Войти

Статья 7

Что такое аудит информационных систем,

кто проводит и кому нужно проходить?

Согласно Правилам проведения аудита информационных систем, аудит информационных систем представляет собой комплексную проверку системы безопасности организации с целью выявления уязвимостей, оценки рисков и предоставления рекомендаций по их устранению.

К видам работ по аудиту информационных систем относятся:

Вид работ

Описание

Применение

Пример

Проведение анализа экспертным методом
Оценка соответствия рекомендациям стандартов по ИБ и единым требованиям
Инструментальное обследование компонентов ИС
выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования.
проводится для определения соответствия информационной системы установленным стандартам и требованиям, таким как СТ РК ИСО/МЭК 27002-2015 "Информационная технология. Методы и средства обеспечения безопасности. Свод правил по средствам управления информационной безопасностью" и СТ РК ГОСТ Р 50739-2006 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования".
использование специализированных программных инструментов для автоматического сканирования и анализа различных компонентов IT-инфраструктуры.
  • Интервью и обсуждения с сотрудниками для выявления текущих практик и потенциальных уязвимостей.
  • Ручной анализ конфигураций систем и сетей.
  • Обзор политики и процедур безопасности для определения соответствия лучшим практикам и стандартам.
  • Проверка документации и процессов на соответствие стандартам.
  • Анализ логов и журналов аудита для выявления соответствия или отклонений.
  • Оценка практик управления доступом, управления инцидентами и непрерывности бизнеса.
  • Уязвимость и Penetration Testing: запуск сканеров уязвимостей (например, Nessus, OpenVAS) для выявления слабых мест в сети и системах.
  • Анализ конфигураций и мониторинг: использование инструментов вроде Ansible, Chef или Puppet для проверки правильности конфигураций серверов и сетевого оборудования.
  • Лог-анализ и SIEM: использование систем управления информацией и событиями безопасности (например, Splunk, ELK Stack) для анализа событий и выявления аномалий.
Эксперт изучает настройки файерволла (межсетевого экрана), сетевые политики, конфигурации серверов и дает рекомендации по их улучшению на основе выявленных проблем.
Проверка, что процедуры управления доступом соответствуют требованиям ISO/IEC 27002, включая правильное использование двухфакторной аутентификации и управление паролями.
Запуск сканера уязвимостей для проверки всех корпоративных серверов и выявления некорректных конфигураций или уязвимых версий ПО, с последующим составлением отчета и рекомендаций по устранению.

Кто проводит аудит?

Проведение аудита информационных систем осуществляется физическими и (или) юридическими лицами, обладающими специальными знаниями и опытом работы в области информационно-коммуникационных технологий, в порядке, определяемом уполномоченным органом.

Для проведения аудита информационных систем мы рекомендуем обратиться в Оперативные центры информационной безопасности (ОЦИБ). Подобные центры обладают высокой квалификацией, опытом и ресурсами для качественного проведения аудита информационной безопасности в соответствии с действующими нормативными требованиями и стандартами.

Преимущества обращения в ОЦИБ:

  • Квалифицированные специалисты

    ОЦИБ имеет в своём штате высококвалифицированных специалистов с большим опытом работы в области информационно-коммуникационных технологий и информационной безопасности.

  • Соответствие нормативным требованиям

    ОЦИБ проводит аудиты в соответствии с требованиями уполномоченного органа, что гарантирует соответствие законодательству Республики Казахстан.

  • Комплексный подход

    ОЦИБ предлагает комплексные услуги по аудиту, включая оценку текущего состояния информационной безопасности, выявление уязвимостей и рекомендации по их устранению.

  • Использование передовых технологий

    ОЦИБ использует современные методы и технологии для проведения аудита, что позволяет выявлять даже скрытые угрозы и уязвимости.

  • Конфиденциальность и надёжность

    ОЦИБ гарантирует полную конфиденциальность и надёжность при работе с вашими данными.

Кому нужно проходить аудит?

Аудит информационных систем проводится на этапе создания, внедрения и эксплуатации информационных систем по инициативе собственника или владельца информационных систем.

Государственным органам

У госорганов имеется доступ к персональным данным ограниченного доступа, а также ИС или ИКИ госорганов могут быть включены в перечень КВОИКИ. По этой причине, согласно пункту 56-1 Единых требований, владелец КВОИКИ, обрабатывающий данные, содержащие охраняемую законом тайну, проводит аудит информационной безопасности не реже одного раза в год.

