Эксперты отмечают возросшее значение информационных технологий (ИТ) в обеспечении самых важных бизнес-процессов для различных видов деятельности. Одним из главных процессов, обслуживающих основной бизнес, сегодня является обеспечение информационной безопасности (ИБ). В нем достижения ИТ используются особенно активно, и поэтому он тоже сильно зависит от ИТ.
Прямым следствием влияния развития ИТ на обеспечение ИБ стало вовлечение в этот процесс сторонних специалистов. Одна из разновидностей такого разделения труда — услуга внешнего аудита систем обеспечения ИБ.
Задачи внешнего аудита
Цель аудита обеспечения информбезопасности, реализуемого как внешними, так и внутренними средствами, заключается в выявлении реального уровня защищенности информации компании от внешних и внутренних угроз. Надо отметить, что некоторые виды аудита ИБ, по мнению экспертов, выполнить внутренними силами либо очень дорого, либо вообще невозможно из-за процедурных особенностей стоящих перед аудиторами задач. Поэтому полагаться только на внутренний аудит рискованно.
Так, эксперты обращают внимание на то, что инструментальные проверки, направленные на получение сведений об эксплуатационных и технологических уязвимостях, содержащихся в программно-аппаратном обеспечении системы ИБ компании, подразумевают использование дорогих специальных инструментальных средств и привлечение высококвалифицированного персонала для их эффективного обслуживания. Проверку на соответствие отраслевому стандарту Банка России СТО БР ИББС может проводить только аудитор с необходимой аттестацией. Невозможно обойтись только собственными силами и при расследовании инцидентов в сфере ИБ, которые могут привести к серьезным последствиям, в том числе, выходящим за границы компании, на что справедливо обращает наше внимание Илья Лившиц.
Чаще всего внешним аудиторам поручают проверку всей системы обеспечения ИБ (начиная с управления информационной безопасностью) на соответствие тому или иному стандарту. Хотя, как заметил Олег Гурин, аудиту с позиции ИБ может быть подвергнут и отдельный критически важный бизнес-процесс. Например, для кредитной организации это может быть услуга интернет-банкинга.
Одна из важнейших задач ИБ-аудита, по мнению Виталия Пилько, состоит в оценке необходимого объема инвестиций в обеспечение ИБ, определении минимально приемлемого и оптимального бюджета на создание и поддержку комплекса ИБ-систем. С этой точки зрения проведение такого аудита является обязательным этапом планирования и бюджетирования деятельности ИТ-департамента любой компании.
Василий Носаков полагает, что задачи внутреннего и внешнего аудита совпадают, а отличие состоит только в объеме проверок. При внешнем аудите, по его мнению, проверяется, как правило, заранее выделенная, небольшая часть области деятельности компании, и обычно задействуется меньше ресурсов, чем при внутреннем. Работы же по внутреннему аудиту ИБ должны проводиться в компании на постоянной основе, несколько раз в год, и поэтому объем проверок может быть гораздо больше, чем при внешнем аудите, что является главным преимуществом внутреннего аудита.
Эксперты подчеркивают постоянный характер мер обеспечения ИБ и необходимость применения к ним процессного подхода с замкнутым циклом “планирование — исполнение — контроль — внесение изменений”. Внешний аудит рекомендуется проводить ежегодно с целью проверки и корректировки действующих в компании стратегических процедур обеспечения ИБ, а внутренний — постоянно силами одного из подразделений фирмы для ревизии ИТ-рисков и реализации мер, направленных на их минимизацию.
Кому нужен внешний аудит ИБ
Во внешнем аудите ИБ в первую очередь должны быть заинтересованы собственники бизнеса и руководители компании. Им необходима уверенность, что их коммерческая деятельность ведётся в защищенном, контролируемом пространстве. И именно аудит позволяет убедиться в этом, получить оценку степени защиты бизнес-процессов компании от возможного воздействия со стороны злоумышленников. Кроме того, внешний аудит повышает уровень доверия к организации со стороны партнёров и клиентов.
Компании, выходящие на международные рынки, в том числе на электронные биржи, сталкиваются с требованиями законодательного акта Сарбейнса — Оксли (SoX) и соглашения Basel II, соответствие которым подтверждает сертификат, выдаваемый только по результатам специального внешнего аудита. К внешнему аудиту прибегают предприятия, проходящие через период слияний-поглощений, когда оценка ИБ позволяет скорректировать стоимость сделки и помочь в интеграции разных систем. Нужно также иметь в виду имиджевый аспект аудита ИБ, особенно выполненного известными международными аудиторскими компаниями.
Полагаться только на внутреннюю службу информационной безопасности и корпоративные службы ИТ Виталий Пилько считает ошибочным. Появление в компании неконтролируемых специалистов, в чьих руках оказываются “ключи” ко всей ИТ-системе, приводит к образованию одного из наиболее уязвимых мест. “Не секрет, — напоминает он, — что для проникновения внутрь компании злоумышленники широко используют именно человеческий фактор, приемы социальной инженерии. Поэтому в общекорпоративных интересах внешний аудит нужен, чтобы среди прочего повысить уровень контроля над собственными службами ИБ”.
