Аудит безпеки бізнесу. Захист інформаційних активів

Як правило, ніякої нормативної бази щодо організації роботи служби безпеки, напрацьованих матеріалів чи іншої інформації за час діяльності попередньої служби безпеки не залишалося, так само як і розуміння ризиків та загроз, притаманних цьому бізнесу. Тому доводилося розпочинати з нуля.

На початку шляху побудови кар’єри у сфері корпоративної безпеки питання щодо проведення аудиту безпеки бізнесу вводили мене дещо спантеличувало, позаяк у правоохоронних органах цього не навчали, професійної літератури з питань організації безпеки практично не було і доводилося напрацьовувати свої знання на практиці, тобто експериментальним шляхом.

Позаяк тривалий час формувався міф про те, що аудит комерційних підрозділів – це  звичайна річ, а от проведення оцінки системи безпеки бізнесу це щось неможливе. Уже надто складно її сформувати, робота творча, нестандартна і вельми специфічна.

Зважаючи на зазначене, поділюся практичним досвідом зі всіма колегами, які лишень починають цей нелегкий шлях у світ корпоративної безпеки бізнесу. Так само ця інформація буде корисною і для власників бізнесу, бо великі зірочки на погонах ваших керівників служб безпеки  це не завжди гарантія знань і досвіду у сфері безпеки комерційної організації і їх розуміння, яким шляхом треба йти. Це точно допоможе вам зрозуміти, наскільки досвідчений спеціаліст претендує на посаду керівника з безпеки і чи можна довірити йому створення системи захисту вашого бізнесу.

Продовжуючи тему попередньої статті, розглянемо наступну підсистему корпоративної безпеки – інформаційна безпека.

Наразі є велика кількість підходів до забезпечення та управління інформаційною безпекою. Найефективніші з них формалізовані у стандарти. Міжнародні стандарти та методології у царині ІБ й управління ІТ є орієнтиром при побудові інформаційної безпеки, а також допомагають у вирішенні пов'язаних із цією діяльністю завдань усіх рівнів, як стратегічних і тактичних, так і операційних.

Ось низка запитань, на які варто зважати під час проведення аудиту безпеки бізнесу.

Контрольний чек-лист з інформаційної безпеки має містити питання  відповідно до трьох основних чинників: персоналу, процесів і технологій. Тож розглянемо детальніше.

Контрольний чек-лист з інформаційної безпеки

Керівництво, політики і стандарти

- Чи відповідає система управління інформаційної безпеки ISO 27001? (Або інший обраний в організації стандарт з ІБ)

- Чи розроблено та упроваджено в компанії Політику інформаційної безпеки?

- Чи є у штаті компанії співробітники з потрібною компетенцією, робота яких впливає на ефективність ІБ? (Обов’язкова наявність сертифікації з ІБ)

- Чи усі співробітники компанії ознайомлені з Політикою інформаційної безпеки?

- Чи є задокументований перелік конфіденційної інформації?

- Чи визначені особи, відповідальні за інформаційні активи?

- Чи розроблено та впроваджено Зобов'язання про нерозголошення конфіденційної інформації?

- Чи переглядається і оновлюється документація щонайменше раз на рік? 

Управління активами

- Чи визначені у Компанії активи (перелік, опис), які слід захищати з погляду збереження конфіденційності, цілісності та доступності інформації?

- Чи проводиться періодична інвентаризація інформаційних активів?

- Чи переглядається класифікація активу зі зміною його цінності?

- Чи проводяться періодичні (не рідше разу на рік) перевірки відповідності наявних контролів установленим вимогам?

- Чи контролюється процес повернення активів Компанії від персоналу і зовнішніх сторін після закінчення їх зайнятості, договору або угоди? 

Процеси та операційні практики

- Чи розроблено та впроваджено План відновлення роботи систем і забезпечення безперервності ведення діяльності в критичних ситуаціях?

- Чи визначено список критичних подій, які підлягають моніторингу?

- Чи визначено перелік інцидентів ІБ і їх пріоритетність?

- Чи запроваджено процес моніторингу подій безпеки не залученими у процес адміністрування фахівцями?

