Внешний аудит ИБ: на что обратить внимание?

Александр Пуха
Консультант по ИБ компании АМТ-ГРУП

В контексте настоящего материала аудит ИБ в оптимальной степени определяет стандарт ISO 19011 "Руководящие указания по аудиту систем менеджмента": систематический, независимый, документированный процесс получения свидетельств аудита и объективного их оценивания, чтобы определить степень соблюдения критериев аудита. Таким образом, в понятие "аудита" вкладывается оценка на соответствие определенным четким критериям, в качестве которых могут выступать требования законодательства, стандарты и "лучшие практики", нормативно-методические документы и иные формализованные нормы.

Необходимость проведения аудитов в ряде случаев обусловлена требованиями законодательства и стандартов, в остальных случаях решение о его проведении принимается самой организацией. Вне зависимости от мотивов, целей и задач организации стремятся использовать такую модель аудита, которая позволила бы наиболее эффективно достигать этих целей, получать максимально полные, объективные и полезные результаты. Используемая модель может предусматривать вовлечение в процесс аудита как внутренних, так и внешних по отношению к организации лиц и органов.

Что касается проведения аудита внешними по отношению к организации лицами, следует выделить следующие случаи:

• сама организация привлекает стороннее лицо для проведения аудита ИБ;
• аудит ИБ организации проводится ее контрагентом с целью подтверждения соответствия определенным требованиям и/или определенному уровню ИБ;
• аудит проводится независимой организацией (например, органом по сертификации) или регулирующим органом с целью контроля (инспекционная проверка).

В последние годы первый тип аудитов становится все более востребованным на рынке ИБ. Их роль существенно возрастает в условиях непрерывного роста количества и сложности используемых IТ, количества векторов атак на корпоративные информационные системы (КИС) и разнообразия законодательных и нормативных актов. При этом внутренние специалисты организаций не всегда имеют время, возможности, а иногда и навыки для самостоятельного проведения всех проверок. Кроме того, внешний аудитор может взглянуть на ситуацию свежим, "незамыленным" взглядом и выявить несоответствия, которые не были замечены в процессе повседневной деятельности и внутреннего контроля.

На что стоит обратить внимание организации при планировании и проведении внешнего аудита ИБ, чтобы цели были достигнуты в полной мере, а полученные результаты соответствовали ожиданиям? Руководствуясь опытом и наблюдением результатов деятельности аудиторов в различных организациях, можно выделить несколько важных моментов.

Узнать все, не проверяя всех и каждого

Одним из принципов аудита является полнота, что предполагает охват всех областей аудита, соответствующих установленным объему и границам. Количество подразделений и работников, численность и разнообразие компонентов КИС (приложений, СУБД, средств защиты информации и др.), входящих в границы аудита, на практике настолько велико, что проводить анализ всех и каждого крайне трудозатратно и в большинстве случаев нецелесообразно ввиду ряда причин и организационных особенностей.

Когда всеобъемлющий анализ чрезмерно затратен и непрактичен, аудиторами применяется метод аудиторской выборки – анализируется перечень определенным образом отобранных элементов из всего множества проверяемых с целью на основе данного анализа сделать вывод обо всей проверяемой совокупности.

Вне зависимости от выбранного способа отбора элементов выборки (экспертное мнение, статистическая), представителям проверяемой организации в каждом случае следует совместно с аудиторами принимать решение и определять возможность применения выборочного исследования. Необходимо убедиться, что аудиторами определены:

• цели осуществления выборочного анализа;
• объем и состав всей проверяемой совокупности;
• обоснованный подход к формированию выборки;
• непосредственно объем выборки.

Указанные сведения должны быть документированы, проанализированы уполномоченными и компетентными работниками проверяемой организации и согласованы перед проведением аудита ИБ. Это в том числе позволит минимизировать один из наиболее существенных рисков – риск необнаружения – риск получения вывода о том, что нарушений нет, вопреки тому, что в действительности они есть.

Состав проектной команды

Широкие границы аудита, большое количество технических средств различных производителей, версий и конфигураций выдвигают определенные требования к численности и составу проектной команды внешних аудиторов. В нормальной ситуации состав группы аудита определяется проверяющей организацией исходя из конкретных условий. В реальности повсеместно можно столкнуться с ситуацией, когда данные организации с целью экономии ресурсов (а порой по причине их недостатка или полного отсутствия) стремятся свести к минимуму количество задействованных в отдельных аудитах специалистов и объемы их трудозатрат.

