Внешний аудит информационной безопасности: когда он необходим?
7 Апр 2022
Сегодня мы расскажем, что такое внешний аудит информационной безопасности организации и когда его необходимо проводить и вообще, нужно ли это делать.
В данной статье вы сможете найти ответы на следующие вопросы:
- Что такое внешний аудит информационной безопасности?
- Чем внешний аудит ИБ отличается от внутреннего аудита ИБ?
- Кому и когда необходимо проводить внешний аудит ИБ?
- Что становится объектом аудита?
- Какие действия необходимо осуществить перед началом аудита?
- Из чего состоит аудит?
- Что получает заказчик в итоге?
Внешний аудит
Рассмотрим понятие внешнего аудита информационной безопасности. Это систематический процесс, в ходе которого независимые эксперты, в данном случае аудиторы, устанавливают степень выполнения организацией установленных критериев. Весь процесс документируется. Как уже выяснили аудит, проводит аудитор или аудиторская группа. Аудитор — это лицо, которое имеет достаточные знания в области информационной безопасности, а также обладает компетентностью, то есть является экспертом. А вот в аудиторскую группу могут входить не только аудиторы, но и технические эксперты.
Помимо внешнего аудита, есть и внутренний. Чем же они отличаются?
Внутренний аудит может проводиться штатными сотрудниками отдела информационной безопасности в организации. Он выполняется для того, чтобы оценить ситуацию в целом и провести какие-либо контрольные мероприятия или внедрить новые средства защиты информации. Внешний же должен проводиться независимой организацией, которая имеет лицензию ФСТЭК.
Кому необходимо проводить аудит ИБ?
Заказчиком проверки информационной безопасности является организация или лицо, заказавшие аудит информационной безопасности. Проведение аудитов очень важный вопрос в каждой компании, ведь проводить их необходимо систематически. Сроки определяются правовой документацией со стороны регуляторов, законами, стандартами, положениями. Например, аудит на соответствие требованиям 757-П проводится ежегодно, а оценка по ГОСТ 57580 один раз в два года. Аудит является довольно трудоемким процессом, поэтому организации следует назначить ответственного человека, который заранее распределит обязанности между сотрудниками. Как правило, такими являются сотрудники отдела информационной безопасности, также им может потребоваться помощь IT-отдела.
Вариантов аудитов информационной безопасности очень много. Проверку на соответствие требованиям необходимо проводить, например, кредитным и некредитным финансовым организациям или компаниям, которые являются операторами по обработке персональных данных, объектам критической информационной инфраструктуры.
В первом случае компании нужно будет как минимум проводить аудит по ГОСТ Р 57580.1–2, нередко к нему добавляется тестирование на проникновение. Вторым же нужно проводить аудит на соответствие №152-ФЗ «О персональных данных». Третьим нужно соответствовать №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Помимо аудитов на соответствие, тем или иным документам, есть технические аудиты и экспертизы. Нередко аудиты носят смешанный характер.
Цели аудита
Целью аудита является получение оценки состояния информационной безопасности организации заказчика. Такая оценка должна являться объективной и независимой. Для того чтобы получить данную оценку, экспертам необходимо изучить:
- IT-процессы;
- Бизнес-процессы;
- Внутреннюю организационно-распорядительную документацию в сфере защиты информации, а также модель угроз;
- Информационные системы, входящие в область оценки;
- Применяемые средства защиты информации, а также средства криптографической защиты информации, если такие имеются;
- Электронные свидетельства, которые могут быть предоставлены проверяемой компанией;
- Интервью сотрудников.
Стоит отметить, что аудиторы, при проведении проверки на соответствие, работают с конфиденциальной информацией. Так как аудит может проводиться удаленно, то организации должны позаботиться о конфиденциальном канале передачи данных, чтобы обеспечить техническую защиту. Делается это для того, чтобы информация ограниченного характера не вышла за пределы. Также необходимо заключить соглашение о неразглашении (NDA) между проверяемой и проверяющей организациями.
Итоги аудита
После проведения оценки соответствия заказчик получает отчет, который содержит в себе:
- Сведения о проверяемой и проверяющей организациях;
- Описание ИТ-инфраструктуры организации;
- Оценку, полученную в ходе аудита;
- Рекомендации по устранению недостатков и повышению уровня защиты системы информационной безопасности организации.
Данный отчет необходимо будет предоставлять по просьбе регулятора. Основными регуляторами в области информационной безопасности являются ФСБ России. ФСТЭК России и ЦБ России.
Резюмируя, можно сделать вывод, что внешний аудит информационной безопасности может понадобиться каждой компании, которая заботится о своей информационной безопасности.