Аудит безопасности

Аудит безопасности — это систематическая оценка безопасности информационной системы компании путем измерения того, насколько она соответствует установленному набору критериев. В ходе тщательного аудита обычно оценивается безопасность физической конфигурации системы и окружающей среды, программного обеспечения, процессов обработки информации и методов работы пользователей.

 

Аудиты являются одним из трех основных видов диагностики безопасности, наряду с оценкой уязвимостей и тестированием на проникновение. Аудиты безопасности измеряют работу информационной системы по списку критериев. Оценка уязвимостей — это всестороннее исследование информационной системы в поисках потенциальных слабых мест в системе безопасности. Тестирование на проникновение — это скрытый подход, при котором эксперт по безопасности проверяет, может ли система противостоять определенной атаке. Каждый подход имеет свои сильные стороны, и использование двух или более подходов в сочетании может быть наиболее эффективным.

Организациям следует разработать план аудита безопасности, который можно повторять и обновлять. Для достижения наилучшего результата в процесс должны быть вовлечены заинтересованные стороны.

Когда необходим аудит безопасности?

Частота проведения аудита безопасности зависит от отрасли, в которой работает организация, требований ее бизнеса и корпоративной структуры, а также от количества систем и приложений, подлежащих аудиту. Организации, которые работают с большим количеством конфиденциальных данных - например, финансовые службы и поставщики медицинских услуг - скорее всего, будут проводить аудит чаще. Организациям, использующим только одно или два приложения, легче проводить аудиты безопасности, и они могут проводить их чаще. Внешние факторы, такие как нормативные требования, также влияют на частоту аудита.

Многие компании проводят аудит безопасности не реже одного-двух раз в год. Но они также могут проводиться ежемесячно или ежеквартально. Различные отделы могут иметь разные графики аудита в зависимости от используемых ими систем, приложений и данных. Рутинные аудиты - будь то ежегодные или ежемесячные - могут помочь выявить аномалии или закономерности в системе.

Однако ежеквартальные или ежемесячные аудиты могут быть более частыми, чем те, на которые у большинства организаций есть время или ресурсы. Определяющие факторы в том, как часто организация решает проводить аудиты безопасности, зависят от сложности используемых систем, а также от типа и важности данных в этой системе. Если данные в системе считаются важными, то такую систему можно проверять чаще, но сложные системы, на проверку которых требуется время, можно проверять реже.

Организация должна проводить специальный аудит безопасности после утечки данных, обновления системы или миграции данных, а также при изменении законов о соответствии, при внедрении новой системы или при увеличении числа пользователей. Такие разовые аудиты могут быть направлены на конкретную область, где событие могло открыть уязвимости безопасности. Например, если только что произошла утечка данных, аудит затронутых систем поможет определить, что пошло не так.

Почему аудит безопасности необходим?

Существует несколько причин для проведения аудита безопасности. Они включают в себя следующие шесть целей:

  1. Выявить проблемы и пробелы в безопасности, а также слабые места системы.
  2. Установить базовый уровень безопасности, с которым можно сравнивать результаты будущих аудитов.
  3. Соблюдение внутренней политики безопасности организации.
  4. Соблюдение внешних нормативных требований.
  5. Определить, является ли обучение по вопросам безопасности адекватным.
  6. Выявить ненужные ресурсы.

Аудиты безопасности помогут защитить критически важные данные, выявить лазейки в системе безопасности, создать новые политики безопасности и отследить эффективность стратегий безопасности. Регулярные аудиты помогут убедиться в том, что сотрудники придерживаются правил безопасности, и выявить новые уязвимости.

Виды аудита безопасности

Аудиты безопасности бывают двух видов - внутренние и внешние, которые включают в себя следующие процедуры:

  • Внутренние аудиты. При проведении таких аудитов предприятие использует собственные ресурсы и отдел внутреннего аудита. Внутренние аудиты используются, когда организация хочет проверить бизнес-системы на соответствие политике и процедурам.
  • Внешние аудиты. При таких проверках для проведения аудита привлекается сторонняя организация. Внешние аудиты также проводятся, когда организации необходимо подтвердить соответствие отраслевым стандартам или государственным нормам.

