Аудит безпеки бізнесу. Захист інформаційних активів
Згадуючи свою багаторічну практику керівника з безпеки, пам’ятаю, що завжди першим бажанням власників бізнесу було проведення оцінки стану захищеності їх бізнесу.
Як правило, ніякої нормативної бази щодо організації роботи служби безпеки, напрацьованих матеріалів чи іншої інформації за час діяльності попередньої служби безпеки не залишалося, так само як і розуміння ризиків та загроз, притаманних цьому бізнесу. Тому доводилося розпочинати з нуля.
На початку шляху побудови кар’єри у сфері корпоративної безпеки питання щодо проведення аудиту безпеки бізнесу вводили мене дещо спантеличувало, позаяк у правоохоронних органах цього не навчали, професійної літератури з питань організації безпеки практично не було і доводилося напрацьовувати свої знання на практиці, тобто експериментальним шляхом.
Позаяк тривалий час формувався міф про те, що аудит комерційних підрозділів – це звичайна річ, а от проведення оцінки системи безпеки бізнесу це щось неможливе. Уже надто складно її сформувати, робота творча, нестандартна і вельми специфічна.
Зважаючи на зазначене, поділюся практичним досвідом зі всіма колегами, які лишень починають цей нелегкий шлях у світ корпоративної безпеки бізнесу. Так само ця інформація буде корисною і для власників бізнесу, бо великі зірочки на погонах ваших керівників служб безпеки це не завжди гарантія знань і досвіду у сфері безпеки комерційної організації і їх розуміння, яким шляхом треба йти. Це точно допоможе вам зрозуміти, наскільки досвідчений спеціаліст претендує на посаду керівника з безпеки і чи можна довірити йому створення системи захисту вашого бізнесу.
Продовжуючи тему попередньої статті, розглянемо наступну підсистему корпоративної безпеки – інформаційна безпека.
Наразі є велика кількість підходів до забезпечення та управління інформаційною безпекою. Найефективніші з них формалізовані у стандарти. Міжнародні стандарти та методології у царині ІБ й управління ІТ є орієнтиром при побудові інформаційної безпеки, а також допомагають у вирішенні пов'язаних із цією діяльністю завдань усіх рівнів, як стратегічних і тактичних, так і операційних.
Ось низка запитань, на які варто зважати під час проведення аудиту безпеки бізнесу.
Контрольний чек-лист з інформаційної безпеки має містити питання відповідно до трьох основних чинників: персоналу, процесів і технологій. Тож розглянемо детальніше.
Контрольний чек-лист з інформаційної безпеки
Керівництво, політики і стандарти
- Чи відповідає система управління інформаційної безпеки ISO 27001? (Або інший обраний в організації стандарт з ІБ)
- Чи розроблено та упроваджено в компанії Політику інформаційної безпеки?
- Чи є у штаті компанії співробітники з потрібною компетенцією, робота яких впливає на ефективність ІБ? (Обов’язкова наявність сертифікації з ІБ)
- Чи усі співробітники компанії ознайомлені з Політикою інформаційної безпеки?
- Чи є задокументований перелік конфіденційної інформації?
- Чи визначені особи, відповідальні за інформаційні активи?
- Чи розроблено та впроваджено Зобов'язання про нерозголошення конфіденційної інформації?
- Чи переглядається і оновлюється документація щонайменше раз на рік?
Управління активами
- Чи визначені у Компанії активи (перелік, опис), які слід захищати з погляду збереження конфіденційності, цілісності та доступності інформації?
- Чи проводиться періодична інвентаризація інформаційних активів?
- Чи переглядається класифікація активу зі зміною його цінності?
- Чи проводяться періодичні (не рідше разу на рік) перевірки відповідності наявних контролів установленим вимогам?
- Чи контролюється процес повернення активів Компанії від персоналу і зовнішніх сторін після закінчення їх зайнятості, договору або угоди?
Процеси та операційні практики
- Чи розроблено та впроваджено План відновлення роботи систем і забезпечення безперервності ведення діяльності в критичних ситуаціях?
- Чи визначено список критичних подій, які підлягають моніторингу?
- Чи визначено перелік інцидентів ІБ і їх пріоритетність?
- Чи запроваджено процес моніторингу подій безпеки не залученими у процес адміністрування фахівцями?
Управління доступом
- Чи запроваджено формальний процес надання та скасування надання прав доступу всіх типів користувачів до всіх інформаційних систем і послуг?
- Чи проводиться систематична звірка прав користувачів щодо їх потреби для виконання службових обов'язків (профіль)?
- Чи обмежено і керовано розподіл і використання привілейованих прав доступу?
- Чи інтерактивна і забезпечує якісні паролі система менеджменту паролів?
- Чи має кожен користувач унікальний ідентифікатор для входу в ІС?
- Чи обмежено кількість дозволених невдалих спроб авторизації в ІС?
Управління паролями
- Чи захищений паролем, біометричною або двофакторною аутентифікацією доступ до інформаційних систем?
- Чи налаштована система управління паролями так, щоб забороняти використовувати старі паролі?