Управління доступом

- Чи запроваджено формальний процес надання та скасування надання прав доступу всіх типів користувачів до всіх інформаційних систем і послуг?

- Чи проводиться систематична звірка прав користувачів щодо їх потреби для виконання службових обов'язків (профіль)?

- Чи обмежено і керовано розподіл і використання привілейованих прав доступу?

- Чи інтерактивна і забезпечує якісні паролі система менеджменту паролів?

- Чи має кожен користувач унікальний ідентифікатор для входу в ІС?

- Чи обмежено кількість дозволених невдалих спроб авторизації в ІС?

Управління паролями

- Чи захищений паролем, біометричною або двофакторною аутентифікацією доступ до інформаційних систем?

- Чи налаштована система управління паролями так, щоб забороняти використовувати старі паролі?

Безпека, пов'язана з людським чинником

- Чи проводиться перевірка біографічних даних всіх кандидатів на працевлаштування?

- Чи містять контрактні угоди зі службовцями і підрядниками їх відповідальність і відповідальність організацій з ІБ?

- Чи розроблено та впроваджено програму навчання і підвищення обізнаності нових співробітників із забезпечення інформаційної безпеки?

- Чи є формальний і представлений для ознайомлення дисциплінарний процес, застосовуваний до співробітників, які вчинили порушення ІБ?

Управління персоналом

- Чи повністю покладено функцію контролю за ІБ в інформаційних системах на фахівців служби ІБ?

- Чи всі обов'язки із захисту інформації чітко розподілені і визначені?

- Чи видаляються / блокуються права доступу і облікові дані користувача після його звільнення?

- Чи переглядаються права доступу користувача при переведенні його на нову посаду?

Робота на ПК

- Чи блокуються неактивні сеанси після певного періоду бездіяльності?

- Чи має кожен ПК / ноутбук унікальний ідентифікатор у мережі?

- Чи дозволений доступ до корпоративної пошти на мобільних телефонах / особистих ПК / ноутбуках?

- Чи використовується проксі-сервер для виходу в Інтернет?

- Чи застосовується контроль за виведенням документів на друк?

- Чи застосовується контроль за зніманням інформації на зовнішні носії (USB-пристрої)?

- Чи ведеться журнал користувачів віддаленого доступу?

Технічний / програмний захист інформації

- Чи використовуються криптографічні методи захисту інформації для критичних даних?

- Чи запроваджено в компанії антивірус?

- Чи упроваджено систему запобігання витоків даних (DLP)?

Робота з зовнішніми сторонами

- Чи ідентифікуються ризики, пов'язані з наданням доступу до інформації або ІС компанії зовнішньої сторони?

- Чи затверджено процедуру підписання зовнішньою стороною угоди про нерозголошення конфіденційної інформації?

- Чи видаляються права доступу після припинення найму, контракту або угоди користувачів зовнішньої сторони?

Безпека серверних приміщень

- Чи обладнані серверні приміщення системою контролю доступу і замком на дверях?

- Чи є чинний наказ (розпорядження / службова записка) зі списком персоналу, кому дозволений доступ у серверні кімнати?

- Чи ведеться журнал відвідувань серверних приміщень?

- Чи перебувають серверні приміщення під контролем системи відеоспостереження?

Безпека периметра

- Чи використовується система контролю доступу до приміщень Компанії, які містять чутливу або критичну інформацію і засоби обробки інформації?

- Чи ведеться журнал відвідувань сторонніми особами приміщень Компанії, які містять чутливу або критичну інформацію і засоби обробки інформації?

- Чи розроблений і застосовується фізичний захист від стихійних лих, зловмисних атак або надзвичайних подій?

Обладнання

- Чи захищено обладнання від відмови системи електропостачання?

- Чи захищені силові кабелі і кабелі телекомунікацій, по яких передаються дані або допоміжні інформаційні послуги, від перехоплення, втручання або пошкодження?

- Чи перевіряються перед утилізацією або повторним використанням всі елементи обладнання, які містять носії зберігання інформації, для забезпечення того, що будь-які чутливі дані і ліцензійне ПЗ були видалені або безпечно переписані?

