Аудит IT-безопасности

Аудит IT-безопасности – это проверка автоматизированных информационных систем, которая проводится для оценки общего уровня защищенности информации и выявления потенциальных угроз. Проверяется не только сама система, но и связанные с ней процессы. Например, если организации требуется оценить уровень защиты корпоративной сети, то проверяется и оборудование, и программное обеспечение, и политика доступа к данным.

Что расценивается как угроза

Угрозой считается любой процесс, инцидент или событие, способные привести к утечке конфиденциальной информации, утрате доступа к ней, потере или ненадлежащему использованию данных. Различают несколько категорий потенциальной опасности:

• Действия злоумышленников. К таковым относят не только внешние атаки и попытки проникновения в систему, но и угрозы, связанные с кражей или уничтожением информации собственными сотрудниками компании, например, ради мести или шантажа.
• Неосторожные и непрофессиональные действия. Это может быть использование зараженных программ, нелицензионного ПО или подключение переносного оборудования без дополнительной проверки.
• Несоблюдение элементарных правил защиты. Пренебрежение антивирусным ПО, беспорядочное хранение информации, отсутствие систем дублирования данных – действия, которые тоже часто становятся источником серьезных проблем. Как ни странно, но инциденты, связанные игнорированием элементарных правил случаются даже в компаниях с давно работающей и регламентированной системой информационной безопасности.
• Несчастные случаи и стихийные бедствия. Чаще всего потенциальную опасность представляют не экзотические угрозы (ураганы, наводнения и техногенные катастрофы), а обычные бытовые: пожар, затопление, неосторожное обращение с оборудованием, длительное отсутствие электропитания.
• Нарушение правовых норм. Потенциальную опасность для информационной системы может представлять не только хакерская атака или повреждение оборудования из-за неудачного ремонта, но и арест имущества или изъятие данных по решению суда. Чтобы этого не произошло, следует учитывать законодательные изменения, требования регулятора и сертифицирующих организаций.

Аудит информационной безопасности предприятия

Проверка IT-систем и процессов информационной безопасности может быть как внутренней, так и внешней.

Внутренний аудит

Проверка проводится силами специалистов компании. Как правило, она представляет собой настройку доступов для сотрудников, оценку защищенности компонентов и программного обеспечения, актуальность используемых технологий и лицензий. Внутренний аудит бывает  плановым или инициируется руководством предприятия.

Поводом для внеплановой проверки может являться конкретный факт нарушения безопасности или предстоящий переход автоматизированной системы на новый функциональный уровень. Комплекс мероприятий и длительность проверки прямо зависят от повода аудита и текущего состояния системы.

Внешний аудит

Проверка проводится независимыми организациями и позволяет получить объективную оценку состояния безопасности системы. Обычно внешний аудит проводят после инцидентов или в тех случаях, когда необходимо проверить соответствие ИТ-инфраструктуры правовым и законодательным актам.

Для большинства частных компаний проверка независимым аудитором является необязательной дополнительной мерой. Для некоторых финансовых организаций и крупных государственных предприятий – это юридическое обязательство, необходимость которого обусловлена высоким риском атак или критической важностью информации.

Внешний аудит необязательно заказывает руководство компании. Иногда независимую оценку информационной безопасности инициируют сертифицирующие организации или регуляторы.

Как проводят проверку информационной безопасности

Способ аудита и этапы проведения проверки прямо зависят от масштаба анализируемой инфраструктуры, задач, которые она призвана выполнять, риска внешних атак и иных параметров. Чем больше система и сложнее технологии, тем длительнее и глубже аудит.

Перед началом проверки обычно составляют техническое задание на то, каким должен быть результат. Заказчику нужно ясно представлять, какой он видит идеально работающую систему безопасности. После этого приступают непосредственно к аудиту. Комплекс мероприятий делится на обязательные этапы, выполняемые последовательно.

1. Определение глубины анализа и масштабов проверки. Идеальным решением является полный аудит с максимальной глубиной исследования. Однако на практике это не всегда целесообразно с точки зрения затрат времени и ресурсов. Баланс определяют, исходя из мотивов проверки и задач, которые ставит заказчик.
2. Сбор и систематизация данных. В первую очередь данные собираются об информации, которая генерируется, хранится и передается внутри системы. Затем проводится инвентаризация оборудования и программного обеспечения, используемого для создания, хранения и передачи информации.
3. Анализ информационных процессов. На этом этапе определяют всех участников, имеющих доступ к объектам инфраструктуры. Изучают механизмы и уровни доступа сотрудников, а также способы использования системы: как работает персонал, как генерируются, хранятся и удаляются пароли, как подключаются переносные и мобильные системы хранения данных, как организован доступ в интернет и т. д.
4. Оценка оборудования и программного обеспечения. Следующим шагом является детальный анализ всех задействованных технических средств и ПО: компьютеры и сетевое оборудование, операционные системы на серверах и пользовательских ПК, базы данных, сетевые подключения, средства интернет-коммуникации, приложения и т. д. На этом же этапе проверяют надежность хранения оборудования: серверные комнаты, сейфы, охранные и противопожарные системы.
5. Сравнение текущего состояния с тем, как должно быть. Когда все необходимые данные о функционировании системы получены, выявляют потенциальные уязвимости и слабые места, определяют вероятные риски.
6. Составление итогового отчета. Заключение о результатах аудита предоставляется руководству компании или заказчику проверки. В отчете перечисляются найденные недостатки с указанием степени их опасности, предлагаются меры по предотвращению потенциальных угроз.

