Техподдержка 24/7 Пн-пт 9:30 – 18:30 +7 495 721 1218
28.11.2023

Различие внутреннего и внешнего аудита ИБ

Аудит информационной безопасности – комплекс мер, направленных на анализ и оценку уровня защищённости IT-инфраструктуры бизнеса от угроз разного характера. Он играет важную роль в процессе разработки и оптимизации защиты ИТ-ландшафта и может затрагивать отдельные устройства, серверы, программное обеспечение.

Принято выделять внутренний и внешний аудит. Внутренний проводится систематически своими силами – в процессе участвуют сотрудники специального департамента компании. Внешний – специализированными сертифицированными компаниями, эксперты которых дают объективную компетентную оценку. Внутренние проверки ориентированы на самоконтроль, а внешние – на выявление несоответствий процессов ИБ нормам законодательных актов и международных практик.

Следование рекомендациям, разработанным по результатам внутреннего и внешнего аудитов, повышает уровень информационной безопасности предприятия, а значит обеспечивает непрерывность бизнес-процессов компании. Аудит ИБ позволяет исключить попытки взлома системы злоумышленниками и, соответственно, избежать финансовых потерь и нанесения ущерба репутации.  

Когда необходим аудит информационной безопасности?

Внутренний аудит выявляет несоответствия и уязвимости в системе инфобезопасности внутри компании. Он «обнажает» недочёты в системе управления, которые становятся причиной утраты данных и материальных средств. Специалисты компании самостоятельно выявляют слабые звенья в системе и устраняют их.

Внешний аудит информационной безопасности даёт независимую оценку уровня защищённости и проводится, как правило, после инцидентов или для проверки соответствия законодательным нормам Российской Федерации. В частности, он решает следующие задачи:

  • подробный срез текущего состояния системы ИБ, выполненный независимыми экспертами с применением актуальных методов;
  • профилактика потенциальных рисков и устранение причин нарушений ИБ путём их выявления и сведения к минимуму;
  • обнаружение слабых звеньев в обеспечении безопасности критически важных для бизнеса систем с учётом его специфики.

По результатам аудита сертифицированные специалисты создают детальный отчёт, в котором описывают обнаруженные уязвимости и дают практические рекомендации по их устранению.

Внутренний и внешний аудит ИБ: при каких обстоятельствах требуется?

Плановая внутренняя проверка — сложная многоэтапная процедура. Порядок и особенности проведения внутреннего аудита ИБ прописаны во внутренней документации предприятия. Проверка может проводиться каждый день или по предварительно разработанному плану департаментом информационной безопасности. В мероприятиях  задействованы ключевые ресурсы отделов ИБ и руководителей аудируемых направлений.

Ежедневно процедуру выполняют инженеры, ответственные за использование ИТ-инфраструктуры, сотрудники департаментов ИБ, отдела защиты активов компании. Их задача – мониторить изменения параметров конфиденциальности, целостности и доступности информации. Каждый делает это в своей зоне ответственности и обязан вносить данные для исключения негативных последствий.

Внешний аудит является обязательным для предприятий финансовой сферы  – банковских, кредитных и некредитных организаций, АО и государственных компаний, деятельность которых регулируется ФЗ №187 «О безопасности критической информационной инфраструктуры РФ».

Проверка по ФЗ №152 «О персональных данных» выявляет несоответствия процессов инфобезопасности бизнеса нормам и стандартам, прописанным на законодательном уровне. Предприятия, которые входят в национальную платёжную систему, проверяют инфосистемы и организационно-распорядительную документацию на соответствие нормам, регламентированным ГОСТ Р ИСО/МЭК 27001. Он соответствует международному стандарту ISO/IEC 27001.

Внешний аудит также проводят, если:

  • случился инцидент в системе информационной безопасности и нужно предупредить повторы;
  • регулятор издал новый закон;
  • на предприятии проводится реструктуризация;
  • нужно оценить, насколько эффективно расходуются средства на защиту ИБ;
  • нужно обнаружить уязвимости системы, которые могут привести к серьёзным последствиям;
  • требуется оценка осведомлённости сотрудников по вопросам информационной безопасности;
  • происходит смена ключевых специалистов в IT-департаменте;
  • требуется оценить квалификацию специалистов департамента информационной безопасности.

Внешняя проверка информационной безопасности эффективна при условии его регулярного проведения. Она позволяет контролировать бизнес-процессы предприятия и создаёт фундамент для их модернизации согласно нормам закона и требованиям рынка.

Что входит в аудит ИБ?

