Что такое аудит информационной безопасности

При рассмотрении процессов информационной безопасности часто встречается понятие «аудит». При этом речь может идти как о части внутреннего контроля за соблюдением требований информационной безопасности в организации, так и об оценке соответствия ее процессов определенным стандартам.

Что такое аудит информационной безопасности и каким он бывает

Аудит в широком смысле — это процесс независимого анализа и оценки текущего состояния определенной сферы деятельности в организации. Он проводится по заранее сформулированным критериям.

В контексте информационной безопасности аудит позволяет получить объективную оценку степени соответствия организации в целом или отдельной области ее деятельности применимым требованиям информационной безопасности. Источником этих требований могут быть:

• нормативные и методические документы (например, 152-ФЗ «О персональных данных», приказы ФСТЭК России №17 и №21 и др.); 
• российские и международные стандарты (например, ГОСТ Р 57580, ISO/IEC 27001, PCI DSS и др.);
• сборники лучших практик (например, CIS Benchmark для различных продуктов и технологий); 
• внутренние политики и стандарты организации в области информационной безопасности, сформированные с учетом перечисленных выше источников. 

Процесс аудита можно рассматривать с нескольких сторон. Его формат и участники определяются в зависимости от целей бизнеса, которые достигаются с использованием результатов аудита, применимых требований и существующих рисков информационной безопасности.

Виды аудита

Аудит бывает внутренним и внешним. Это зависит от того, кто его проводит. Внутренний аудит проводится экспертами из числа работников организации.

Внешний аудит выполняют эксперты сторонней организации. Она должна специализироваться на проведении таких работ и иметь необходимые лицензии и аккредитации. Результат таких работ — отчет об аудите, а в некоторых случаях — официальный документ, подтверждающий соответствие организации или ее отдельных частей тем или иным требованиям безопасности (сертификат, заключение, аттестат).

В зависимости от сроков проведения аудит можно разделить на периодический и непрерывный.

Периодический аудит проводится, как правило, ежегодно или раз в квартал. Он охватывает полный объем применимых требований безопасности. Позволяет оценить прогресс с момента предыдущего аудита и при необходимости скорректировать план работ в области обеспечения информационной безопасности.

Непрерывный аудит проводится на регулярной основе (ежедневно, ежемесячно) и, как правило, в автоматизированном режиме. Охватывает требования, связанные с обработкой ограниченного набора наиболее приоритетных рисков информационной безопасности. Позволяет своевременно выявлять отклонения в реализации мер противодействия этим рискам. К такому виду аудита можно отнести мониторинг работоспособности и целостности конфигураций средств защиты информации.

По методу проведения выделяют экспертно-документальный и технический аудит. Это связано с тем, что меры безопасности реализуются одновременно на нескольких уровнях. Например, физического доступа, инженерной и информационно-телекоммуникационной инфраструктуры, менеджмента.

Экспертно-документальный аудит проводится путем анализа состава и содержания действующих в организации документов по информационной безопасности, а также путем интервьюирования работников организации и (или) наблюдения за их работой со стороны. В ходе интервью эксперт задает такие вопросы. Ответы на них позволяют однозначно понять, как на практике реализованы те или иные меры безопасности.

Технический, или инструментальный, аудит проводится с использованием специальных инструментов. Они позволяют сравнить реальные параметры работы системы защиты информации с теми, которые определены документами, обнаружить известные уязвимости в IT-инфраструктуре или в реальных условиях протестировать способность системы защиты противостоять определенным атакам.

Однако однозначно можно разделить только внутренний и внешний аудит. Разделение в зависимости от плана, сроков и методов проведения аудита условно. Чаще всего разные виды аудита дополняют друг друга. Например, непрерывный проводится между периодическими, а инструментальный — параллельно с экспертно-документальным.

Процесс подготовки и проведения аудита информационной безопасности

Для проведения аудита информационной безопасности необходимо выполнить несколько предварительных условий.

Первое — определение области, или границ, аудита. Сюда относится перечисление конкретных бизнес-процессов, инфраструктуры, подразделений и территориальных площадок, которые будут изучаться в процессе аудита.

Второе условие — выбор экспертов, которые будут проводить аудит. При внутреннем аудите они, во-первых, должны обладать достаточными знаниями в области информационных технологий и информационной безопасности. Во-вторых, эксперты должны быть независимыми относительно области аудита, то есть не иметь конфликта интересов. Например, аудитор не может напрямую подчиняться руководителю подразделения, которое входит в границы аудита.

При внешнем аудите уровень квалификации аудитора и его независимость обычно не вызывают вопросов. Однако необходимо учитывать наличие у привлекаемой к внешнему аудиту организации необходимых лицензий и аккредитаций. Важен и опыт работы в той специфической сфере, к которой относится проверяемая организация (финансы, промышленное производство, информационные технологии и др.).

Третье условие — фиксация конкретных методов проведения аудита и накладываемых ограничений, особенно при проведении инструментального аудита. Часто такой аудит проводится в виде тестирования на проникновение. При этом моделируемые атаки могут создать высокую нагрузку на тестируемые ресурсы или вовсе вывести их из строя. С учетом возможных рисков и специфики деятельности организации необходимо заранее разработать и согласовать календарный план и программу аудита.

После выполнения всех описанных условий можно приступать непосредственно к проведению аудита. Роль аудитора предполагает проведение всех предусмотренных программой аудита проверок. А роль участника аудита — простые и честные ответы на вопросы и предоставление запрошенных материалов (свидетельств, или «артефактов»). Эти материалы будут являться объективным подтверждением выводов аудитора.

Хорошей практикой подготовки к прохождению внешнего аудита является заблаговременное проведение внутреннего. Такая «репетиция» позволяет снизить страх перед аудитором, продемонстрировав сам процесс проведения интервью и возможные вопросы. Кроме того, предварительно собранные в процессе внутреннего аудита свидетельства позволяют в кратчайшие сроки подготовить и предоставить их внешнему аудитору.

Результаты аудита информационной безопасности

После окончания активной части аудита аудитор проводит анализ всех полученных данных, соотносит их с применимыми требованиями безопасности и делает выводы. Результаты аудита оформляются в виде отчета или заключения о результатах.

Наиболее ценными и требующими внимания являются выводы аудитора о выявленных несоответствиях и возможностях для развития.

Несоответствия — это полностью не реализованные обязательные меры безопасности или грубые ошибки при их реализации. К несоответствиям можно отнести уязвимости, которые удалось использовать для условного нарушения безопасности инфраструктуры и данных в ней.

Возможности для развития — очевидные пути повышения эффективности и результативности реализованных мер безопасности.

Все обнаруженные несоответствия и возможности для развития должны быть зафиксированы в журнале корректирующих действий. Этот документ — трекер недостатков системы защиты информации. Они должны учитываться при планировании работ в области информационной безопасности. В нем фиксируются: недостатки, планируемые сроки и пути их устранения, а также сам факт устранения.

В некоторых случаях результат успешного (при отсутствии несоответствий) прохождения внешнего аудита — выдача нового или продление ранее выданного официального подтверждения соответствия организации (в установленных границах аудита) требованиям безопасности. Такое подтверждение может быть оформлено по-разному в зависимости от рассматриваемого нормативного документа или стандарта. Пример такого документа — сертификат соответствия требованиям стандартов ISO/IEC 27001:2022 или PCI DSS 4.0.1.