Аудит ИБ в крупных компаниях: инструкция по применению

Аудит ИБ в крупных компаниях: инструкция по применению

Чтобы понять, что собой представляет комплексный аудит информационной безопасности, стоит взглянуть на вопрос с практической точки зрения: что нужно учесть, чтобы проектная команда хорошо сделала свою работу, не сорвала при этом сроки и попала в ожидания заказчика. Статья от эксперта компании «Инфосистемы Джет» будет полезна тем, кто проводит внешний ИБ- или ИТ-аудит, а также менеджерам внутренних ИТ- и ИБ-проектов.

 

 

 

  1. Введение
  2. Подготовка к проведению аудита
  3. Сбор свидетельств аудита
  4. Разработка рекомендаций и презентация результатов проекта
  5. Выводы

 

Введение

Под комплексным аудитом будем понимать следующие работы, проводимые в рамках одного проекта:

  • тестирование на проникновение;
  • аудит процессов ИБ;
  • обследование ключевых бизнес-систем и бизнес-процессов;
  • анализ конфигураций элементов ИТ-инфраструктуры;
  • обследование процессов обработки ПДн и режима КТ;
  • разработка рекомендаций для повышения уровня зрелости процессов ИБ.

Наверняка все помнят детские задачки из серии «из пункта А в пункт Б вышел пешеход, двигающийся со скоростью 5 км/ч, а также выехал велосипедист со скоростью 15 км/ч…»

 

Рисунок 1. Визуализированная детская задачка

 

Добавим немного переменных, присущих проекту по комплексному аудиту ИБ в крупной компании (для примера приведены числовые показатели аудита, проведенного в 2018 году):

  • обследование головного офиса и 7 дочерних организаций;
  • анализ 60 информационных систем, 50 средств защиты и 8 комплексных АСУ ТП;
  • разработка дорожной карты мероприятий ИБ;
  • 2,5 месяца и более 25 работников на проекте.

В результате получаем неформализованную задачу, которая выглядит примерно так:

Пять проектных команд выехали из пункта А в пункт Д с разной скоростью. Что нужно сделать, чтобы в соответствии с планом-графиком все команды пришли в точку Д, куда они договорились прибыть одновременно, при этом заехав по пути в филиалы Б, В и Г, сохранив нервы менеджера проекта и главного конструктора и тратя на сон более 5 часов в день.

В своей работе мы по многим направлениям используем заранее подготовленные «напоминалки», так называемые чек-листы — они помогают во многом структурировать и упорядочить проектную деятельность. Это отличный инструмент для напоминаний, позволяющий не забыть базовые вещи.

Любой проект глобально можно разделить на три основных блока:

  • подготовка к проведению аудита;
  • сбор свидетельств аудита и анализ полученных данных;
  • разработка рекомендаций и презентация результатов.

 

Подготовка к проведению аудита

Пожалуй, самый ответственный этап, от результата которого во многом зависит успех всего проекта. Мероприятия этого этапа направлены на формирование четкой координации внутри проектной команды, согласование с заказчиком подходов, методов и сроков проведения каждого этапа аудита.

Составьте профиль заказчика. Заранее проанализируйте информацию в СМИ о возможных произошедших инцидентах ИБ, утечках информации, о реализованных ИТ- и ИБ-проектах, о расширении бизнеса либо приобретении новых активов, ИТ- и ИБ-закупках. Подготовьте типовые риски, характерные для сферы деятельности компании. Данная информация поможет определить ключевые точки, на которые стоит обратить особое внимание при проведении работ (например, compliance или безопасность сегмента АСУ ТП). 

Помогите заказчику подготовить бизнес к проведению работ. Зачастую внутренний менеджер со стороны заказчика упускает этот этап, и при согласовании встреч мы можем получить негатив — работники не понимают необходимость проведения работ, и в рамках какого проекта такие интервью запланированы. Подготовьте небольшую памятку о проводимых работах для вовлеченных в проект специалистов.

