Як правило, ніякої нормативної бази щодо організації роботи служби безпеки, напрацьованих матеріалів чи іншої інформації за час діяльності попередньої служби безпеки не залишалося, так само як і розуміння ризиків та загроз, притаманних цьому бізнесу. Тому доводилося розпочинати з нуля.
На початку шляху побудови кар’єри у сфері корпоративної безпеки питання щодо проведення аудиту безпеки бізнесу вводили мене дещо спантеличувало, позаяк у правоохоронних органах цього не навчали, професійної літератури з питань організації безпеки практично не було і доводилося напрацьовувати свої знання на практиці, тобто експериментальним шляхом.
Позаяк тривалий час формувався міф про те, що аудит комерційних підрозділів – це звичайна річ, а от проведення оцінки системи безпеки бізнесу це щось неможливе. Уже надто складно її сформувати, робота творча, нестандартна і вельми специфічна.
Зважаючи на зазначене, поділюся практичним досвідом зі всіма колегами, які лишень починають цей нелегкий шлях у світ корпоративної безпеки бізнесу. Так само ця інформація буде корисною і для власників бізнесу, бо великі зірочки на погонах ваших керівників служб безпеки це не завжди гарантія знань і досвіду у сфері безпеки комерційної організації і їх розуміння, яким шляхом треба йти. Це точно допоможе вам зрозуміти, наскільки досвідчений спеціаліст претендує на посаду керівника з безпеки і чи можна довірити йому створення системи захисту вашого бізнесу.
Продовжуючи тему попередньої статті, розглянемо наступну підсистему корпоративної безпеки – інформаційна безпека.
Наразі є велика кількість підходів до забезпечення та управління інформаційною безпекою. Найефективніші з них формалізовані у стандарти. Міжнародні стандарти та методології у царині ІБ й управління ІТ є орієнтиром при побудові інформаційної безпеки, а також допомагають у вирішенні пов'язаних із цією діяльністю завдань усіх рівнів, як стратегічних і тактичних, так і операційних.
Ось низка запитань, на які варто зважати під час проведення аудиту безпеки бізнесу.
Контрольний чек-лист з інформаційної безпеки має містити питання відповідно до трьох основних чинників: персоналу, процесів і технологій. Тож розглянемо детальніше.
Контрольний чек-лист з інформаційної безпеки
Керівництво, політики і стандарти
- Чи відповідає система управління інформаційної безпеки ISO 27001? (Або інший обраний в організації стандарт з ІБ)
- Чи розроблено та упроваджено в компанії Політику інформаційної безпеки?
- Чи є у штаті компанії співробітники з потрібною компетенцією, робота яких впливає на ефективність ІБ? (Обов’язкова наявність сертифікації з ІБ)
- Чи усі співробітники компанії ознайомлені з Політикою інформаційної безпеки?
- Чи є задокументований перелік конфіденційної інформації?
- Чи визначені особи, відповідальні за інформаційні активи?
- Чи розроблено та впроваджено Зобов'язання про нерозголошення конфіденційної інформації?
- Чи переглядається і оновлюється документація щонайменше раз на рік?
Управління активами
- Чи визначені у Компанії активи (перелік, опис), які слід захищати з погляду збереження конфіденційності, цілісності та доступності інформації?
- Чи проводиться періодична інвентаризація інформаційних активів?
- Чи переглядається класифікація активу зі зміною його цінності?
- Чи проводяться періодичні (не рідше разу на рік) перевірки відповідності наявних контролів установленим вимогам?
- Чи контролюється процес повернення активів Компанії від персоналу і зовнішніх сторін після закінчення їх зайнятості, договору або угоди?
Процеси та операційні практики
- Чи розроблено та впроваджено План відновлення роботи систем і забезпечення безперервності ведення діяльності в критичних ситуаціях?
- Чи визначено список критичних подій, які підлягають моніторингу?
- Чи визначено перелік інцидентів ІБ і їх пріоритетність?
- Чи запроваджено процес моніторингу подій безпеки не залученими у процес адміністрування фахівцями?