Результаты внешнего аудита важны и для самих корпоративных служб ИТ и безопасности. Разумеется, им не очень-то хочется, чтобы выявленные прорехи в защите компании становились известны руководству. Зато для них неоценимы рекомендации аудиторов, позволяющие выработать и реализовать стратегию развития системы ИБ предприятия.
В ситуациях, когда не хватает квалификации собственных специалистов, внешний аудит становится единственным вариантом решения проблем информбезопасности. В ряде случаев его результаты могут быть важны также службе персонала.
Методики и инструменты аудита ИБ
Принципы проведения внешнего аудита и общий подход к нему определены в ГОСТ Р ИСО 19011:2003. Виктор Гудков считает, что эти подходы применимы и в области ИБ. Способы проведения аудита ИБ можно почерпнуть и непосредственно из описаний стандартов информационной безопасности. Кроме того, на рынке ИТ-услуг в России работает несколько компаний, которые готовы предложить уникальные методики крупнейших консультантов мира. Правда, как правило, они сосредоточены на услугах сертификации на соответствие требованиям международных стандартов.
Несмотря на, казалось бы, возможность получить готовые методики проведения аудита, заказчикам этой услуги нужно иметь ввиду, что универсальных методик, пригодных для любых проектов и любых компаний, не существует. Применение того или иного инструментария зависит от вида аудита и решаемых с его помощью задач. Так, для инструментального обследования используются специализированные сканеры безопасности, такие как XSpider или IBM Internet Scanner, генераторы паролей, современные анализаторы трафика и контента вроде eSafe WTA, системы IDS/IPS и т. п.
Чтобы при инструментальном анализе уязвимостей в защите заказчика действия аудитора не были оценены как попытки реального взлома, Владимир Ляшенко рекомендует проведение таких работ согласовать с провайдером заказчика. А вот согласование с системными администраторами проверяемой компании необходимо только в том случае, если этого требуют условия договора.
Для оценки рисков безопасности специалисты рекомендуют применять нормативно-методические документы, такие как OCTAVE или NIST-800, а также специализированные инструментальные средства, содержащие модули для проведения аудита на соответствие ISO/IEC 27001:2005 (например, CRAMM).
Аудит на соответствие стандарту Банка России по ИБ можно проводить по методике СТО БР ИББС 1.2 и с помощью ПО, распространяемого ассоциацией ABISS.
Павел Первин считает, что используемые аудитором средства (в том числе и методические) должны соответствовать актуальной для компании-заказчика модели нарушителя, и совсем не всегда они представляют собой некий особенный инструментарий. “Важно понимать, — отмечает он, — что сканирование уязвимостей или анализ настроек (что часто выдается за собственно аудит) представляет собой не более чем этап аудита, не дающий действительной картины защищенности. Выявление возможности реализации угроз в рамках выбранной модели нарушителя — вот что является основным свидетельством аудита, на основании которого и делается оценка защищенности. При этом набор инструментов должен соответствовать выбранной модели нарушителя”. Так, при отработке модели “нарушитель — оператор базы данных”, можно обойтись только стандартным программным инструментом разработки и доступа к БД, и, не прибегая к другим инструментам, выявить с его помощью уязвимости типа SQL injection.
Василий Носаков согласен с тем, что выбор инструментальных средств, применяемых во время аудита, служит только для подтверждения достоверности собранных в ходе его выполнения сведений, хотя многие компании, предоставляющие услуги по внешнему аудиту, подменяют это положение, выдавая за результаты аудита ИБ некую интерпретацию результатов работы того или иного инструментального средства.
Часто внешний аудит становится первым этапом работ в комплексных проектах для первичной оценки защищенности компании.
Оценка качества работы и ответственность аудитора
“Заключая договор с аудитором, — рекомендует Виталий Пилько, — не стоит забывать о том, что речь не идет о создании абсолютно неуязвимой системы, но лишь о поиске компромисса между стоимостью мероприятий по обеспечению ИБ и потенциальным ущербом от реализации рисков”. Это важно иметь в виду при формировании задач аудита и оценке его результатов.
Формально внешний аудитор отвечает за все свои действия в соответствии с заключенным договором и действующими законами. "Хорошей практикой, — считает Илья Лившиц, — является заключение договора с внешней компанией, обладающей аудиторами-профессионалами в области ИБ, и включение в договор условий неразглашения конфиденциальной информации и мер финансовой ответственности за результаты работы с обязательным указанием периода, в течение которого компания-аудитор принимает на себя такую ответственность". Он также рекомендует предусматривать в договоре ответственность за риски невыполнения по тем или иным причинам рекомендаций аудиторов (высокая стоимость работ или специальных средств обеспечения ИБ, нехватка компетентного персонала и пр.) и заблаговременно продумывать варианты дальнейшего сотрудничества на основе аутсорсинга, лизинговых программ, страховании рисков и т.п.
