Алексей Бабенко, руководитель направления, ЗАО НИП «Информзащита»Алексей Бабенко, руководитель направления, ЗАО НИП «Информзащита»

Аудит безопасности информационных активов компании позволяет дать представление о текущем состоянии защищенности инфраструктуры и процессах управления информационной безопасностью. На основании данной оценки может быть сформирован план дальнейшей работы, обеспечивающей закрытие выявленных рисков до приемлемого уровня.

Важно помнить при этом, что оценка, которая является результатом самого «правильного» аудита, может оказаться совершенно бесполезной. Проведем аналогию со среднеобразовательной школой. Если для оценки уровня знаний по математике, вы выберете средней сложности задачу и будете предлагать ее решить каждому ученику школы, то выяснится, что уровень знаний по математике в целом в школе средний. Но иначе и быть не могло: наверняка старшеклассники справились с задачкой легко, а ученики младших классов не смогли ее решить. И сомнительно, что такой вывод можно назвать объективным.

При аудите инфраструктуры применим этот же принцип. Поэтому первое, с чего требуется начинать работы по оценке, – это формирование перечня критичных активов, подлежащих защите и «привязка» выявленной информации к информационным системам, в рамках которых они обрабатываются. Основную выборку лучше осуществлять из числа ресурсов, которые обрабатывают критичную информацию (а не из общего числа ресурсов). При этом важно обратить внимание на сегментацию сети и не попасться в другую «ловушку». В случае, если она неадекватна, отсутствие оценки части ресурсов в определенных ситуациях может привести к невыявленному риску компрометации критичных серверов. В любом случае для оценки всех угроз информационным активам, первое, что нужно понять – движение потоков защищаемых данных и места хранения критичной информации.

Популярной ошибкой, часто встречающейся на практике, является проведение автоматизированного сканирования вместо полноценного комплекса работ. Такой подход имеет ряд недостатков, начиная с того, что сканер ищет лишь заранее определенные уязвимости и поэтому не может обнаружить часть угроз, заканчивая тем, что автоматизированное средство не способно сопоставлять совокупность различных факторов. Использование инструментального сканирования уязвимостей оправданно при использовании его в качестве дополнительного инструмента, позволяющего быстро оценить общий уровень защищенности большого числа отдельных компонентов, но не может заменить анализа специалистом и стать основанием для итоговых выводов.

Также достаточно часто встречается практика проведения тестов на проникновение взамен полноценных аудитов безопасности. В большинстве случаев специалисты получают заветный доступ к информационным активам, формируют рекомендации по устранению выявленных ошибок и действительно помогают закрыть уязвимости, которые были использованы в ходе тестирования. Но в отсутствии комплексного подхода будут ли основания утверждать, что все угрозы учтены? Сохранится ли уровень безопасности такой системы через месяц? Год? Тест на проникновение, который проводится в отрыве от других инструментов аудита безопасности, сравним с фотографией человека, летящего с верхнего этажа небоскреба. На вид он здоров и находится в безопасности. Но пройдет буквально пара мгновений, и будущее этого человека станет крайне туманным.

Если вернуться к вопросам ИБ, то для получения предсказуемых результатов должны быть налажены процессы обеспечения и управления информационной безопасностью. Детальная оценка наличия и выполнения данных процессов – обязательная часть при проведении полноценной оценки.

Финальным документом проведенной оценки, помимо отчета, как правило, является план устранения выявленных недостатков. При формировании данного документа разумно структурировать работы по приоритетности их выполнения и по критичности ресурсов, которые затрагивают выявленные угрозы. Также при выборе защитных мер приоритетней использовать уже внедренные решения и встроенные средства защиты. Все организационные меры должны опираться на существующие порядки поддержания ИТ и обеспечения информационной безопасности. И главное: итоговый план работ должен быть согласован с сотрудниками, на плечи которых ложится его выполнение. В обратном случае велик риск саботажа работ или неправильной трактовки исходной цели защитных мер.

Любой инструмент позволяет извлечь максимальную пользу от своего использования при умелом обращении. Аудит является как раз инструментом, а результат его использования во многом определяется профессионализмом и квалификацией сотрудников специализированного подразделения или внешней компании, проводящих оценку. Результаты правильно проведенного аудита несомненно являются ключевым фактором при планировании и развитии системы информационной безопасности.