Управління доступом
- Чи запроваджено формальний процес надання та скасування надання прав доступу всіх типів користувачів до всіх інформаційних систем і послуг?
- Чи проводиться систематична звірка прав користувачів щодо їх потреби для виконання службових обов'язків (профіль)?
- Чи обмежено і керовано розподіл і використання привілейованих прав доступу?
- Чи інтерактивна і забезпечує якісні паролі система менеджменту паролів?
- Чи має кожен користувач унікальний ідентифікатор для входу в ІС?
- Чи обмежено кількість дозволених невдалих спроб авторизації в ІС?
Управління паролями
- Чи захищений паролем, біометричною або двофакторною аутентифікацією доступ до інформаційних систем?
- Чи налаштована система управління паролями так, щоб забороняти використовувати старі паролі?
Безпека, пов'язана з людським чинником
- Чи проводиться перевірка біографічних даних всіх кандидатів на працевлаштування?
- Чи містять контрактні угоди зі службовцями і підрядниками їх відповідальність і відповідальність організацій з ІБ?
- Чи розроблено та впроваджено програму навчання і підвищення обізнаності нових співробітників із забезпечення інформаційної безпеки?
- Чи є формальний і представлений для ознайомлення дисциплінарний процес, застосовуваний до співробітників, які вчинили порушення ІБ?
Управління персоналом
- Чи повністю покладено функцію контролю за ІБ в інформаційних системах на фахівців служби ІБ?
- Чи всі обов'язки із захисту інформації чітко розподілені і визначені?
- Чи видаляються / блокуються права доступу і облікові дані користувача після його звільнення?
- Чи переглядаються права доступу користувача при переведенні його на нову посаду?
Робота на ПК
- Чи блокуються неактивні сеанси після певного періоду бездіяльності?
- Чи має кожен ПК / ноутбук унікальний ідентифікатор у мережі?
- Чи дозволений доступ до корпоративної пошти на мобільних телефонах / особистих ПК / ноутбуках?
- Чи використовується проксі-сервер для виходу в Інтернет?
- Чи застосовується контроль за виведенням документів на друк?
- Чи застосовується контроль за зніманням інформації на зовнішні носії (USB-пристрої)?
- Чи ведеться журнал користувачів віддаленого доступу?
Технічний / програмний захист інформації
- Чи використовуються криптографічні методи захисту інформації для критичних даних?
- Чи запроваджено в компанії антивірус?
- Чи упроваджено систему запобігання витоків даних (DLP)?
Робота з зовнішніми сторонами
- Чи ідентифікуються ризики, пов'язані з наданням доступу до інформації або ІС компанії зовнішньої сторони?
- Чи затверджено процедуру підписання зовнішньою стороною угоди про нерозголошення конфіденційної інформації?
- Чи видаляються права доступу після припинення найму, контракту або угоди користувачів зовнішньої сторони?
Безпека серверних приміщень
- Чи обладнані серверні приміщення системою контролю доступу і замком на дверях?
- Чи є чинний наказ (розпорядження / службова записка) зі списком персоналу, кому дозволений доступ у серверні кімнати?
- Чи ведеться журнал відвідувань серверних приміщень?
- Чи перебувають серверні приміщення під контролем системи відеоспостереження?
Безпека периметра
- Чи використовується система контролю доступу до приміщень Компанії, які містять чутливу або критичну інформацію і засоби обробки інформації?
- Чи ведеться журнал відвідувань сторонніми особами приміщень Компанії, які містять чутливу або критичну інформацію і засоби обробки інформації?
- Чи розроблений і застосовується фізичний захист від стихійних лих, зловмисних атак або надзвичайних подій?
Обладнання
- Чи захищено обладнання від відмови системи електропостачання?
- Чи захищені силові кабелі і кабелі телекомунікацій, по яких передаються дані або допоміжні інформаційні послуги, від перехоплення, втручання або пошкодження?
- Чи перевіряються перед утилізацією або повторним використанням всі елементи обладнання, які містять носії зберігання інформації, для забезпечення того, що будь-які чутливі дані і ліцензійне ПЗ були видалені або безпечно переписані?