Правило хорошего тона — план проведения интервью. Проработайте документ с заказчиком совместно. Хорошая практика — заранее запросить оргштатную структуру и на основании нее подготовить план-график «в первом приближении». Чтобы представитель со стороны заказчика не гадал, контакты какого специалиста поставить под общей темой «повышение осведомленности» — HR, отдел обучения или отдел информационной безопасности — лучше добавить некоторую избыточность, то есть детально расписать предполагаемые темы общения в плане.

Договоритесь о применимых способах сбора информации. Использование камеры смартфона значительно ускоряет проектную работу (вместо того, чтобы сначала запрашивать скриншоты, а после ждать их предоставления), однако для некоторых компаний такой способ сбора неприемлем. 

Заранее согласуйте с заказчиком план-проспект отчета. План-проспект — документ, содержащий в себе структуру разделов, обезличенные примеры их наполнения, пример описания рекомендаций. Заранее договоритесь, как будут документироваться отдельные активности в рамках проекта. Например, необходимо ли вынесение результатов тестирования на проникновение в отдельный отчет? Может быть, анализ защищенности обрабатываемых персональных данных целесообразнее предоставить в виде отдельной аналитической записки?

Проведите нормоконтроль согласованных план-проспектов отчета. Зачастую в крупных компаниях существует свой формат предоставления отчетной документации, свой набор стилей для документов и их оформления. Работа проектной команды в уже отформатированных отчетах поможет сохранить огромное количество времени группе нормоконтроля — гораздо проще править ошибки в заполненном шаблоне, чем с нуля форматировать 1000-страничный отчет.

Создайте отдельную проектную область с иерархией папок. Четкое понимание, где должны храниться полученные документы от заказчика, куда необходимо выкладывать драфты документов на согласование, в какой области хранятся финальные документы на конкретную дату, поможет в дальнейшем не запутаться и не получить ситуацию, когда разные специалисты работали в разных документах.

Определите способ формирования проектных команд и выделите руководителей в каждой из них. В рамках проведения работ мы используем два сценария: когда проектные команды формируются в зависимости от выполняемых функций (например, группа сетевой безопасности, группа compliance, группа, занимающаяся обследованием ИС, и пр.) или когда в каждой команде присутствует профильный специалист каждого направления.

Создайте отдельную группу почтовой рассылки для участников проекта. Это сэкономит время и избавит от необходимости каждый раз добавлять в адресаты всех участников проекта. Таких рассылок мы создаем, как правило, несколько: для руководителей команд, для пентестеров и пр. Хорошей практикой является создание отдельного чата, например, в What’s App, для быстрой координации внутри команды.

Согласуйте формат нахождения аудиторов на площадке. Проведение аудита, как правило, занимает от 2 недель и более. Большую часть этого времени аудиторы обычно находятся на площадке заказчика. Распространенная практика — бронирование отдельной переговорной комнаты для всей проектной команды на время аудита или организация отдельных рабочих мест.

Выделите отдельную роль — внутренний администратор проекта. Выделение такой роли обоснованно, когда заказчик имеет большую филиальную сеть и в область аудита входит несколько площадок. Функции такого специалиста:

  • отслеживание сроков предоставления свидетельств/документации;
  • сбор с руководителей команд информации, которую необходимо запросить;
  • вычитка отчетной документации;
  • работа с проектной областью — выкладывание материалов, наведение порядка;
  • работа с со службой нормоконтроля и пр.

Соберите заранее всю информацию в одном месте. Вся информация, которая необходима для старта проекта и согласования проведения каких-либо работ (удаленного доступа, тестирования на проникновение и пр.), должна храниться в одном доступном месте. Примерами могут быть паспортные данные проектной команды, шаблон Letter of Authorization (LOA), запрос e-mail-адресов, исключаемых при проведении фишинга, требования к организации рабочего места пентестера, серийные номера ноутбуков для оформления пропуска и пр.

 

Сбор свидетельств аудита

Как говорит один наш коллега, «консультант должен жить у заказчика, должен жить его проблемами». С точки зрения работы с большим количеством людей и объемом собираемой информации, сбор свидетельств аудита — это самый длительный и сложный этап, в рамках которого участники проекта буквально живут на площадке и общаются с профильными специалистами.

