Офис: Пн-Пт 9.00-18.00
Тех. поддержка: 9.00-21.00
Работаем с 44 и 223 ФЗ

Внешний и внутренний аудит информационной безопасности

Аудит ИБ

Аудит информационной безопасности позволяет объективно оценить, насколько защищена ИТ-инфраструктура, устойчива ли она к угрозам на уровне сети в целом или отдельных ее компонентов. С помощью этого инструмента компания имеет возможность получить реальную оценку уровня работы существующей системы, качественно и количественно оценить технологические или бизнес-процессы.

Различия внутреннего и внешнего аудита

Внутренний аудит выполняют сотрудники отдела ИБ компании. Перед этим создаётся документ, в котором есть следующие пункты:

  1. поиск уязвимостей;
  2. выбор метода проверки;
  3. структура итогового отчёта;
  4. расписание с датами проведения.

Цель внутреннего аудита добиться соответствия ИТ-инфраструктуры определённым требованиям.

Для проведения внешнего аудита привлекают сторонних специалистов. Компании, которые могут выполнить такую работу, обязаны иметь лицензию регулятора (ФСТЭК, ТЗКИ, ФСБ, сертификат ISO 27001). В отличие от внутреннего внешний разноплановый, требует привлечения разных специалистов, части из которых иногда в штате компании-заказчика нет.

Цель внешнего аудита – выявить проблемы, определить точки роста, получить авторитетное мнение стороннего специалиста, подтвердить правильность подходов, соответствие нормативным требованиям.

В процессе ИТ аудита проверяют:

  • состояние ИТ-инфраструктуры;
  • если необходимо, квалификацию специалистов информационного отдела;
  • состояние системы информационной безопасности и процессов в компании.

Вообще же, направления могут быть самыми разными. Например, компания может провести проверку Wi-Fi-сети, чтобы выявить подключения несанкционированных устройств, соответствие роутеров стандартам безопасности. Иногда ИБ проверяют «в бою» – организуют фишинговые атаки, чтобы проверить правильность действий сотрудников.

Основное отличие внутреннего аудита от внешнего в том, что в первом случае к исполнителям не предъявляют специальных требований, в качестве нормативной базы используют в основном внутренние документы компании, услуги оплачивают не отдельно, а включают в зарплату, редко устанавливают жёсткие сроки проверки. Но и влияние внутреннего аудита на компанию выше – прямо в процессе проверки можно внести корректировки и быстрее повысить эффективность работы. В то же время уровень независимости намного ниже, чем при внешней проверке.

Плюсы и минусы

Основной плюс внутреннего аудита в том, что не нужно привлекать сторонних подрядчиков, которые часто могут быть не осведомлены о процессах внутри компании на таком же уровне. Собственные сотрудники заинтересованы найти ошибки, недоработки, поскольку от этого могут зависеть в том числе и результаты их работы.

У внутреннего аудита есть минусы – штатные сотрудники часто не могут объективно оценить во время проверки многие процессы, иногда нужно получить мнение со стороны.

Плюсы внешнего аудита – выполнение проверки независимыми экспертами, которые способны составить непредвзятое мнение о проблемах с ИБ компании. Но есть и минусы – иногда трактовка обнаруженных ошибок не соответствует реальному положению вещей, поскольку сторонний специалист часто неспособен вникнуть в бизнес-процессы заказчика. То есть, возможны искажения – например, обнаруживается ошибка, которую можно квалифицировать и как непреднамеренное действие, и как попытку мошенничества.

Когда и кому нужно проводить аудит ИБ

Чаще всего компании обращаются для проведения it аудита в таких случаях:

  1. реорганизация или слияние нескольких компаний, которые повлекут за собой изменения в информационном отделе;
  2. изменения в штате, особенно на ключевых должностях в сфере IT;
  3. оценка бизнес-активов фирмы, квалификации сотрудников.

Кроме выявления и устранения потенциально уязвимых мест аудит помогает руководству компании повысить контроль над работой информационного отдела и улучшить бизнес-процессы.

Этапы аудита информационной безопасности

Аудит проходит в несколько этапов:

  1. Составляют план. После этого заказчик согласовывает его с клиентом.
  2. Аудитор изучает документацию. Её должен предоставить заказчик.
  3. Собственно проверка на месте. Подрядчик приезжает в компанию (если это не внутренний аудит) и на месте оценивает состояние ИТ-инфраструктуры и/или отдельных её элементов.
  4. Дополнительные мероприятия. Это может быть анкетирование сотрудников, исследование программного обеспечения, тестирование на проникновение.

Ещё какое-то время будет затрачено на составление отчёта. Его аудитор передаёт заказчику.

Этапы аудита ИБ

Результаты аудита

Результатами проверки становятся итоговые отчёты, структуру которых прописывают заранее:

  • топология сети, разбивка используемого оборудования по разным помещениям с описанием назначения и функций каждого из устройств;
  • физическое расположение, характеристики состояния серверов, сетевого оборудования, источников бесперебойного питания;
  • полное описание рабочих мест сотрудников;
  • советы по улучшению текущей ситуации.

Кроме того, отчёт описывает все потенциально уязвимые места в защите, предлагает варианты решения проблем, содержит архитектуру корпоративной сети, обязательно – перечень оборудования. В идеале аудитор всегда дает такие рекомендации, которые компания сможет выполнить с учётом бюджета, сроков и технической оснащенности.