Объектам КВОИКИ

Согласно Закону “Об информатизации”, владелец КВОИКИ, обрабатывающий данные, содержащие охраняемую законом тайну, проводит аудит информационной безопасности не реже одного раза в год.

Организациям финансового сектора

Аудит информационной безопасности банков второго уровня проводится в соответствии с требованиями банковского законодательства Республики Казахстан. Согласно пункту 22 Требований к обеспечению информационной безопасности банков, подразделение внутреннего аудита проводит оценку состояния системы управления информационной безопасностью банка в соответствии с внутренними документами банка, регламентирующими организацию системы внутреннего аудита.

Частным компаниям

В случае, если компания обрабатывает персональные данные ограниченного доступа, рекомендуется проводить аудит информационной безопасности.

Мы рекомендуем

Проводить аудит информационной безопасности не реже одного раза в год для оценки текущего состояния инфраструктуры и информационных систем, действий и событий, происходящих в них, определения уровня их соответствия техническим регламентам и стандартам в сфере информатизации, а также установления соответствия нормативно-технической документации всем требованиям информационной безопасности.

Как подобрать поставщика услуг
по аудиту информационных систем?

  1. 1
    Репутация и опыт

    Ищите поставщика с хорошей репутацией в области кибербезопасности. Отзывы клиентов, кейсы, публикации и рекомендации могут служить хорошим индикатором надёжности и профессионализма компании. Опыт работы в вашей отрасли также важен, поскольку это указывает на понимание специфических рисков и угроз.

  2. 2
    Квалификация и сертификации

    Убедитесь, что команда поставщика включает сертифицированных специалистов с актуальными знаниями в области кибербезопасности. Наличие таких сертификаций, как OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker) и другие, свидетельствует о высокой квалификации исполнителей. Не стесняйтесь требовать от поставщиков предоставления трудового договора со специалистами во избежание случаев с “подставными кадрами”, а также документов, удостоверяющих их личность.

  3. 3
    Методология тестирования

    Поставщик должен использовать чётко определённую и прозрачную методологию пентеста, соответствующую отраслевым стандартам и лучшим практикам. Спросите, какие методы и инструменты они используют и как они подходят к тестированию различных видов уязвимостей.

  4. 4
    Отчётность и поддержка

    Хороший поставщик предоставляет подробные отчёты, которые включают не только перечень уязвимостей, но и рекомендации по их устранению, а также предлагает помощь в ремедиации. Отчёт должен быть понятным для разных аудиторий, от технических специалистов до управленческого состава.

  5. 5
    Конфиденциальность и безопасность

    Пентест включает работу с чувствительной информацией о вашей ИТ-инфраструктуре. Убедитесь, что поставщик серьёзно относится к конфиденциальности и имеет строгие процедуры для защиты ваших данных.

  6. 6
    Соответствие нормативным требованиям

    Если ваша организация подпадает под действие специфических нормативных требований (например, ISO/IEC 27001, PCI DSS), убедитесь, что поставщик имеет опыт работы с соответствующими стандартами и может помочь вам соответствовать этим требованиям.

  7. 7
    Гибкость и индивидуальный подход

    Ищите поставщика, который предлагает гибкие услуги, адаптированные под ваши конкретные нужды и цели тестирования. Возможность адаптации под специфику вашего бизнеса и технологической среды является важным фактором успешного пентеста.

  8. 8
    Стоимость услуг

    Хотя стоимость является важным фактором, выбирать поставщика только на основе цены не рекомендуется. Инвестиции в качественное пентестирование могут предотвратить значительные финансовые и репутационные потери в будущем.

В рамках данного аудита важным этапом является инструментальное обследование компонентов информационных систем.

ВЫВОД № 14:

Проведение аудита информационных систем — это не просто технический анализ, это исследование, которое помогает нам понять, как хорошо мы защищены от потенциальных киберугроз. Он включает анализ системы, поиск уязвимостей и разработку стратегий защиты. Аудит выявляет слабые места и устраняет их до того, как они станут проблемой, повышая общий уровень безопасности организации.

Для получения доступа к статье Методологии, Вам необходимо

или
Вопросы и ответы