Аудит информационной безопасности компании

В современных условиях основной целью каждой коммерческой организации является извлечение прибыли, поэтому необходимо выработать правильную стратегию для ее достижения. Но, даже если этот выбор и окажется правильным, путь к достижению цели не всегда бывает прямым и простым. Организация — это живой организм, состоящий из множества сотрудников, которые могут делать ошибки как при разработке бизнес-процессов, так и при их реализации. При этом изнутри эти ошибки не всегда бывают заметны. Нужен дополнительный независимый внутренний или внешний процесс, позволяющий с определенной регулярностью оценивать, насколько компания отклонилась от своего стратегического курса, формализовать эту оценку и представить ее руководству организации, т.е. следует провести аудит компании.

В общем виде аудит — это систематический процесс, с помощью которого компетентные и независимые оценщики собирают доказательства утверждений о каких-либо объектах или событиях с целью формирования мнения и отчета о степени соответствия данных утверждений определенным стандартам.

Аудит бывает финансовый и операционный. Финансовый аудит — это независимая проверка корректности финансовой отчетности. Для данного вида аудита важны целостность и достоверность предъявляемой информации.

Операционный аудит предназначен для оценки структуры внутреннего контроля в выделенном бизнес-процессе или в каком-либо подразделении. Аудит информационной безопасности, о котором мы будем говорить более подробно в данной статье, является разновидностью именно операционного аудита.

Информация в наше время становится стратегически важным товаром. Многие компании зависят от информации настолько, что ее утечка или даже задержка в доступе к ней может негативно сказаться на их деятельности, вплоть до полного прекращения. В связи с этим в последние годы возрастает важность построения надежной системы информационной безопасности. Проверить, насколько выстроенная или строящаяся система надежна, позволяет аудит.

Что же оценивается при аудите информационной безопасности? Известная в области защиты информации компания «Лаборатория Касперского» рекомендует придерживаться следующих общепризнанных практик.

Во-первых, оценке подлежит система управления информационной безопасностью, созданная в организации. Необходимо понять, налажена ли в компании организационная структура, позволяющая проводить мероприятия по оценке информационных ресурсов (например, выделены ли сведения, составляющие коммерческую тайну) и предоставлению доступа к данным ресурсам, по обучению и поддержанию знаний сотрудников по вопросам защиты информации, по предотвращению и реагированию на несанкционированный доступ к данным.

Вопросы, связанные с информационной безопасностью, обязательно должны быть отражены в соглашениях с третьими сторонами и при заключении трудовых договоров с сотрудниками.

Построение системы управления информационной безопасностью является для компании жизненно необходимым и достаточно трудоемким процессом, поэтому решение о ее создании и курирование должны осуществляться на самом высоком уровне. Понимая значимость оценки подобных систем, Международная организация по стандартизации (International Organization for Standardization, ISO) создала и поддерживает стандарты серии 27000, предназначенные для аудита информационной безопасности.

Следующим важным объектом данного вида аудита, по мнению специалистов «Лаборатории Касперского», является проверка уязвимых областей, связанных с логическим доступом к данным. На этом этапе необходимо оценить, как осуществляется защита от утечек данных, «логических бомб», сетевых атак и пр.

Чтобы проанализировать правильность построения мер защиты, аудитор должен вникнуть в технические и организационные особенности IT-систем организации. Следует проверить использование таких мер защиты, как идентификация и аутентификация (применяются ли обычные пароли или устройства двухфакторной аутентификации — токены, используются ли средства биометрической защиты), а также списков доступа. В связи с увеличением числа «мобильных сотрудников», осуществляющих удаленный доступ к корпоративным ресурсам, существенным этапом проверки является оценка защиты компании от угроз, связанных с подобным доступом, в том числе и с помощью таких средств, как смартфоны и коммуникаторы.

Аудитору необходимо проверить, насколько защищена сетевая инфраструктура компании. ЛВС современных организаций обладают настолько разветвленной топологией, используют такое количество программ, что бывает очень трудно разобраться в правах доступа к ним различных групп пользователей. Использование беспроводных технологий на современном этапе также предполагает широкое поле деятельности для аудитора при проверке защиты от многочисленных способов проникновения в корпоративные сети.

В настоящее время практически не осталось ни одной компании, у которой не было бы доступа в Интернет. В связи с этим специалисты «Лаборатории Касперского», регулярно проводящие аудит, настоятельно рекомендуют оценить защиту от угроз, связанных с сетями общего доступа. Оценке подлежат такие средства защиты, как межсетевые экраны, системы обнаружения и предотвращения вторжений. Конфиденциальная информация часто защищается с помощью криптографических средств. Аудитор должен проанализировать и дать оценку режиму использования этих средств. Безусловно, одна из основных современных угроз — это вредоносное программное обеспечение, поэтому важной задачей аудитора будет являться рассмотрение системы защиты от вредоносного кода на всех уровнях, начиная с периметра сети и заканчивая рабочими станциями сотрудников.

Многие компании являются территориально распределенными структурами, поэтому в целях повышения их коммуникативности они могут использовать Интернет и как средство передачи голоса (Voice-over IP). От доступности внутрикорпоративного общения зависит результат деятельности, а следовательно, аудитору необходимо тщательно оценить защиту подобной технологии.

Современный бизнес не может оставлять без внимания любую угрозу своему существованию. Одной из самых больших угроз является потеря части или даже всего бизнеса за счет техногенных и природных факторов (пожары, наводнения, землетрясения). К подобным угрозам можно отнести и антропогенные, такие, как потеря репутации и имиджа компании, например за счет недостоверных слухов. С целью защиты от этих угроз организации составляют планы восстановления и непрерывной работы, создают резервные вычислительные центры, разрабатывают стратегию копирования данных. Задачей аудитора, как считают в «Лаборатории Касперского», является проверка этих планов на предмет адекватности и своевременности, их знаний как подразделением IT, так и простыми сотрудниками компании, наличия процедуры модификации планов восстановления и поддержания непрерывности. Придавая большое значение защите от подобного рода угроз, ISO разработала стандарт 25999 (управление непрерывностью бизнеса).

Аудит информационной безопасности, как и любой аудит, необходим компании для корректировки ее стратегического курса, исправления несоответствий, обнаруженных в ходе его проведения. Вместе с тем в настоящее время в нашей стране еще не так много грамотных менеджеров, которые способны на основании отчета, представленного им аудитором, сделать выводы по изменению существующей системы информационной безопасности, сформулировать технические задачи и предъявить их поставщикам. Поэтому наравне с чисто аудиторскими компаниями, такими, как так называемая большая четверка, существуют и другие, обладающие возможностью на основе собранных данных оказать консалтинговые услуги, порекомендовать оптимальные меры и средства защиты информации.

Р. Косичкин, независимый эксперт в области информационной безопасности

«Финансовая газета. Региональный выпуск», 2008, N 52

Подписано в печать

24.12.2008