Распечатайте несколько экземпляров NDA, подписанных с заказчиком, и возьмите их с собой. Зачастую представители заказчика отказываются общаться, не будучи уверенными в том, что все формальности соблюдены.

Не аудит, а обследование. Позиционируйте проведение работ как обследование процессов обеспечения ИБ, слово «аудит» зачастую заставляет нервничать интервьюируемых работников.

Записывайте сразу в ноутбук. В бумажных записях больше минусов, чем плюсов (затруднен поиск информации, нет под рукой уже полученной ранее информации и пр.), к тому же, записанное на бумаге все равно придется позже оцифровывать.

Не используйте диктофон при сборе информации. На оцифровку материала придется потратить уйму времени, а интервьюируемые при виде диктофона зачастую чувствуют себя неуютно.

Используйте принцип одного окна при запросе информации. Мы используем схему, когда руководитель каждой команды в конце рабочего дня формирует для администратора проекта перечень запрашиваемой информации. Администратор обобщает эти данные в единый файл и ведет его совместно с заказчиком — отслеживает сроки получения информации, в случае необходимости эскалирует на руководство.

Выделяйте час рабочего дня ежедневно на формирование кратких отчетов о проведенных встречах и их согласование. Такой документ содержит в себе ключевые тезисы проведенного интервью, минимизирует риск того, что часть информации была упущена или неправильно интерпретирована.

Сообщайте о критических уязвимостях сразу. В рамках проекта мы готовим еженедельную справку о найденных критических недостатках, которые рекомендуем устранить немедленно.

Валидируйте собираемую информацию частями. Мы рекомендуем заранее, еще до предоставления отчетной документации, согласовывать с заказчиком отдельные разделы отчета — например, описание процессов ИБ или лист оценки защищенности ИС. Чем раньше промежуточные результаты будут согласованы, тем меньше вероятность, что полученный результат не попадет в ожидания заказчика.

Договоритесь о периодических перерывах для оформления полученной информации. Мы стараемся использовать следующую схему: 2-3 дня интервью — 1 день паузы. Данное время позволит структурировать полученную информацию, выделить пробелы при сборе информации.

Проводите еженедельные статусные встречи с участием руководителей команд и представителями заказчика.

 

Разработка рекомендаций и презентация результатов проекта

Аналитический этап, в рамках которого разрозненные данные структурируются, обрабатываются и оцениваются. Проектной командой осуществляется разработка рекомендаций и визуализация полученных результатов и итогов проекта.

Подготовьте к отчетным документам отдельную справку для руководства. Включите в документ краткую информацию о проведенном аудите, ключевых недостатках и точках роста.

Согласуйте формат проведения нормоконтроля отчетной документации. Вычитка (нормоконтроль) сотен страниц занимает большое количество времени. Чтобы этот процесс не затягивал общий ход работ, мы используем следующий подход (заранее согласованный с заказчиком): верстка и устранение «подчеркнутого красным» первого драфта отчета и последующая полная вычитка с корректировкой синтаксиса финального согласованного отчета.

Проведите внутреннюю презентацию результатов проекта. Презентуйте результаты работ проектной команде — это позволит лучше подготовиться к ответам на возможные вопросы бизнеса.

Храните все материалы, собранные в рамках работ, в одном месте. Зачастую заказчики просят нас структурировать запрошенные в рамках аудита свидетельства (например, по процессам ИБ/технологиям/др.) и предоставить их вместе с результатами работ для внутреннего хранения.

 

Выводы

Описанные в данной статье советы не являются исчерпывающими. Здесь мы, скорее, поделились показательными примерами тех практик, которые используем при проведении аудита. Каждый новый проект уникален, с каждым новым заказчиком мы учимся чему-то новому и расширяем наши «чек-листы», чтобы «пешеход и велосипедист, выехавшие из точки А в точку Б, догнали друг друга и доехали до конца маршрута одновременно».

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru