Аудит IT-безопасности — надуманность или необходимость для бизнеса

Защищенность IT-инфраструктуры, безопасность программных активов, контроль уязвимости баз данных – это лишь самый незначительный перечень причин, которые волнуют руководителей и заставляют задуматься об аудите информационной безопасности компании.

Безопасность информационной среды предприятия подразумевает под собой не только меры по предотвращению от несанкционированного доступа и копирования данных, но и полный комплекс мероприятий, связанный с регулярной аттестацией профессиональной пригодности персонала.

Экспертная оценка состояния защищенности информационного пространства предприятия производится на основании широкой номенклатуры ГОСТ, ГОСТ Р, ISO и EN в области безопасности ИТ-систем.

Опытные руководители крупных и даже мелких компаний уже усвоили факт, что каждому успешному и долгоживущему бизнесу необходима ИТ-стратегия, которая в свою очередь, для успешной реализаии, требует надлежащей оценки ИТ-безопасности — качественного и непредвзятого аудита ИТ-безопасности.

Что подразумевает под собой аудит IT безопасности

Переносимость, адаптируемость, инкапсуляция, уязвимость – только малая часть аспектов касающихся IT-безопасности любой организации. Чтобы оградить себя и своих сотрудников от непреднамеренной порчи, утери или распространения критически важных данных, программно-информационная среда, в которых осуществляется сбор и хранение данных, должны соответствовать ряду ключевых требований.

Анализ, верификация и валидация систем обработки информации предполагает под собой следующие мероприятия:

• определение атипичной активности в части перераспределения и переноса данных;

• формирование запросов и фильтрация данных для получения необходимой информации, касающейся безопасности бизнес-процессов компании;

• назначение ответственных руководителей для контроля за информационными активами организации;

• инструктаж персонала за соблюдением конфиденциальности  персональных данных и данных, касающихся производственной деятельности и технологических процессов предприятия;

• тестирование на незаконное проникновение в банк данных (пентест);

• аттестация информационных ресурсов на соответствие требованиям действующих нормативов. Технические правовые акты, национальные, а также межгосударственные стандарты в области безопасности информации, защиты персональных данных и пользовательских информационных систем: ФЗ-152, 21-ый и 17-ый приказы ФСТЭК, серия стандартов ГОСТ Р ИСО 27001, региональные требования и нормы по защите информации в финансовых структурах (СТО БР ИББС-1.0, 382-П).

ИТ-аудит – неотъемлемая часть независимой оценки качества бизнес-процессов компании, ее репутации и рыночной стоимости.

По результатам аудита организации выдается специальное свидетельство, что она соответствует критериям защиты и безопасности обращения информации в условиях своей деятельности. Данное удостоверение не только подчеркивает высокий статус компании, но и служит основанием для повышения доверительной способности потенциальных клиентов.

Этапы аудита IT-безопасности предприятия

 В общем случае, прохождение аттестации безопасности автоматизированных информационных систем компании, подразумевает под собой следующий перечень мероприятий:

1. Формирование регламента проведения аудита

На данном этапе производится разработка требований к составу и последовательности проведения работ. Основное практическое назначение такого технического документа  – установление границ проведения аудита (перечень структурных подразделений, автоматизированных систем, штата сотрудников и.т.д). Во избежание конфликтных ситуаций между заказчиком и исполнителем, здесь же прописываются ответственности и взаимные обязательства сторон.

Как правило, регламент включает следующие данные:

• перечень и позиционирование объектов, подлежащих аудиту;
• наименование и назначение ресурсов, которые будут подвергнуты экспертной оценке (программные, информационные, физические и.т.д);
• список рабочих групп (как со стороны заказчика, так и исполнителя);
• классификация персонала и пользователей, которые расцениваются в качестве потенциальных нарушителей защищенности IT-инфраструктуры;
• последовательность и сроки проведения технического и/или инструментального аудита.

2. Сбор и обработка входных данных

Заказчиком должна быть предоставлена исчерпывающая и достоверная информация относительно наличия установленного программного обеспечения и ИС, включая защищенные банки информации. Дополнительно может проводиться выборочное интервьюирование отдельных сотрудников предприятия и заполнение опросных анкет.

3. Анализ исходных данных с целью определения состояния защищенности информационных ресурсов предприятия

Для организации подобного процесса могут быть использованы современные программно-информационные продукты, включая Positive Technologies, Appercut , SafeERP, Arbor networks, AppScan и многие другие.

4. Выявление рисков и разработка рекомендаций по повышению уровня безопасности ИС.

Как видите аудит информационной безопасности позволяет получить наиболее полную и объективную оценку защищенности информационной системы (ИС), локализовать имеющиеся проблемы и разработать эффективную программу построения системы обеспечения ИБ организации. Такой комплексный подход гарантирует стабильное развитие компании и рост прибыли — это именно то вложение средств которое окупится в 100% случаев.