Резервне копіювання

- Чи налаштоване резервне копіювання інформації?

- Чи зберігаються носії з резервними копіями в окремій віддаленій від серверних приміщень будівлі?

Моніторинг і відповідність

- Чи розроблено плани та процедури регулярної незалежної оцінки організаційних і технічних заходів ІБ? (Не рідше разу на рік)

- Чи надаються результати оцінки організаційних і технічних заходів ІБ, а також пропозиції щодо їх поліпшення на розгляд вищому керівництву?

Архів (паперових) документів:

- Чи є в Компанії архів для документів (У паперовому вигляді)?

- Чи розроблено та упроваджено Інструкцію про діловодство (порядок архівації та знищення документів)?

- Чи використовується система контролю доступу до архівних приміщень?

- Чи є чинний наказ (розпорядження / службова записка) зі списком персоналу, кому дозволений доступ до архівних приміщень?

- Чи обладнані архівні приміщення системою автоматичної сигналізації і пожежогасіння?

Захист від несанкціонованого зйому інформації:

- Чи проводяться систематичні перевірки ключових приміщень на пристроях, що прослуховуються, прихованих відеокамерах тощо?

- Чи використовуються для переговорів спеціально атестовані приміщення, що унеможливлюють появу каналів витоку конфіденційної інформації через технічні пристрої?

- Чи залишаються під час конфіденційних заходів мобільні пристрої перед входом у кімнату переговорів?

- Чи обладнані приміщення шредерами?

- Чи обладнані приміщення критично важливих відділів / співробітників сейфами?

Захист персональних даних GDPR

- Чи збирає компанія персональні дані? (Категорії персональних даних?)

- Чи має компанія філії, представництва на території ЄС?

- Чи поінформовано ваше керівництво щодо GDPR?

- Чи є в компанії фахівець із захисту даних? (Data Protection Officer / DPO)

- Чи є у вас процедура щодо повідомлення суб'єктів персональних даних про витік даних?

- Чи переглянуті всі контракти з контрагентами / партнерами на відповідність GDPR?

- Чи проводилася зовнішня оцінка впливу на захист даних? (Data Protection Impact Assessment / DPIA).

Аудит систем безпеки підприємства мають проводити експерти, які мають кваліфікацію, підтверджену міжнародними сертифікатами, і багатим досвідом проведення аудитів та робіт у сфері інформаційної безпеки, як в організаційній, так і практичній сферах.

Завершивши аудит, фахівці готують підсумковий звіт, що містить оцінку поточного рівня безпеки ІТ-інфраструктури, інформацію про виявлені проблеми, аналіз відповідних ризиків і рекомендації по їх усуненню. Якщо в організації немає таких досвідчених фахівців, рекомендую, або звертатись до профільних компаній, які надають послуги з аудиту інформаційної безпеки, або створити в компанії власний підрозділ з ІБ та кібербезпеки.

Є багато думок щодо того, кому має підпорядковуватися служба з ІБ та кібербезпеки. Фахівці поділилися на два табори. Одні вважають, що ці фахівці мають бути у структурі ІТ-департаменту, інші переконані, що вони є частиною Департаменту безпеки. Як на мене, правда десь посередині. Розумна комбінація командної роботи та подвійного контролю зроблять свою справу на відмінно.

У чому я добре переконаний, що комплексна безпека компанії залежить від дій кожного співробітника, який не має осторонь обходити ризики або загрози стосовно його компанії, які стали йому відомі, коли він безпосередньо стикнувся з ними. Власник бізнесу і топ-менеджмент мають запроваджувати корпоративну культуру небайдужості та заохочувати відданих компанії співробітників, пояснюючи їм і колективу, що фінансові успіхи, економічний розвиток компанії мають безпосереднє відношення також і до їх прибутку.

У подальших статтях продовжу розповідати про аудит безпеки бізнесу і поділюся низкою контрольних запитань з інших підсистем безпеки.

Безпечного вам бізнесу!


Опублікована у Журналі "Фінансовий директор компанії" №11 (листопад 2021)