logo
 

Как проводится аудит информационной безопасности в финансовой организации



Как проводится аудит информационной безопасности в финансовой организации

Аудит информационной безопасности проводится, для определения уровня зрелости ключевых процессов информационной безопасности, а также для получения общей картины состояния информационной безопасности компании, эффективности применяемых в ней технических и организационных мер защиты информации, недостатках, существующих в процессах обработки конфиденциальной информацией, а также об уязвимостях, которые создают угрозы проникновения нарушителя во внутреннюю инфраструктуру компании. Иными словами, это проверка способности компании к обеспечению защиты информационных активов.

Что такое аудит информационной безопасности

Аудит информационной безопасности выявляет уязвимые места системы обеспечения ИБ и IT-инфраструктуры, через которые злоумышленник может получить привилегированный доступ для кражи, модификации, шифрования или совершения иных действий в отношении информационных активов организации. Полученные данные могут быть использованы как против самой организации, так и против ее клиентов. Аудит позволяет организации определить группы информационных активов, приоритезировать их, выбрать оптимальный набор решений для обеспечения их защиты и последовательность внедрения.

Проведение аудита информационной безопасности подразумевает систематический подход к получению количественных и качественных сведений о состоянии информационной безопасности финансовой организации, ее информационных ресурсов (сайтов, веб-приложений, мобильных приложений, используемых программ, серверов, маршрутизаторов) и процессов, в которых они задействованы. Результатом выполнения проверки является создание аудиторского отчета и списка рекомендаций, направленных на повышение зрелости процессов информационной безопасности и повышении эффективности применяемых организацией защитных мер.

Специфика оценки соответствия требованиям регулятора и ее принципиальные отличия от аудита ИБ

Аудит принципиально отличается от оценки соответствия.

Результатом оценки соответствие является подготовка отчетного документа для представления в регулирующий орган. Оценка соответствия проводится по строго определенной методике, выработанной контролирующим органом. Аудит, в свою очередь, с точки зрения плана работ и выбора методики более гибкий: он учитывает собственное видение организации и консультанта, позволяя в частном порядке определять существенные и значимые моменты для определения целей, задач и областей развития. Первоочередная цель оценки соответствия – (уж простите за тавтологию) определить степень соответствия обязательным для организации требованиям, а цели аудита могут быть самыми разнообразными и включают: получение общей картины состояния информационной безопасности, определение зрелости процессов, определение реального влияния ИБ и ИТ на бизнес с точки зрения рисков информационной безопасности и информационных систем, поиск критических точек в системе обеспечения ИБ, в которых организации необходимо сфокусировать свои ресурсы.

Оценка соответствия, как разновидность аудита, позволяет финансовой организации сверяться с текущими организационными и техническими требованиями регулятора (Банка России, ФСТЭК РФ, ФСБ РФ, Роскомнадзора, Минцифры и др.) и устанавливать соответствие или несоответствие этим требованиям. В ходе работы по оценке соответствия в большинстве случаев также проводится внешнее тестирование на проникновение – имитация хакерской атаки на организацию со стороны публичных (внешних) информационных ресурсов организации.

Методика аудита ИБ

Не существует единого стандарта для аудита информационной безопасности. Для финансовых организаций методик и стандартов существует большое множество, как правило они рекомендуются к применению регулятором (например, обязательный к исполнению национальный стандарт в области ИБ для финансовых организаций ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018, а также новые стандарты ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022, пока существующие в качестве рекомендаций Банка России к обеспечению защиты от угроз информационной безопасности). Однако данные стандарты и положения в первую очередь носят обязательный характер и работа в рамках данных стандартов со стороны аудиторов равносильна работе по оценке соответствия регуляторным требованиям.

Основной на данный момент стандарт для проведения аудита информационной безопасности, применимый для любой организации вне зависимости от вида ее деятельности - ИСО/IEC 27001-2013. Аудит по данному стандарту проводится в два этапа: предсертификационный аудит, который позволяет определить гэп между текущим уровнем соответствия стандарту и целевым, и сертификационный аудит, который позволяет получить заключение сертификационного органа о соответствии организации рекомендациям стандарта. Первую часть работ могут проводить несертифицированные независимые эксперты, вторую часть только компании из списка аккредитованных поставщиков услуг, члены организации United Kingdom Accreditation Service (UKAS).

