Аудит безпеки бізнесу. Захист інформаційних активів
Згадуючи свою багаторічну практику керівника з безпеки, пам’ятаю, що завжди першим бажанням власників бізнесу було проведення оцінки стану захищеності їх бізнесу.
Як правило, ніякої нормативної бази щодо організації роботи служби безпеки, напрацьованих матеріалів чи іншої інформації за час діяльності попередньої служби безпеки не залишалося, так само як і розуміння ризиків та загроз, притаманних цьому бізнесу. Тому доводилося розпочинати з нуля.
На початку шляху побудови кар’єри у сфері корпоративної безпеки питання щодо проведення аудиту безпеки бізнесу вводили мене дещо спантеличувало, позаяк у правоохоронних органах цього не навчали, професійної літератури з питань організації безпеки практично не було і доводилося напрацьовувати свої знання на практиці, тобто експериментальним шляхом.
Позаяк тривалий час формувався міф про те, що аудит комерційних підрозділів – це звичайна річ, а от проведення оцінки системи безпеки бізнесу це щось неможливе. Уже надто складно її сформувати, робота творча, нестандартна і вельми специфічна.
Зважаючи на зазначене, поділюся практичним досвідом зі всіма колегами, які лишень починають цей нелегкий шлях у світ корпоративної безпеки бізнесу. Так само ця інформація буде корисною і для власників бізнесу, бо великі зірочки на погонах ваших керівників служб безпеки це не завжди гарантія знань і досвіду у сфері безпеки комерційної організації і їх розуміння, яким шляхом треба йти. Це точно допоможе вам зрозуміти, наскільки досвідчений спеціаліст претендує на посаду керівника з безпеки і чи можна довірити йому створення системи захисту вашого бізнесу.
Продовжуючи тему попередньої статті, розглянемо наступну підсистему корпоративної безпеки – інформаційна безпека.
Наразі є велика кількість підходів до забезпечення та управління інформаційною безпекою. Найефективніші з них формалізовані у стандарти. Міжнародні стандарти та методології у царині ІБ й управління ІТ є орієнтиром при побудові інформаційної безпеки, а також допомагають у вирішенні пов'язаних із цією діяльністю завдань усіх рівнів, як стратегічних і тактичних, так і операційних.
Ось низка запитань, на які варто зважати під час проведення аудиту безпеки бізнесу.
Контрольний чек-лист з інформаційної безпеки має містити питання відповідно до трьох основних чинників: персоналу, процесів і технологій. Тож розглянемо детальніше.
Контрольний чек-лист з інформаційної безпеки
Керівництво, політики і стандарти
- Чи відповідає система управління інформаційної безпеки ISO 27001? (Або інший обраний в організації стандарт з ІБ)
- Чи розроблено та упроваджено в компанії Політику інформаційної безпеки?
- Чи є у штаті компанії співробітники з потрібною компетенцією, робота яких впливає на ефективність ІБ? (Обов’язкова наявність сертифікації з ІБ)
- Чи усі співробітники компанії ознайомлені з Політикою інформаційної безпеки?
- Чи є задокументований перелік конфіденційної інформації?
- Чи визначені особи, відповідальні за інформаційні активи?
- Чи розроблено та впроваджено Зобов'язання про нерозголошення конфіденційної інформації?
- Чи переглядається і оновлюється документація щонайменше раз на рік?
Управління активами
- Чи визначені у Компанії активи (перелік, опис), які слід захищати з погляду збереження конфіденційності, цілісності та доступності інформації?
- Чи проводиться періодична інвентаризація інформаційних активів?
- Чи переглядається класифікація активу зі зміною його цінності?
- Чи проводяться періодичні (не рідше разу на рік) перевірки відповідності наявних контролів установленим вимогам?
- Чи контролюється процес повернення активів Компанії від персоналу і зовнішніх сторін після закінчення їх зайнятості, договору або угоди?
Процеси та операційні практики
- Чи розроблено та впроваджено План відновлення роботи систем і забезпечення безперервності ведення діяльності в критичних ситуаціях?
- Чи визначено список критичних подій, які підлягають моніторингу?
- Чи визначено перелік інцидентів ІБ і їх пріоритетність?
- Чи запроваджено процес моніторингу подій безпеки не залученими у процес адміністрування фахівцями?
Управління доступом
- Чи запроваджено формальний процес надання та скасування надання прав доступу всіх типів користувачів до всіх інформаційних систем і послуг?
- Чи проводиться систематична звірка прав користувачів щодо їх потреби для виконання службових обов'язків (профіль)?
- Чи обмежено і керовано розподіл і використання привілейованих прав доступу?
- Чи інтерактивна і забезпечує якісні паролі система менеджменту паролів?
- Чи має кожен користувач унікальний ідентифікатор для входу в ІС?
- Чи обмежено кількість дозволених невдалих спроб авторизації в ІС?
Управління паролями
- Чи захищений паролем, біометричною або двофакторною аутентифікацією доступ до інформаційних систем?
- Чи налаштована система управління паролями так, щоб забороняти використовувати старі паролі?