Как долго проводится IT-аудит

Количество времени, которое требуется на проведение проверки, прямо зависит от масштабов инфраструктуры и поставленных задач. Срочный аудит с быстрым реагированием на обнаруженные угрозы обычно занимает до 14 дней. Процесс обследования с внедрением временных решений может продолжаться от 2 недель до 3 месяцев. Если требуется переход на новые технологии или более высокий уровень функциональности с определением новых требований и стандартов, комплекс мероприятий способен растянуться на срок более 3 месяцев. Если IT-аудит является внешним, сроки проведения указываются в договоре.

Мониторинг информационной безопасности

Мониторинг IT-безопасности – это контроль уже работающей информационной системы, имеющий цель оперативно предотвращать возможные инциденты. В отличие от аудита, он проводится не разово и не периодически, а постоянно.

С технической точки зрения мониторинг представляет собой автоматизированный сбор информации о действиях пользователей, работе оборудования и программного обеспечения. Источниками данных для средств мониторинга являются:

• журналы операционных систем;
• сервисные журналы авторизации;
• сетевое оборудование;
• антивирусные программы;
• специальные приложения для анализа защиты системы.

Содержание и количество собираемых данных прямо зависит от масштаба инфраструктуры и локальных задач мониторинга.

Решения для мониторинга ИТ-безопасности

Существуют уже готовые решения для эффективного отслеживания и предотвращения угроз. Каждое из них можно отнести к одной из следующих категорий:

• LM (Log Management) – создание централизованного хранилища журналов событий из разных источников. Информация в отчетах приводится к единой модели, что значительно упрощает анализ.
• SIEM (Security Information and Event Management) – мониторинг и обработка информации о событиях в режиме реального времени.
• UBA (User Behavioral Analytics) – сбор данных о действиях пользователей с возможностью последующего анализа и предотвращения угроз.
• UEBA (User and Entity Behavioral Analytics) – поиск аномалий в действиях пользователей, работы оборудования и программного обеспечения.
• IRP (Incident Response Platform) и SOAR (Security Orchestration, Automation and Report) – обнаружение инцидента и автоматическая генерация задачи на расследование и реагирование.
• TIP (Threat Intelligence Platform) – получение оперативной информации о прецедентах атак где-то в мире и возможность выявления и предотвращения аналогичных злонамеренных действий в конкретной системе.
• IDS (Intrusion Detection Systems) и IPS (Intrusion Prevention Systems) – анализ копии трафика и блокировка вредоносного вмешательства. Аналог антивирусного ПО для сети.
• NTA (Network Traffic Analysis) и NBA (Network Behavior Analysis) – запись трафика для последующего исследования. Используются в качестве дополнения к решениям типа SIEM, UBA и UEBA.
• EDR (Endpoint Detection and Response) – дополнительная телеметрия, расширяющая и унифицирующая функции штатных журналов операционных систем.

Необходимость использования того или иного решения определяется ситуацией. Наиболее универсальными и распространенными являются системы категорий SIEM, UBA и UEBA.

Как правило, готовые решения для мониторинга информационной безопасности включают в себя следующие компоненты:

• Программный агент – собирает данные из разных источников.
• Хранилище информации – содержит все полученные данные. Чаще всего собранная информация хранится от нескольких дней до 2-3 месяцев, срок зависит от политики контроля.
• Сервер – способствует проведению централизованного анализа полученной информации с учетом задач и правил мониторинга.
• Консоль – позволяет просматривать журналы событий, работать с сервером и обращаться к хранилищу данных.

Кроме того, требуется обслуживающий персонал и регламент работы. Для этого обычно создается центр мониторинга по обеспечению информационной безопасности. Команда специалистов центра занимается сбором и анализом полученных данных, выявляет и предотвращает возможные инциденты.

Мониторинг рассчитан на обработку огромного количества информации в автоматическом режиме и быстрое реагирование на угрозы. Постоянный контроль, безусловно, является очень эффективной мерой защиты, однако он не исключает необходимости проведения IT-аудита всей инфраструктуры хотя бы раз в год. Технологии развиваются очень быстро, меняются законы, требования и технические стандарты. Комбинированный защитный подход всегда является лучшим в обеспечении безопасности.