Существует две подкатегории внешних аудитов: аудиты второй и третьей стороны. Аудиты второй стороны проводятся поставщиком проверяемой организации. Аудиты третьей стороны проводятся независимой, непредвзятой группой, и участвующие в них аудиторы не связаны с проверяемой организацией.

Какие системы охватывает аудит?

В ходе аудита безопасности каждая система, используемая организацией, может быть проверена на наличие уязвимостей в следующих областях:

  • Сетевые уязвимости. Аудиторы ищут слабые места в любом сетевом компоненте, которые злоумышленник может использовать для доступа к системам или информации или нанесения ущерба. Информация, передаваемая между двумя точками, особенно уязвима. Аудиты безопасности и регулярный мониторинг сети позволяют отслеживать сетевой трафик, включая электронную почту, мгновенные сообщения, файлы и другие коммуникации. Доступность сети и точки доступа также включаются в эту часть аудита.
  • Средства контроля безопасности. В этой части аудита аудитор рассматривает, насколько эффективны средства контроля безопасности компании. Это включает оценку того, насколько хорошо организация внедрила политики и процедуры, установленные ею для защиты информации и систем. Например, аудитор может проверить, сохраняет ли компания административный контроль над своими мобильными устройствами. Аудитор проверяет средства контроля компании, чтобы убедиться в их эффективности и в том, что компания следует своим собственным политикам и процедурам.
  • Шифрование. Эта часть аудита проверяет наличие в организации средств контроля для управления процессами шифрования данных.
  • Программные системы. Здесь проверяются программные системы, чтобы убедиться, что они работают правильно и предоставляют точную информацию. Они также проверяются на предмет наличия средств контроля для предотвращения доступа неавторизованных пользователей к частным данным. Рассматриваются такие области, как обработка данных, разработка программного обеспечения и компьютерные системы.
  • Возможности управления архитектурой. Аудиторы проверяют наличие у руководства ИТ организационных структур и процедур для создания эффективной и контролируемой среды для обработки информации.
  • Контроль телекоммуникаций. Аудиторы проверяют, что средства контроля телекоммуникаций работают как на стороне клиента, так и на стороне сервера, а также в сети, которая их соединяет.
  • Аудит разработки систем. Аудиты, охватывающие эту область, проверяют, что любые разрабатываемые системы соответствуют целям безопасности, установленным организацией. Эта часть аудита также проводится для того, чтобы убедиться, что разрабатываемые системы соответствуют установленным стандартам.
  • Обработка информации. В ходе этих аудитов проверяется соблюдение мер безопасности при обработке данных.

Шаги, участвующие в аудите безопасности

Эти пять шагов обычно являются частью аудита безопасности:

  1. Согласование целей. Включите все заинтересованные стороны в обсуждение того, что должно быть достигнуто в ходе аудита.
  2. Определите объем аудита. Перечислите все активы, подлежащие аудиту, включая компьютерное оборудование, внутреннюю документацию и обработанные данные.
  3. Проведите аудит и определите угрозы. Перечислите потенциальные угрозы, связанные с каждым из них Угрозы могут включать потерю данных, оборудования или записей в результате стихийных бедствий, вредоносных программ или неавторизованных пользователей.
  4. Оцените безопасность и риски. Оцените риск возникновения каждой из выявленных угроз и то, насколько хорошо организация может от них защититься.
  5. Определите необходимые меры контроля. Определите, какие меры безопасности необходимо внедрить или улучшить для минимизации рисков.

Аудит безопасности — это одна из составляющих общей стратегии защиты ИТ-систем и данных. Узнайте последние новости о лучших практиках и процедурах в области кибербезопасности.


У Вас не достаточно прав для комментирования!

Инфо

Информативно о компьютерных технологиях. Различные материалы относительно компьютерного железа, софта (программ) и сетевых технологий. При полном или частичном копировании информации - прямая ссылка на сайт (We-it.net) обязательна.