Аудит безопасности инфосистем предприятия – это поэтапный процесс, который начинается с инициирования процедуры ответственными сотрудниками и завершается детальным отчётом. Собранную во время аудита информацию изучают и разрабатывают на ее основе практические рекомендации.

Запуск проверки системы информационной безопасности

Процедура инициирования требует решения таких организационных вопросов, как:

  • права и обязанности проверяющего – их чётко определяют и фиксируют в инструкциях и положениях об аудите или договоре;
  • разработка плана проверки и её согласование с руководством компании;
  • определение направлений проверки.

В инструкциях о проведении внутреннего аудита прописывают пункт, обязывающий сотрудников содействовать проверяющему.

Этап сбора сведений для аудита ИБ

Этап сбора информации для анализа — сложный и длительный, т.к. могут отсутствовать некоторые документы, и проверяющему нужно взаимодействовать с сотрудниками компании. Дать объективную оценку состояния ИБ на предприятии можно лишь при наличии следующих сведений:

  • структуры пользователей системы и отделов, которые её обслуживают;
  • принципов работы и назначения информационной системы;
  • структуры информационной системы.

Зная принципы работы информационной системы, аудитор может определить её потенциальные риски и предъявляемые к ней требования безопасности. Информация о структуре нужна, чтобы понять механизмы обеспечения безопасности на каждом уровне.

Анализ собранных сведений

Для анализа сведений применяют разные методы. При выборе учитывают подходы проверки:

  • Первый подход основывается на выявлении и изучении рисков и считается самым сложным. Проверяющий вычленяет комплекс требований безопасности, учитывая специфику инспектируемой инфосистемы.
  • Второй подход основан на стандартах ИБ, сформированных с учётом мировой практики. Они и задают ключевые требования безопасности для разных инфосистем.
  • Третий подход сочетает первый и второй и считается самым эффективным. Ключевые требования безопасности устанавливаются стандартом, дополнительные – учитывают специфику определённой системы. Они разрабатываются путём анализа рисков.

По результатам анализа проверяющий разрабатывает рекомендации, в которых учитывает все особенности инфосистемы предприятия. Они являются конкретными, экономически обоснованными и доступными к реализации в каждом отдельном случае.

Практический анализ информационной безопасности предприятия

Проверка информационной безопасности – процедура, которая даёт оценку уровня защищённости IT-инфраструктуры на практике. Для этого специалисты в сфере информационной безопасности:

  • собирают сведения о работе систем (лог-файлы) с внутренних ресурсов и пограничных устройств;
  • детально изучают сетевую инфраструктуру;
  • изучают сетевую инфраструктуру на наличие уязвимостей;
  • испытывают беспроводную сеть на стойкость;
  • обнаруживают скрытые привилегии доменной структуры.

Оценка соответствия 152-ФЗ о персональных данных

Во время аудита на соответствие нормам ИБ, регулируемым федеральным законом «О персональных данных», специалист изучает регламенты, инструкции, положения и политики компании. Анализируются бизнес-процессы по работе с личными данными, меры организационного и технического характера по обеспечению их безопасности.

Аудит СУИБ

Аудит системы управления информационной безопасностью (СУИБ) проводится в соответствии с государственным стандартом Р ИСО/МЭК 27001 и учитывает особенности структуры и направлений работы компании. В процессе анализируются действующие алгоритмы безопасности:

  • документы по обеспечению должного уровня ИБ;
  • программное обеспечение (системное и прикладное);
  • действующие средства защиты.

Учитывая результаты анализа защищённости системы ИБ можно организовать её таким образом, чтобы максимально соответствовать действующим стандартам: GDPR (Общие правила защиты данных), ISO (Международная организация по стандартизации), PCI-DSS (Стандарт безопасности данных индустрии платёжных карт).

Защита IT-инфраструктуры

Отечественные решения для комплексной защиты ИТ-инфраструктуры любой сложности

Узнать подробнее
Защита IT-инфраструктуры

Внутренний аудит информационной безопасности

Внутренняя проверка ИБ – комплекс мероприятий, которые входят в IT-проверку. Её цель – обнаружить уязвимости, несоответствия и слабые места в системе безопасности бизнеса. Ряд мер внутреннего аудита осуществляется ежедневно специалистами компании, которые обязаны контролировать работу системы.

Внутренний аудит инфобезопасности проводится систематически и требует подготовки. Она заключается в предварительном согласовании процедуры. В процессе разрабатывают план, в котором по пунктам определяют весь процесс:

  • проверяемые системы и процессы инфобезопасности;
  • стандарт, которым руководствуются аудиторы;
  • особенности, сроки проведения и желаемый результат;
  • содержание отчётов по результатам проверки;
  • расписание проверок, которые будут проведены в будущем.