Безпека, пов'язана з людським чинником
- Чи проводиться перевірка біографічних даних всіх кандидатів на працевлаштування?
- Чи містять контрактні угоди зі службовцями і підрядниками їх відповідальність і відповідальність організацій з ІБ?
- Чи розроблено та впроваджено програму навчання і підвищення обізнаності нових співробітників із забезпечення інформаційної безпеки?
- Чи є формальний і представлений для ознайомлення дисциплінарний процес, застосовуваний до співробітників, які вчинили порушення ІБ?
Управління персоналом
- Чи повністю покладено функцію контролю за ІБ в інформаційних системах на фахівців служби ІБ?
- Чи всі обов'язки із захисту інформації чітко розподілені і визначені?
- Чи видаляються / блокуються права доступу і облікові дані користувача після його звільнення?
- Чи переглядаються права доступу користувача при переведенні його на нову посаду?
Робота на ПК
- Чи блокуються неактивні сеанси після певного періоду бездіяльності?
- Чи має кожен ПК / ноутбук унікальний ідентифікатор у мережі?
- Чи дозволений доступ до корпоративної пошти на мобільних телефонах / особистих ПК / ноутбуках?
- Чи використовується проксі-сервер для виходу в Інтернет?
- Чи застосовується контроль за виведенням документів на друк?
- Чи застосовується контроль за зніманням інформації на зовнішні носії (USB-пристрої)?
- Чи ведеться журнал користувачів віддаленого доступу?
Технічний / програмний захист інформації
- Чи використовуються криптографічні методи захисту інформації для критичних даних?
- Чи запроваджено в компанії антивірус?
- Чи упроваджено систему запобігання витоків даних (DLP)?
Робота з зовнішніми сторонами
- Чи ідентифікуються ризики, пов'язані з наданням доступу до інформації або ІС компанії зовнішньої сторони?
- Чи затверджено процедуру підписання зовнішньою стороною угоди про нерозголошення конфіденційної інформації?
- Чи видаляються права доступу після припинення найму, контракту або угоди користувачів зовнішньої сторони?
Безпека серверних приміщень
- Чи обладнані серверні приміщення системою контролю доступу і замком на дверях?
- Чи є чинний наказ (розпорядження / службова записка) зі списком персоналу, кому дозволений доступ у серверні кімнати?
- Чи ведеться журнал відвідувань серверних приміщень?
- Чи перебувають серверні приміщення під контролем системи відеоспостереження?
Безпека периметра
- Чи використовується система контролю доступу до приміщень Компанії, які містять чутливу або критичну інформацію і засоби обробки інформації?
- Чи ведеться журнал відвідувань сторонніми особами приміщень Компанії, які містять чутливу або критичну інформацію і засоби обробки інформації?
- Чи розроблений і застосовується фізичний захист від стихійних лих, зловмисних атак або надзвичайних подій?
Обладнання
- Чи захищено обладнання від відмови системи електропостачання?
- Чи захищені силові кабелі і кабелі телекомунікацій, по яких передаються дані або допоміжні інформаційні послуги, від перехоплення, втручання або пошкодження?
- Чи перевіряються перед утилізацією або повторним використанням всі елементи обладнання, які містять носії зберігання інформації, для забезпечення того, що будь-які чутливі дані і ліцензійне ПЗ були видалені або безпечно переписані?
Резервне копіювання
- Чи налаштоване резервне копіювання інформації?
- Чи зберігаються носії з резервними копіями в окремій віддаленій від серверних приміщень будівлі?
Моніторинг і відповідність
- Чи розроблено плани та процедури регулярної незалежної оцінки організаційних і технічних заходів ІБ? (Не рідше разу на рік)
- Чи надаються результати оцінки організаційних і технічних заходів ІБ, а також пропозиції щодо їх поліпшення на розгляд вищому керівництву?
Архів (паперових) документів:
- Чи є в Компанії архів для документів (У паперовому вигляді)?
- Чи розроблено та упроваджено Інструкцію про діловодство (порядок архівації та знищення документів)?
- Чи використовується система контролю доступу до архівних приміщень?
- Чи є чинний наказ (розпорядження / службова записка) зі списком персоналу, кому дозволений доступ до архівних приміщень?
- Чи обладнані архівні приміщення системою автоматичної сигналізації і пожежогасіння?
Захист від несанкціонованого зйому інформації:
- Чи проводяться систематичні перевірки ключових приміщень на пристроях, що прослуховуються, прихованих відеокамерах тощо?
- Чи використовуються для переговорів спеціально атестовані приміщення, що унеможливлюють появу каналів витоку конфіденційної інформації через технічні пристрої?
- Чи залишаються під час конфіденційних заходів мобільні пристрої перед входом у кімнату переговорів?
- Чи обладнані приміщення шредерами?
- Чи обладнані приміщення критично важливих відділів / співробітників сейфами?
Захист персональних даних GDPR
- Чи збирає компанія персональні дані? (Категорії персональних даних?)
- Чи має компанія філії, представництва на території ЄС?
