Аудит Безпеки — це практика, яку краще всього було б охарактеризувати як «неминуче зло». Оскільки жоден власник бізнесу, виконавчий або IT-менеджер навряд чи буде в захваті від думки провести сувору експертизу безпеки, в цілому розуміючи, що ревізія — найкращий і єдиний спосіб повною мірою переконатися, що всі технології і методи безпеки працюють відповідно до встановлених вимог і специфікацій.

Аудит Безпеки, як правило, проводиться для оцінки інформаційної безпеки, управління ризиками та нормативним вимогам. Якщо аудит безпеки здійснюється правильно, він може виявити слабкі місця в технологіях, методах, співробітниках(не забуваємо про людський фактор) та інших ключових сферах. Процес може допомогти компаніям заощадити гроші шляхом пошуку більш ефективних шляхів забезпечення захисту IT-обладнання та програмного забезпечення, а також дозволяє підприємствам більш ефективно розуміти і використовувати технології і процеси безпеки. Неупереджений аудит безпеки допомагає власникам компаній, керівникам та ІТ-менеджерів, дійсно зрозуміти, що періодичні обстеження можуть реально сприяти побудові стратегії безпеки синхронно із загальною комерційною діяльністю.

Процес Аудиту

Не існує стандарту процесу аудиту безпеки, але аудитори, як правило, виконують свою роботу, користуючись власним досвідом, вони переглядають уразливості, роблять експертизу безпеки ОС і налаштувань додатків безпеки, аналізують мережеву активність, а також вивчають протокольні дані, а саме протоколи подій. Аудитори приділяють пильну увагу політиці безпеки, щоб визначити, що вони (ці політики) охоплюють, як вони використовуються і є вони ефективними стосовно до поточним та майбутнім загрозам.

CAATs (Computer-Assisted Audit Techniques — комп’ютеризовані прийоми аудиту) часто залучаються для допомоги аудиторам з метою краще зрозуміти IT інфраструктуру підприємства і виявити потенційні джерела небезпеки. КПА являють собою набір прикладних програм аудиторських процедур, що використовують комп’ютер як інструмент проведення аудиту. КПА використовують системні звіти про безпеку, а також технології моніторингу, виявлення та оповіщення про зміни у файловій системі і налаштуваннях. КПА можуть бути використані в персональних комп’ютерах, серверах, мережевих маршрутизаторах і комутаторах, а також у цілому ряді інших систем і пристроїв.

Хоча КПА можуть надати остаточні дані про систему, аудитори повинні виходити з поточної активності системи і процесів, що не завжди піддаються кількісній оцінці.

Ось деякі з ключових питань, на які Аудитор повинен знайти відповідь:

  • Хто відповідає за безпеку, і кому це особа підзвітне?
  • Є ACL (списки контролю доступу) на мережевих пристроях, що надають доступ до загальних даних?
  • Як створюються і управляються паролі?
  • Є аудит журналів запису даних і контроль доступу до даних?
  • Хто переглядає журнали безпеки і протоколи подій, як часто вони проглядаються?
  • Є налаштування безпеки ОС і додатків допустимими?
  • Очищена система від непотрібних додатків і служб? Як часто це відбувається?
  • Всі операційні системи і прикладні програми оновлюються регулярно?
  • Як зберігати резервні копії? Хто має доступ до них? Чи є вони актуальними?
  • Як здійснюється захист електронної пошти?
  • Як здійснюється захист WEB-серверів?
  • Як здійснюється захист бездротових з’єднань?
  • Є віддалені співробітники і поширюються на них політики безпеки?
  • Існує план аварійного відновлення даних? Опробовался чи він коли-то в дії?
  • Перевірені чи користувальницькі додатки на безпеку?
  • Як документуються зміни конфігурації і кодів? Як часто ці записів?

Багато інші питання, що стосуються точного характеру операцій з даними, також повинні бути задані.

Аудитори

Навички аудитора і його компетентність залежить від характеру аудиту та бізнес-спрямованості компаній, що перевіряються. Для внутрішнього аудиту, як правило, залучають аудиторів з числа співробітників компанії: фахівців ІТ-відділів і бухгалтерії. Крім того, компанія може найняти консультанта з питань безпеки для допомоги. Аудитори можуть залучатися як керівництвом компанії, інвесторами, так і державними органами у відповідності з чинним законодавством.

Дії після аудиту

Незабаром після появи висновку аудиторів, зазвичай відбувається збори власників компанії, керівників і менеджерів, де їм доповідається про те, які виявлені проблеми в IT-безпеки і які дії необхідно негайно вжити. Через кілька днів або тижнів аудитори, як правило, надають офіційну доповідь. Зацікавлені сторони можуть використовувати обидва представлення результатів, щоб викласти свою думку про усунення вразливості та приведення діяльності компанії у відповідність нормам.

У той час як аудит безпеки, як правило, це конкретні заходи, IT-безпека є постійним процесом. Компанія повинна так вести свою політику безпеки, використовувати сучасні технології, прагнути до підтримання достатнього рівня безпеки, щоб бути готовою пройти аудит безпеки в будь-який даний момент часу.

За матеріалами