Помимо необходимого количества аудиторов стоит также подумать о привлечении в команду технических экспертов, без которых (за редким исключением) сложно обеспечить качественное выполнение работ.

Профессионализм аудиторов

Если в предыдущем пункте речь шла в первую очередь о количестве специалистов, то в данном – о качестве. Ситуация схожая: несмотря на то, что привлечение специалистов, компетентность которых соответствует особенностям конкретного аудита, является задачей проверяющей организации, в реальности без должного контроля можно получить несоответствие желаемого и действительного. А от компетентности тех, кто проводит аудит ИБ, в конечном итоге зависит доверие к его результатам.

Меры контроля схожи с предыдущим пунктом: сбор информации об опыте аналогичных проектов у членов проектной команды, оценка их профессиональных и личностных качеств. В базовом варианте это может достигаться путем запроса кратких резюме специалистов. По возможности – знакомство до начала аудита с целью оценки их профессионализма и навыков, по меньшей мере, по следующим направлениям:

• принципы, методики и методы аудита ИБ;
• нормативно-методические документы, которые будут служить критериями аудита;
• опыт проведения аудитов ИБ в организациях схожих масштабов и отраслей.

При этом нет необходимости, чтобы все аудиторы в группе аудита имели одинаковую компетентность, однако, нужно, чтобы общая компетентность группы была достаточной для достижения целей аудита.

Разнообразие свидетельств аудита

Также следует обратить внимание на состав используемых свидетельств аудита, в качестве которых, например, могут выступать:

• нормативно-методическая документация;
• заполненные опросные листы и протоколы интервью по результатам устных опросов;
• результаты осмотра помещений и наблюдения за деятельностью;
• результаты технологического аудита ИБ.

Перед началом аудита необходимо убедиться, что планируемая к использованию методика предусматривает достаточный и адекватный целям набор свидетельств.

В последнее время набирает популярность проведение технологического аудита ИБ в рамках общего. В общем случае он включает анализ конфигураций компонентов КИС на предмет корректности и соответствия требованиям и стандартам. Проверки также полезны для определения реальной защищенности компонентов, соблюдения правил администрирования: нередки случаи, когда в требованиях прописано одно (что подтверждается словами ответственных работников), а по факту проверки система настроена иначе. При постановке задач аудиторам рекомендуется не ограничиваться документальными проверками и интервью, а включать в состав работ технологический аудит, что позволит увидеть, что происходит в реальности, в "боевых" системах, а не на бумаге.

Достоверность свидетельств

Какие бы свидетельства не использовались, формирование заключений должно основываться только на их оценке. В каждом выводе аудитор должен опираться на конкретные свидетельства, факт получения и наличие которых он в состоянии подтвердить.

Это может казаться очевидным, но на практике, ввиду разнообразия используемых свидетельств, этот принцип не всегда соблюдается. Особенно, когда культура и особенности проверяемой организации не предполагают излишней бюрократии, "лишних бумажек", в них царит атмосфера доверия.

Тем не менее, специфика аудиторской деятельности обязывает быть способным обосновать любой вывод четкими фактами. А значит, всегда необходимо иметь подтверждение этих фактов, например: запрос информации – опросный лист или электронное письмо, устный опрос – подписанный протокол, анализ конфигураций – скриншот или файл конфигурации.

Для представителей проверяемой организации наличие таких подтверждений также позволит избежать возможных эксцессов, недопонимания и конфронтации со смежными подразделениями, внезапных "изменений показаний" в дальнейшем. Поэтому перед началом аудита необходимо убедиться, что методика аудита ИБ предусматривает фиксирование всех свидетельств, а в ходе аудита предоставлять средства и полномочия для их фиксирования аудиторами.

Заключение

Ряд представленных принципов и моментов в теории выглядят очевидными, но на практике они соблюдаются далеко не всегда. Большинство организаций, привлекающих внешних аудиторов, априори считают их высококлассными экспертами и, полностью на них полагаясь, рассчитывают на то, что все будет сделано "в лучшем виде".

В реальности же должен действовать принцип "доверяй, но проверяй". Речь, конечно же, не идет о тотальном контроле каждого шага, в таком случае мероприятие как таковое потеряло бы смысл. Но для гарантии того, что поставленные цели будут в полной мере достигнуты, а результаты будут предельно точными, практически полезными и жизнеспособными, определенные меры контроля использовать необходимо. В таком случае внешний аудит не просто позволит выявить существующие нарушения, но и обязательно привнесет что-то новое, помогая повысить эффективность и результативность системы ИБ в целом.