используем следующий подход (заранее согласованный с заказчиком): верстка и устранение «подчеркнутого красным» первого драфта отчета и последующая полная вычитка с корректировкой синтаксиса финального согласованного отчета.

Проведите внутреннюю презентацию результатов проекта. Презентуйте результаты работ проектной команде — это позволит лучше подготовиться к ответам на возможные вопросы бизнеса.

Храните все материалы, собранные в рамках работ, в одном месте. Зачастую заказчики просят нас структурировать запрошенные в рамках аудита свидетельства (например, по процессам ИБ/технологиям/др.) и предоставить их вместе с результатами работ для внутреннего хранения.

Выводы

Описанные в данной статье советы не являются исчерпывающими. Здесь мы, скорее, поделились показательными примерами тех практик, которые используем при проведении аудита. Каждый новый проект уникален, с каждым новым заказчиком мы учимся чему-то новому и расширяем наши «чек-листы», чтобы «пешеход и велосипедист, выехавшие из точки А в точку Б, догнали друг друга и доехали до конца маршрута одновременно».

Ссылка на основную публикацию
Adblock
detector