Резервне копіювання
- Чи налаштоване резервне копіювання інформації?
- Чи зберігаються носії з резервними копіями в окремій віддаленій від серверних приміщень будівлі?
Моніторинг і відповідність
- Чи розроблено плани та процедури регулярної незалежної оцінки організаційних і технічних заходів ІБ? (Не рідше разу на рік)
- Чи надаються результати оцінки організаційних і технічних заходів ІБ, а також пропозиції щодо їх поліпшення на розгляд вищому керівництву?
Архів (паперових) документів:
- Чи є в Компанії архів для документів (У паперовому вигляді)?
- Чи розроблено та упроваджено Інструкцію про діловодство (порядок архівації та знищення документів)?
- Чи використовується система контролю доступу до архівних приміщень?
- Чи є чинний наказ (розпорядження / службова записка) зі списком персоналу, кому дозволений доступ до архівних приміщень?
- Чи обладнані архівні приміщення системою автоматичної сигналізації і пожежогасіння?
Захист від несанкціонованого зйому інформації:
- Чи проводяться систематичні перевірки ключових приміщень на пристроях, що прослуховуються, прихованих відеокамерах тощо?
- Чи використовуються для переговорів спеціально атестовані приміщення, що унеможливлюють появу каналів витоку конфіденційної інформації через технічні пристрої?
- Чи залишаються під час конфіденційних заходів мобільні пристрої перед входом у кімнату переговорів?
- Чи обладнані приміщення шредерами?
- Чи обладнані приміщення критично важливих відділів / співробітників сейфами?
Захист персональних даних GDPR
- Чи збирає компанія персональні дані? (Категорії персональних даних?)
- Чи має компанія філії, представництва на території ЄС?
- Чи поінформовано ваше керівництво щодо GDPR?
- Чи є в компанії фахівець із захисту даних? (Data Protection Officer / DPO)
- Чи є у вас процедура щодо повідомлення суб'єктів персональних даних про витік даних?
- Чи переглянуті всі контракти з контрагентами / партнерами на відповідність GDPR?
- Чи проводилася зовнішня оцінка впливу на захист даних? (Data Protection Impact Assessment / DPIA).
Аудит систем безпеки підприємства мають проводити експерти, які мають кваліфікацію, підтверджену міжнародними сертифікатами, і багатим досвідом проведення аудитів та робіт у сфері інформаційної безпеки, як в організаційній, так і практичній сферах.
Завершивши аудит, фахівці готують підсумковий звіт, що містить оцінку поточного рівня безпеки ІТ-інфраструктури, інформацію про виявлені проблеми, аналіз відповідних ризиків і рекомендації по їх усуненню. Якщо в організації немає таких досвідчених фахівців, рекомендую, або звертатись до профільних компаній, які надають послуги з аудиту інформаційної безпеки, або створити в компанії власний підрозділ з ІБ та кібербезпеки.
Є багато думок щодо того, кому має підпорядковуватися служба з ІБ та кібербезпеки. Фахівці поділилися на два табори. Одні вважають, що ці фахівці мають бути у структурі ІТ-департаменту, інші переконані, що вони є частиною Департаменту безпеки. Як на мене, правда десь посередині. Розумна комбінація командної роботи та подвійного контролю зроблять свою справу на відмінно.
У чому я добре переконаний, що комплексна безпека компанії залежить від дій кожного співробітника, який не має осторонь обходити ризики або загрози стосовно його компанії, які стали йому відомі, коли він безпосередньо стикнувся з ними. Власник бізнесу і топ-менеджмент мають запроваджувати корпоративну культуру небайдужості та заохочувати відданих компанії співробітників, пояснюючи їм і колективу, що фінансові успіхи, економічний розвиток компанії мають безпосереднє відношення також і до їх прибутку.
У подальших статтях продовжу розповідати про аудит безпеки бізнесу і поділюся низкою контрольних запитань з інших підсистем безпеки.
Безпечного вам бізнесу!
Опублікована у Журналі "Фінансовий директор компанії" №11 (листопад 2021)