Сегодня информация – один из главных активов любого бизнеса. Интернет-технологии дают огромные возможности для развития и заработка. Но они же открывают широкий простор для мошенников. Поэтому компании вынуждены защищать свои системы – с помощью технических, программных и организационных мер.
Но система безопасности не может работать сама по себе. Её нужно постоянно проверять. Для этого существует аудит информационной безопасности. Разберёмся, что это такое, зачем нужен и какую пользу приносит.
Что такое аудит ИБ
Для российского бизнеса это понятие сравнительно новое. Но сегодня его всё чаще используют компании, которые понимают ценность защиты данных.
Аудит ИБ – это внешняя проверка системы, которая защищает информацию. Проводится независимым специалистом – это гарантирует объективность. По результатам составляется подробный отчёт: что работает, что не работает, что нужно исправить.
Аудит помогает собственникам и руководителям увидеть реальное положение дел, найти слабые места и понять, что делать дальше. При правильном подходе это позволяет построить эффективную систему защиты, которая подходит под конкретный бизнес и не требует лишних расходов.
Кому нужен аудит ИБ
Эта мера необходима любой компании, которая хочет развиваться. Особенно тем, кто:
- использует корпоративные сети;
- имеет собственный сайт;
- принимает онлайн-платежи;
- собирает и обрабатывает персональные данные.
Многие ошибочно думают, что аудит ИБ нужен только крупному бизнесу. На самом деле угрозы одинаково опасны для компаний любого размера. Но у крупных фирм больше ресурсов на защиту. Для среднего и малого бизнеса аудит ещё более актуален – одна успешная атака может поставить крест на всём деле.
Как проходит аудит ИБ – основные этапы
Аудит проводится на основании договора между заказчиком и аудиторской компанией. В договоре прописывают требования, порядок и объём проверки.
Обычно процесс выглядит так:
1. Определение требований
Руководство решает, что и как проверять. Лучше всего провести полную проверку по всем направлениям. Но если бюджет ограничен, можно сузить зону проверки. Например, если в разных отделах используются одинаковые системы, можно проверить один отдел, а остальные – по выявленным ошибкам.
2. Сбор данных
Аудиторам нужна информация о том, какие данные создаются, хранятся и передаются в компании. Проводится инвентаризация оборудования и программ.
3. Проверка информационных процессов
Изучается работа на местах. Проверяются:
- как персонал работает с информацией;
- как обучаются специалисты по ИБ;
- внутренние документы о конфиденциальности;
- управление доступом к данным;
- защита от вирусов и мониторинг событий;
- шифрование, пароли, хранение, резервное копирование;
- использование съёмных и мобильных устройств;
- доступ в интернет и электронная почта;
- доступ к данным для сторонних лиц.
4. Проверка оборудования и программ
Оцениваются компьютеры, сетевое оборудование, антивирусы, межсетевые экраны, базы данных, операционные системы и приложения. Проверяются и физические хранилища – сейфы, архивы, сигнализация.
5. Оценка результатов
Выявляются уязвимости и недостатки, определяются риски.
6. Составление отчёта
В документе описываются все мероприятия, найденные проблемы и степень угроз. Даются рекомендации по устранению недостатков.
Как оценивать результаты аудита
Рекомендуется ориентироваться на международный стандарт ISO 17799. Отчёт должен быть оформлен по его положениям, полностью раскрывать результаты и отражать объективное мнение аудитора. В нём должна быть указана степень опасности каждой угрозы и приоритетность её устранения.
Почему аудит ИБ не всегда популярен
Многие российские компании до сих пор отказываются от независимой проверки. Руководители не осознают, насколько важна защита информации для стабильности бизнеса. Они видят в аудите только лишние расходы. А ведь своевременная проверка позволяет устранить уязвимости и избежать серьёзных проблем.
Примеры из жизни
Кража данных перед увольнением
В одной компании сотрудник с доступом к секретной информации увольнялся. USB-порты на его компьютере были заблокированы. Но аудит показал, что он скопировал данные по внутренней сети на компьютер друга. Тот освободил место и дал доступ. Увольняющийся скопировал файлы на флешку. Аудит выявил это вовремя – утечку предотвратили.
Уязвимость на сайте госструктуры
При проверке сайта государственного органа обнаружили уязвимость PHP-injection и небезопасные настройки сервера. Хакеры могли получить полный доступ. Взлом привёл бы к утечке данных, в том числе государственной тайны. Уязвимость устранили вовремя.
Фриланс в рабочее время
В компании по элитным ремонтам заметили резкий рост переписки через личный ящик одного сотрудника. Проверка показала – он в рабочее время брал сторонние заказы и использовал лицензионное ПО компании для фриланса.
Сколько стоит аудит ИБ
Цена рассчитывается индивидуально – от десятков до сотен тысяч рублей. Зависит от масштаба компании, сложности инфраструктуры и объёма работ.
Но это вложение окупается многократно. Профессиональная проверка устраняет угрозы, которые могут нанести ущерб, сопоставимый с годовым бюджетом компании.
Главное
В современных условиях аудит информационной безопасности – почти обязательная мера. Да, он требует затрат. Но эти расходы окупаются уверенностью в защищённости бизнеса от угроз. Главное – выбрать надёжного исполнителя.
Комментарии
Пока нет отзывов