Способы проведения внутреннего аудита информационной безопасности: документальный, комбинированный, технический или в виде учений. На период проведения полномочия проверяющих могут быть расширены для проверки сотрудников или данных высокой степени защищённости.

Внутренний аудит определяет правильность организации процессов ИБ бизнеса. К примеру, выявляет учётные записи уволенных сотрудников. Незаблокированные записи позволяют им зайти в информационную систему компании и украсть конфиденциальные сведения.

Внутренний аудит позволяет:

  • установить права доступа сотрудников к информации;
  • определить состояние средств защиты сведений;
  • определить информированность сотрудников о внутренних правилах информационной безопасности.

Проводят внутренний аудит, как правило, специалисты, которые создавали IT-структуру компании. Предвзятое отношение к проверке отражается на результатах — в отчёте система информационной безопасности надёжно защищена, что не всегда соответствует действительности. Отсюда риск возникновения инцидентов с серьёзными последствиями в виде финансовых и репутационных потерь.

Регулярность проведения внутреннего аудита каждая компания определяет сама. Оптимальное решение – ежеквартальные проверки.

Внешний аудит ИБ

Внешний аудит информационной безопасности является независимым, а потому более эффективным, обеспечивающим объективную оценку. Его проводят специализированные компании, которые располагают соответствующей лицензией. При выборе аудитора учитывают опыт работы, деловую репутацию и базу клиентов. Их положительные отзывы – наилучшее подтверждение профессионализма. Так, «Онланта» руководствуется международными стандартами, методологией управления ИТ COBIT и библиотекой инфраструктуры ИТ ITIL, гарантирует заказчикам конфиденциальность информации и соответствие требованиям Федерального закона «О персональных данных». Соблюдение вышеперечисленных условий – must-have для любого аутсорсера, который предлагает услуги внешнего аудита ИБ.

Виды внешнего аудита инфобезопасности

Выделяют разные способы проведения внешнего аудита. В зависимости от потребностей предприятия и законодательных норм их задействуют по отдельности или одновременно. Выделяют:

  • документальную проверку системы инфобезопасности и инфосистем компании;
  • проверку защищённости инфосистем с применением технических средств, которые выявляют слабые места в ПО и оборудовании;
  • аттестацию или подготовку к аттестации действующих процессов на соответствие государственным и международным стандартам.

Независимые аудиторы выявляют потенциальные риски утечек сведений и сбои в работе систем по защите данных, анализируют СУИБ на предмет устойчивости к кибератакам, в том числе при помощи их имитации. Таким образом проверяют:

  • насколько уязвим программно-аппаратный комплекс инфосистемы;
  • риски несанкционированного использования коммуникационных каналов;
  • скорость реагирования системы инфобезопасности на атаку;
  • особенности управления инфраструктурой ИТ;
  • возможность проникновения в систему третьих лиц через сотрудников или контрагентов предприятия.

Имитация атаки (pentest) – это взлом системы, исключающий повреждение информации или сбои в её функционировании. По сути, аудитор играет роль злоумышленника, который старается обойти систему защиты или взломать её. По результатам Pentest формируют отчёт, в котором перечисляют выявленные уязвимости и рекомендации по их устранению.

Цель такого подхода – дать оценку рискам взлома системы и прогноз последствий и потерь при успешности атаки. Тест – неотъемлемая составляющая внешнего аудита ИБ. Он необходим для того, чтобы определить время, оборудование, инструменты, количество и уровень подготовки взломщиков. Таким образом можно определить эффективность защиты системы ИБ бизнеса с точки зрения хакеров. В процессе выявляют участки, которым нужно уделить особое внимание, поскольку взлом может произойти через них.

Подготовка и проведение внешнего аудита ИБ

Этапы проведения внешнего аудита информационной безопасности бизнеса:

  1. Определение задач и требований проверки – её направлений и глубины. Наилучшим решением является комплексный подход – проверка всего предприятия, а не только отдельных структур. Если выделенный бюджет и установленный срок не позволяют этого сделать, проверяют определённую область системы управления инфобезопасностью.
  2. Сбор сведений и их систематизация. В процессе создают список источников информации, сотрудников и уровень их доступа, анализируют хранение и использование данных, а также способы обмена ими.
  3. Оценка информационных процессов. Аудиторы проверяют правильность работы сотрудников с информацией и знание ими соответствующих нормативов. В процессе проверяют схему распределения прав доступа, надёжность защиты от вредоносных программ и эффективность контроля информационной безопасности.
  4. Написание отчёта по итогам проверки. В нём подробно описывают все выявленные уязвимости и недочёты в работе инфосистемы, а также рекомендации по их устранению.