- Чи поінформовано ваше керівництво щодо GDPR?
- Чи є в компанії фахівець із захисту даних? (Data Protection Officer / DPO)
- Чи є у вас процедура щодо повідомлення суб'єктів персональних даних про витік даних?
- Чи переглянуті всі контракти з контрагентами / партнерами на відповідність GDPR?
- Чи проводилася зовнішня оцінка впливу на захист даних? (Data Protection Impact Assessment / DPIA).
Аудит систем безпеки підприємства мають проводити експерти, які мають кваліфікацію, підтверджену міжнародними сертифікатами, і багатим досвідом проведення аудитів та робіт у сфері інформаційної безпеки, як в організаційній, так і практичній сферах.
Завершивши аудит, фахівці готують підсумковий звіт, що містить оцінку поточного рівня безпеки ІТ-інфраструктури, інформацію про виявлені проблеми, аналіз відповідних ризиків і рекомендації по їх усуненню. Якщо в організації немає таких досвідчених фахівців, рекомендую, або звертатись до профільних компаній, які надають послуги з аудиту інформаційної безпеки, або створити в компанії власний підрозділ з ІБ та кібербезпеки.
Є багато думок щодо того, кому має підпорядковуватися служба з ІБ та кібербезпеки. Фахівці поділилися на два табори. Одні вважають, що ці фахівці мають бути у структурі ІТ-департаменту, інші переконані, що вони є частиною Департаменту безпеки. Як на мене, правда десь посередині. Розумна комбінація командної роботи та подвійного контролю зроблять свою справу на відмінно.
У чому я добре переконаний, що комплексна безпека компанії залежить від дій кожного співробітника, який не має осторонь обходити ризики або загрози стосовно його компанії, які стали йому відомі, коли він безпосередньо стикнувся з ними. Власник бізнесу і топ-менеджмент мають запроваджувати корпоративну культуру небайдужості та заохочувати відданих компанії співробітників, пояснюючи їм і колективу, що фінансові успіхи, економічний розвиток компанії мають безпосереднє відношення також і до їх прибутку.
У подальших статтях продовжу розповідати про аудит безпеки бізнесу і поділюся низкою контрольних запитань з інших підсистем безпеки.
Безпечного вам бізнесу!
Опублікована у Журналі "Фінансовий директор компанії" №11 (листопад 2021)
- Альтернативи децентралізації енергогенерації в Україні не існує Олексій Гнатенко вчора о 15:31
- Відкриті дані: прозорість проти корупції Діана Граділь вчора о 13:39
- Способи захисту прав власника від самочинного будівництва на земельній ділянці Євген Морозов вчора о 10:45
- Власть, наука, интеллект – инвестиции в средний и малый бизнес и устойчивое развитие Вільям Задорський вчора о 04:01
- Прифронтовий Миколаїв. Яку допомогу можна отримати у місті, де лінія фронту зовсім близько Галина Скіпальська 25.07.2024 13:53
- На що дивляться інвестори? Олександр Висоцький 25.07.2024 12:22
- Де нормальний начпрод, там якісні продукти харчування Дана Ярова 25.07.2024 12:06
- Розвиток європейського ринку водню: Нові ініціативи та перспективи Олексій Гнатенко 25.07.2024 10:17
- Внесіть зміни у свій щоденний "to do list" Катерина Кошкіна 25.07.2024 09:59
- Гранти на відновлення та енергоефективність житла: можливості від Фонду енергоефективності Єгор Фаренюк 24.07.2024 21:44
- Порушення прав власника земельної ділянки внаслідок самочинного будівництва Євген Морозов 24.07.2024 19:48
- Як застосувати методи відбору постачальників НАТО у наших реаліях? Євгеній Сільверстов 24.07.2024 18:00
- Кого підтримуватиме Ізраїль під час виборів у США? Олег Вишняков 24.07.2024 13:22
- Європейська рада схвалила висновки щодо інфраструктури електромережі ЄС Олексій Гнатенко 24.07.2024 12:30
- Спільна власність чоловіка та жінки, які проживають без реєстрації шлюбу Євген Морозов 23.07.2024 19:26
- Boris Johnson: Запрошення до усвідомлення – домовлянь з РФ не буде 1882
- Суди проти рф – реалії, фантазії, міфи. Перспективи Арбітражу 299
- Як застосувати методи відбору постачальників НАТО у наших реаліях? 91
- Чому конкурентні закупівлі – це більше ніж просто вимога закону 65
- Дизайн дитячого простору 63
-
11 млрд доларів тому, кого немає. На що просила гроші Україна в Берліні
Бізнес 87043
-
У Харкові обрали нові назви для трьох станцій метро
Бізнес 11232
-
Помпео виклав своє бачення мирного плану Трампа: лендліз на $500 млрд і реальні санкції
Бізнес 9244
-
Криза мобільного зв’язку. Скільки коштуватиме подовження зв'язку під час відключень
Бізнес 5710
-
Київський підприємець почав розбирати Tesla, щоб заряджати оселі – FT
Технології 5393