Безпека, пов'язана з людським чинником
- Чи проводиться перевірка біографічних даних всіх кандидатів на працевлаштування?
- Чи містять контрактні угоди зі службовцями і підрядниками їх відповідальність і відповідальність організацій з ІБ?
- Чи розроблено та впроваджено програму навчання і підвищення обізнаності нових співробітників із забезпечення інформаційної безпеки?
- Чи є формальний і представлений для ознайомлення дисциплінарний процес, застосовуваний до співробітників, які вчинили порушення ІБ?
Управління персоналом
- Чи повністю покладено функцію контролю за ІБ в інформаційних системах на фахівців служби ІБ?
- Чи всі обов'язки із захисту інформації чітко розподілені і визначені?
- Чи видаляються / блокуються права доступу і облікові дані користувача після його звільнення?
- Чи переглядаються права доступу користувача при переведенні його на нову посаду?
Робота на ПК
- Чи блокуються неактивні сеанси після певного періоду бездіяльності?
- Чи має кожен ПК / ноутбук унікальний ідентифікатор у мережі?
- Чи дозволений доступ до корпоративної пошти на мобільних телефонах / особистих ПК / ноутбуках?
- Чи використовується проксі-сервер для виходу в Інтернет?
- Чи застосовується контроль за виведенням документів на друк?
- Чи застосовується контроль за зніманням інформації на зовнішні носії (USB-пристрої)?
- Чи ведеться журнал користувачів віддаленого доступу?
Технічний / програмний захист інформації
- Чи використовуються криптографічні методи захисту інформації для критичних даних?
- Чи запроваджено в компанії антивірус?
- Чи упроваджено систему запобігання витоків даних (DLP)?
Робота з зовнішніми сторонами
- Чи ідентифікуються ризики, пов'язані з наданням доступу до інформації або ІС компанії зовнішньої сторони?
- Чи затверджено процедуру підписання зовнішньою стороною угоди про нерозголошення конфіденційної інформації?
- Чи видаляються права доступу після припинення найму, контракту або угоди користувачів зовнішньої сторони?
Безпека серверних приміщень
- Чи обладнані серверні приміщення системою контролю доступу і замком на дверях?
- Чи є чинний наказ (розпорядження / службова записка) зі списком персоналу, кому дозволений доступ у серверні кімнати?
- Чи ведеться журнал відвідувань серверних приміщень?
- Чи перебувають серверні приміщення під контролем системи відеоспостереження?
Безпека периметра
- Чи використовується система контролю доступу до приміщень Компанії, які містять чутливу або критичну інформацію і засоби обробки інформації?
- Чи ведеться журнал відвідувань сторонніми особами приміщень Компанії, які містять чутливу або критичну інформацію і засоби обробки інформації?
- Чи розроблений і застосовується фізичний захист від стихійних лих, зловмисних атак або надзвичайних подій?
Обладнання
- Чи захищено обладнання від відмови системи електропостачання?
- Чи захищені силові кабелі і кабелі телекомунікацій, по яких передаються дані або допоміжні інформаційні послуги, від перехоплення, втручання або пошкодження?
- Чи перевіряються перед утилізацією або повторним використанням всі елементи обладнання, які містять носії зберігання інформації, для забезпечення того, що будь-які чутливі дані і ліцензійне ПЗ були видалені або безпечно переписані?
Резервне копіювання
- Чи налаштоване резервне копіювання інформації?
- Чи зберігаються носії з резервними копіями в окремій віддаленій від серверних приміщень будівлі?
Моніторинг і відповідність
- Чи розроблено плани та процедури регулярної незалежної оцінки організаційних і технічних заходів ІБ? (Не рідше разу на рік)
- Чи надаються результати оцінки організаційних і технічних заходів ІБ, а також пропозиції щодо їх поліпшення на розгляд вищому керівництву?
Архів (паперових) документів:
- Чи є в Компанії архів для документів (У паперовому вигляді)?
- Чи розроблено та упроваджено Інструкцію про діловодство (порядок архівації та знищення документів)?
- Чи використовується система контролю доступу до архівних приміщень?
- Чи є чинний наказ (розпорядження / службова записка) зі списком персоналу, кому дозволений доступ до архівних приміщень?
- Чи обладнані архівні приміщення системою автоматичної сигналізації і пожежогасіння?
Захист від несанкціонованого зйому інформації:
- Чи проводяться систематичні перевірки ключових приміщень на пристроях, що прослуховуються, прихованих відеокамерах тощо?
- Чи використовуються для переговорів спеціально атестовані приміщення, що унеможливлюють появу каналів витоку конфіденційної інформації через технічні пристрої?
- Чи залишаються під час конфіденційних заходів мобільні пристрої перед входом у кімнату переговорів?
- Чи обладнані приміщення шредерами?
- Чи обладнані приміщення критично важливих відділів / співробітників сейфами?
Захист персональних даних GDPR
- Чи збирає компанія персональні дані? (Категорії персональних даних?)
- Чи має компанія філії, представництва на території ЄС?
- Чи поінформовано ваше керівництво щодо GDPR?