Внешний аудит рекомендуется проводить каждый год, но лучше – каждые полгода. Для того чтобы правильно определить срок, нужно учитывать задачи бизнеса и влияние инфобезопасности на его функционирование. Главная ценность внешнего аудита инфобезопасности заключается в том, что компания получает независимую комплексную объективную оценку состояния системы и её соответствия законодательным нормам.

Учитывая полученные рекомендации, можно улучшить качество, эффективность и стабильность работы IT-инфраструктуры, минимизировать риски, оптимизировать затраты на техподдержку и сделать выгодные инвестиции в развитие инфосистемы бизнеса. Систематические внешние проверки помогут установить, сохранить и поддерживать порядок в IT-инфраструктуре путём наименьших затрат.

Сравнение внутреннего и внешнего аудита ИБ

Аудит системы инфобезопасности – эффективный инструмент для оценки защищённости бизнеса от киберугроз внутри и снаружи. Различия внешнего и внутреннего аудита позволяют сочетать их и таким образом получать объективную картину состояния уровня ИБ.

Разница в целях и обстоятельствах проведения внутренней и внешней проверки

Главная цель любого аудита ИБ – создание надёжной или совершенствование действующей системы. Внутренний аудит ориентирован на контроль внутри компании и проводится систематически согласно нормам внутренней документации. Внешний – на формирование процессов, соответствующих законодательным нормам и лучшим мировым практикам. Его инициирует руководство и собственники бизнеса, или он проводится в соответствии с буквой закона.

Кто выступает аудитором?

Внутренняя проверка проводится силами предприятия – специалистами собственного департамента инфобезопасности. Для внешней привлекают аудитора из сторонней специализированной сертифицированной организации.

Подготовительные мероприятия и предмет аудита

Внутренний аудит требует разработки внутреннего документа, в котором по пунктам расписывают формат, направления, сроки и желаемый результат. Внешний – проводится на основании договора с компанией-аутсорсером, в котором тоже подробно расписаны все процессы.  

Предметом внутренней проверки являются права доступа сотрудников, их учётные записи, степень информированности об ИБ и прочее. Внешний аудит ориентирован на степень защищённости IT-инфраструктуры бизнеса и её процессы.

Отчётность аудита ИБ

Детальные отчёты по результатам проверки с рекомендациями по устранению слабых мест составляют после внутренней и внешней проверок. Разница заключается в том, что независимые эксперты способны дать куда более объективную оценку, чем сотрудники компании, которые являются заинтересованными лицами.

Была ли полезна статья?
Расскажите друзьям:
Онланта
Онланта

Команда компании "Онланта"

Автор статьи
Свежие новости
Российский почтовый сервис Communigate Pro с поддержкой от «Онланты» для малого и среднего бизнеса
22.04.2024
Российский почтовый сервис Communigate Pro с поддержкой от «Онланты» для малого и среднего бизнеса
 «Онланта», «Телеком биржа» и Servicepipe провели деловую встречу по информационной безопасности для заказчиков и партнёров
27.03.2024
«Онланта», «Телеком биржа» и Servicepipe провели деловую встречу по информационной безопасности для заказчиков и партнёров
«Онланта» стала стратегическим партнером компании-разработчика Communigate Pro
28.02.2024
«Онланта» стала стратегическим партнером компании-разработчика Communigate Pro
 «Онланта» стала акционером компании Amvera
09.01.2024
«Онланта» стала акционером компании Amvera
 Компания "Онланта" выпустила спецпроект к своему 15-летию
30.05.2023
Компания "Онланта" выпустила спецпроект к своему 15-летию
Услуги
Услуги
Отраслевые решения
Отраслевые решения
О компании
О компании
Пресс-центр
Пресс-центр
О компании
О компании
Пресс-центр
Пресс-центр

18 июля 2023 года компании «Онланта» - 15 лет.

К своему дню рождения компания «Онланта» совместно с заказчиками создала спецпроект - историю одного дня из жизни Главного Героя (каждого из нас с вами).

Читайте о том, какие ИТ-технологии окружают нас каждый день и делают нашу жизнь интереснее и проще.

Evolution Evolution
Перейти на спецпроект
Работа в команде
Работа в команде
Заказчики и проекты
Контакты
Служба качества
Перейти на спецпроект
+7 495 721 1218
Evolution