ИБ-аудит как медицинский подход

It-world

Аудит ради аудита: стоит ли игра свеч?

ИБ-аудит как медицинский подход
© It-world

Формальный аудит можно сравнить с формальным получением диплома об образовании. С одной стороны, у вас имеется документ об образовании, а с другой — никаких реальных знаний и возможностей применить их на практике.

Наиболее понятная область, с которой можно сравнить ИБ, — медицина. Приведем простой пример из жизни: документ о медицинском образовании не делает из вас врача без прохождения интернатуры (первичной последипломной практики под руководством опытных докторов), то есть без получения реального опыта. Для чего нужно учиться — ответ давно известен: чтобы не допускать ошибок и больше зарабатывать. Это же правило применимо и к развитию бизнеса, и к безопасности бизнеса. Лучше учиться на чужих ошибках и не допускать инцидентов ИБ.

Однако вернемся к нашей теме. Естественно, в период прохождения аудита вы можете как отработать «на корзину», так и получить реальные знания о своей инфраструктуре, в том числе услышать «другое» мнение. Если вернуться к сравнению с медициной, то перед подготовкой к сложной операции собирается консилиум, специалисты из разных областей обмениваются мнениями и оценивают риски тех или иных методов лечения. То же самое происходит при проведении аудита ИБ: ответственный за организацию ИБ может подготовить либо первичные, либо собственные экспертные данные о своей ИТ-инфраструктуре, о применяемых СЗИ и получить консультацию и оценку от профильных специалистов.

К сожалению, при прохождении аудитов эксперты сталкиваются с устоявшимся стереотипом или даже менталитетом «я вам заплатил, делайте все сами». Разумеется, при таком подходе экспертные организации получают только необходимый минимум для оформления документов, а заказчик — свою формальную бумагу о выполнении требований регулятора. Только вот все при этом забывают, что конечная цель данной процедуры — «выздоровление пациента».

Реальная цель прохождения ИБ аудита — какая она?

Если же ответственный за ИБ в организации правильно понимает свою роль, то есть своего рода является оперирующим хирургом, он в первую очередь заинтересован в получении подробного «анамнеза пациента» — другими словами, знаний о своей ИТ-инфраструктуре — с учетом всестороннего и разнопланового мнения своих коллег. Пусть это мнение иногда может быть разочаровывающим, его стоит выслушать и учесть все риски, которые могут повлиять на информационную безопасность организации, то есть здоровье нашего пациента и непрерывность деятельности организации.

В ходе аудита помните, что ваша цель — не получение отчета о прохождении аудита, а усиление реального уровня информационной безопасности вашей организации.

Бюджет на лечение и компенсирующие меры

С этим, казалось бы, все понятно: отдел ИБ обычно заинтересован, выслушивает мнение коллег, начинается выполнение рекомендаций, но тут на стороне формализма начинает выступать сам бизнес, то есть наш пациент.

Многим знакома история, что для обеспечения ИБ нужен бюджет, а вот что делать, если его нет, мало кто задумывается. Уход иностранных вендоров ИБ и отсутствие конкуренции заметно отразились на цене отечественных ИБ-продуктов, однако никто не заставляет выполнять организацию все меры, изложенные регулятором. Наш пациент не будет покупать дорогие лекарства (средства защиты информации), если у него не останется денег на еду (развитие бизнеса). В этом случае ваша организация и аудитор ИБ должны вспомнить позицию регуляторов, что предусмотренные меры могут быть скомпенсированы. Допустим, СЗИ — это средства защиты врача от инфекции. Наилучший способ — надеть резиновый костюм с изолирующим противогазом. Но если бюджет не позволяет, то надо использовать хотя бы халат и медицинские маски, чтобы по возможности минимизировать поверхность атаки.

Например, Банк России пунктом 6.4 ГОСТ Р 57580.1-2017 предусмотрел возможность применения компенсационных мер защиты информации в случае невозможности технической реализации отдельных выбранных мер защиты информации или в случае отсутствия экономической целесообразности. Или же в п. 10 приказа ФСТЭК от 18.02.2013 № 21 четко указано, что при невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных. В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных.

Таким образом, аудитор-эксперт должен порекомендовать вам компенсирующую меру для уменьшения риска реализации ИБ-угроз и предложить варианты ее обоснования, исходя из опыта общения с регуляторами.

Самые простые примеры компенсирующих мер — отключение гостевого Wi-Fi, административный доступ только по ACL (access list), получение файлов от клиентов на внешних носителях только через буферный компьютер с участием ИТ- или ИБ-специалиста, создание списка разрешенных интернет-ресурсов с ограничением всех остальных соединений в сети Интернет, ведение журнала ручного резервирования данных и так далее.

Что дает аудит отделу ИБ

С позицией формализма по поводу проведения аудита разобрались, но что по поводу подтверждения выполнения тех или иных мер, предусмотренных регулятором?

Если вам повезло с экспертом или к вам пришел сам регулятор, к каждому пункту чек-листа необходимо будет приложить свидетельства (или, как говорят, артефакты) выполнения определенной меры. Закрыть чек-лист выполнения мер можно как документально (регламенты настройки АРМ, серверов, межсетевых экранов, политика антивирусной защиты, смены паролей, порядок предоставления доступа и т. п.), так и при помощи технической реализации (скриншоты применяемых настроек, выгрузки логов, электронные уведомления от средств защиты информации и др.)

Процедура аудита для отдела ИБ — это прекрасная возможность оценить качество выполнение тех или иных мер ответственными техническими специалистами, например, метрики покрытия антивирусными средствами своего домена. Зачастую младшие технические специалисты при установке нового АРМ пользователю забывают поставить антивирус, DLP, EDR, агент инвентаризации и другие решения для управления и безопасности ИТ-инфраструктуры.

Очень хорошей практикой является также и сканирование домена на предмет выявления неиспользуемых учетных записей либо технических учетных записей, имеющих неограниченный срок использования пароля.

Обновление модели угроз, состава критичных данных и формализация их местонахождения, необходимые для выполнения формальных мер регулятора, также позволяют оценить реальные риски утечки информации. Нельзя забывать, что добрая половина всех громких утечек — это никакие не хакеры извне, а свои собственные работники (инсайдеры), обиженные на работодателя по тем или иным причинам.

Итоги

Список возможностей и плюсов от делового подхода при проведении аудита ИБ можно продолжать очень долго, и в этом вам помогут эксперты-аудиторы. Ключевой совет: старайтесь тщательно выбрать вашего аудитора как врача. Например, изучите релевантные кейсы потенциального подрядчика, спрашивайте мнения коллег по отрасли, не стесняйтесь запрашивать сертификаты об образовании экспертов и рекомендации от довольных клиентов, читайте отзывы и, самое главное — доверяйте экспертам, которых пригласили.

Личный счет
ФСТЭК России
Банк России