- Чи є в компанії фахівець із захисту даних? (Data Protection Officer / DPO)
- Чи є у вас процедура щодо повідомлення суб'єктів персональних даних про витік даних?
- Чи переглянуті всі контракти з контрагентами / партнерами на відповідність GDPR?
- Чи проводилася зовнішня оцінка впливу на захист даних? (Data Protection Impact Assessment / DPIA).
Аудит систем безпеки підприємства мають проводити експерти, які мають кваліфікацію, підтверджену міжнародними сертифікатами, і багатим досвідом проведення аудитів та робіт у сфері інформаційної безпеки, як в організаційній, так і практичній сферах.
Завершивши аудит, фахівці готують підсумковий звіт, що містить оцінку поточного рівня безпеки ІТ-інфраструктури, інформацію про виявлені проблеми, аналіз відповідних ризиків і рекомендації по їх усуненню. Якщо в організації немає таких досвідчених фахівців, рекомендую, або звертатись до профільних компаній, які надають послуги з аудиту інформаційної безпеки, або створити в компанії власний підрозділ з ІБ та кібербезпеки.
Є багато думок щодо того, кому має підпорядковуватися служба з ІБ та кібербезпеки. Фахівці поділилися на два табори. Одні вважають, що ці фахівці мають бути у структурі ІТ-департаменту, інші переконані, що вони є частиною Департаменту безпеки. Як на мене, правда десь посередині. Розумна комбінація командної роботи та подвійного контролю зроблять свою справу на відмінно.
У чому я добре переконаний, що комплексна безпека компанії залежить від дій кожного співробітника, який не має осторонь обходити ризики або загрози стосовно його компанії, які стали йому відомі, коли він безпосередньо стикнувся з ними. Власник бізнесу і топ-менеджмент мають запроваджувати корпоративну культуру небайдужості та заохочувати відданих компанії співробітників, пояснюючи їм і колективу, що фінансові успіхи, економічний розвиток компанії мають безпосереднє відношення також і до їх прибутку.
У подальших статтях продовжу розповідати про аудит безпеки бізнесу і поділюся низкою контрольних запитань з інших підсистем безпеки.
Безпечного вам бізнесу!
Опублікована у Журналі "Фінансовий директор компанії" №11 (листопад 2021)
- Податкові умов для енергоринку в Україні, Польщі, Угорщині, Німеччині та Нідерландах Ростислав Никітенко 14:21
- Містобудівна документація: генеральний план населеного пункту Євген Морозов вчора о 20:35
- Legal instruments to combat stalking, based on international experience Руслана Абрамович вчора о 17:39
- Спрощення процедур чи посилення контролю? Нове Положення НБУ під час воєнного стану Світлана Приймак вчора о 16:35
- Ключові тренди сталого інвестування та ESG для добувної галузі у 2025 році Ксенія Оринчак вчора о 14:54
- Як забезпечити стабільність та вигоду на енергоринку України у 2025 році? Ростислав Никітенко вчора о 13:31
- Право на здоров’я та трансплантацію: фундаментальне благо і виклик сучасного суспільства Дмитро Зенкін вчора о 13:17
- Як змусити інтер’єр працювати на ваш бренд? Алеся Карнаухова вчора о 11:48
- Успіх компанії залежить від ефективності кожного працівника Катерина Мілютенко 23.12.2024 23:55
- Поділу доходів отриманих другим із подружжя від зайняття підприємницькою діяльністю Євген Морозов 23.12.2024 20:34
- Скасування повідомлення про підготовчі роботи: юридичні аспекти Павло Васильєв 23.12.2024 17:22
- Судова практика: сервітут без переговорів – шлях до відмови в позові Світлана Приймак 23.12.2024 16:11
- Доцільність залучення експерта у виконавчому провадженні Дмитро Зенкін 23.12.2024 13:14
- 2025. Рік економічного відновлення, репатріації та інтеграції військових. Чи буде так? Сергій Лабазюк 23.12.2024 11:43
- Розпорядження майном "цивільного подружжя" при поділі спільного сумісного майна Євген Морозов 22.12.2024 20:34
- Україна сировинний придаток, тепер офіційно? 1432
- Когнітивка від Psymetrics – прогнозований бар’єр для Вищого антикорупційного суду 740
- Вчимося та вчимо дітей: мотивація та управління часом 381
- 2025. Рік економічного відновлення, репатріації та інтеграції військових. Чи буде так? 249
- БЕБ, OnlyFans та податкова істерика: хто насправді винен? 139
-
П'ятірка найкасовіших різдвяних фільмів в історії: класика святкового кіно
Життя 10132
-
В окупованих Росією містах з'явилися компанії з великими оборотами: хто ними володіє
Бізнес 8681
-
Кабмін продовжив на місяць усі бронювання через кібератаку на реєстри
Бізнес 5567
-
Індекс "різдвяного кошика": вартість святкового столу зросла на 23% за рік
Бізнес 4802
-
У чому зараз найбільше лицемірство європейських партнерів? Відповідь шукайте в Берліні
Думка 3249