Анализ защищенности информационных систем проводится на основе разных стандартов, среди которых PCI DSS, SWIFT, ISO 27001, 27701, 17 приказ ФСТЭК. Каждый из вариантов применяется в комплексе или по отдельности. Все зависит от целей и задач компании, а также желаемой глубины анализа. Отметим, что не все финансовые организации обязаны проходить оценку по требованиям PCI DSS или SWIFT, однако сама методология стандартов позволяет определить наиболее приоритетные задачи в области информационной безопасности, провести качественное исследование и получить результаты, которые можно положить в основу плана развития СУИБ на несколько лет вперед.

Этапы аудита информационной безопасности


1. Интервьюирование ответственных сотрудников

Анкетирование работников компании проводится с целью сбора исходных данных по состоянию информационной безопасности в организации. Интервью проводятся также с целью выявления лиц, ответственных за важные процессы и уточнения их взгляда на узкие места в этих процессах.


2. Разработка плана аудита

По результатам анкетирования разрабатывается план аудита, цели и задачи которого учитывают множество специфических моментов, включая потребности бизнес-подразделений и элементы стратегии развития компании. В качестве методологической базы независимым экспертом, консультантом, может быть предложен международный стандарт в области ИБ (например, ISO 27001), стандарт, применяемый в России в других сферах деятельности (нередки случаи, когда стандарт ГОСТ Р 57580.1-2017 применяется нефинансовыми организациями для достижения более высокого уровня зрелости ИБ процессов), а также собственную методологию аудита.


3. Анализ документации

В рамках данного этапа независимые эксперты оценивают качество применяемых в организационных мер защиты информации, а также степень документированности ИБ процессов. На данном этапе формируется предложение доработке пакета документов и регламентов в области информационной безопасности.В рамках данного этапа независимые эксперты оценивают качество применяемых в организационных мер защиты информации, а также степень документированности ИБ процессов. На данном этапе формируется предложение доработке пакета документов и регламентов в области информационной безопасности.


4. Доработка или разработка программы информационной безопасности, модели угроз информационной безопасности, регламента управления рисками информационной безопасности

Два ключевых документа организации на которых строится система менеджмента безопасности. На данном этапе эксперты совместно с заказчиком определяют необходимость создания или доработки данных документов, в соответствии с которыми будет строится дальнейший ход аудита и в целом управление ИБ в организации. Как часть программы ИБ также разрабатывается регламент управления рисками информационной безопасности.


5. Проверка применяемых технических мер защиты информации, тестирование на проникновение и анализ защищенности

Проведение обследования на основании полученных данных, проверка оборудования связи, каналов трансляции, настольных и серверных платформ, прикладного программного обеспечения. Полученные данные сопоставляются с настройками средств защиты информации: межсетевыми экранами, антивирусами, системами виртуализации. В рамках данного этапа также проверяется готовность организации к различным видам кибератак через внешние и внутренние каналы: выявляются слабые места, которые могут быть использованы для проникновения в организацию внешнего нарушителя или создания утечки со стороны внутреннего нарушителя. На основании этих данных проводится оценка рисков и степени угроз событий информационной безопасности.


6. Экспертное заключение и формирование отчета, разработка рекомендаций и дорожной карты внедрения СУИБ

Конечной точкой в аудите ИБ является разработка рекомендаций и дорожной карты внедрения новой, обновленной системы обеспечения ИБ в деятельность организации. На этом этапе происходит сравнение результатов «как есть» с «как должно быть» согласно разработанному плану аудита. Именно здесь становятся видны области, в которых необходимо сосредоточить ресурсы компании: по результатам проведения работ составляется отчет, отражающий существующие проблемы, а также перечень рекомендаций для их устранения и приведения организации к желаемому состоянию и уровню зрелости процессов.


ЗАКЛЮЧЕНИЕ

Методик и стандартов аудита ИБ существует множество. Как провести аудит информационной безопасности именно в вашей организации? Какие процессы и системы необходимо включить в анализ? Как определить оптимальный целевой уровень зрелости? На эти и другие вопросы ответят вам наши эксперты.

Заполните форму обратной связи или позвоните по телефону для получения консультации. Менеджер свяжется с вами и вместе мы разработаем оптимальное решение для вашей компании.

Другие материалы