Основной критерий качества выполненной аудитором работы, по мнению Виктора Сердюка, — это полнота выявленных недостатков, уязвимостей и несоответствий в системе защиты заказчика, а также содержательность рекомендаций по их устранению. Только в этом случае результаты аудита могут использоваться заказчиком как реальный инструмент повышения уровня ИБ компании. Что же касается ответственности, то в первую очередь, считает он, за качество проведённой работы аудитор отвечает своей репутацией. Если так или иначе выяснится, что работа выполнена аудитором халтурно, то он рискует навсегда потерять для себя это направление бизнеса.
Качество работы независимого аудитора, проверяющего степень защищенности информационной инфраструктуры компании, по мнению Владимира Бычека, можно оценить по вполне осязаемым количественным показателям — таким, как уменьшение случаев обращения в службу технической поддержки по поводу инцидентов, связанных с заражением корпоративных ПК, или снижение затрат из-за нецелевого расходования сетевого трафика.
Очень строгий подход к оценке качества работы аудитора предложил Василий Носаков, определив мерилом качества исполнения работ "осознание и принятие заказчиком тех замечаний и рекомендаций, которые выдал аудитор, а также последующие планы и конкретные действия заказчика по устранению этих замечаний". Это подразумевает, что выданные рекомендации должны быть для данного конкретного заказчика выполнимы. "Если этого не происходит, значит налицо некомпетентность аудитора", — заключает он.
Виктор Гудков напомнил, что качество проверки напрямую зависит от квалификации аудиторов, поэтому он рекомендует особое внимание обращать на уровень органов аккредитации, где те были сертифицированы.
Российский рынок услуг аудита безопасности
Согласно данным, представленных экспертами, доля услуг в общем объеме рынка ИБ составляет около 30%, при этом доля услуг по проведению аудита безопасности от этих 30% ориентировочно составляет 25%. Оценки общего объема российского рынка услуг ИБ за 2006 г. сильно расходятся. Так, по данным компании InfoWatch, он составляет 50 млн. долл., а LETA IT-сompany называет сумму в 700 млн. долл.
Учитывая, что аудит ИБ часто заказывают как подготовительный этап в более масштабных проектах по созданию или модернизации систем информационной безопасности, Виталий Пилько предложил оценивать емкость российского рынка таких услуг с учетом стоимости самих этих проектов. Исходя из среднего показателя их стоимости и из того, что в настоящее время услуги аудита в России составляют не более 7% от общего объема рынка ИБ, он получил сумму приблизительно в 25—40 млн. долл.
Большая часть заказчиков услуг внешнего аудита, по оценкам экспертов, приходится на кредитно-финансовый, телекоммуникационный и промышленный секторы, так как именно там ИТ играют важную роль в бизнес-процессах компаний. В кредитно-финансовой сфере это связано также с появлением стандарта Банка России СТО БР ИББС-1.0-2006 и с обязательным исполнением стандарта защиты информации в индустрии платежных карт PCI DSS.
Интересно, что основными поставщиками услуг в области аудита безопасности в России опрошенные нами эксперты считают вовсе не известные международные консалтинговые компании, а системных интеграторов, специализирующихся в области ИБ (при этом отмечается, что компаний, чья деятельность состояла бы только в консалтинге, проведении аудитов и тестировании на проникновение, в стране единицы).
В любом варианте проведения аудита для подтверждения его качества или соответствия какому-либо стандарту Олег Гурин считает хорошей практикой привлечение третьей — независимой — стороны; что касается финансового аудита, то там это является нормой, закрепленной законом.
Среди особенностей услуг внешнего аудита, предлагаемых российскими компаниями, Василий Носаков выделяет включение в проводимые ими проверки инструментальных исследований, что делает эти услуги более привлекательными для отечественных заказчиков. При этом в большинстве случаев стоимость таких проверок сопоставима со стоимостью аудита, предлагаемого работающими на нашем рынке международными консультантами.
Павел Первин считает, что эпоха “дикого капитализма” принесла в Россию и эпоху “диких аудитов”, для которых характерно отсутствие четкого подхода к тому, что делать, как делать и зачем делать: “Специфика российского рынка такова, что некоторые из заказчиков и те самые "дикие аудиторы" продолжают называть сканирование уязвимостей и анализ настроек "технологическим аудитом", а анкетирование и опрос служащих — "организационным аудитом" (аудит нормативно-правовой базы)”. "В то время как аудит, — подчеркивает он, — это процесс получения комплексных объективных свидетельств, фактов. А результаты сканирования уязвимостей и анализа настроек, анкетирование и опрос служащих не всегда (по факту и определению) являются объективными. Поэтому считать это разновидностями аудита, нельзя. Это лишь его отдельные этапы, части комплекса аудиторских проверок".
Специфика российского рынка аудита ИБ заключается также в том, что он с необходимостью учитывает особенности отечественного законодательства и отраслевых нормативных документов в области ИБ: стандарты ГОСТ и ГОСТ Р, стандарт Банка России СТО БР ИББС, профили по ГОСТ Р 15408-2002, отраслевые требования Гостехкомиссии, ПКЗ-2005 от ФСБ, СТР-К от ФСТЭК, стандарты топливно-энергетического комплекса и др.
Виктор Гудков считает, что именно от законодательных и нормативных обязательных к исполнению требований зависит ближайшее будущее рынка услуг ИБ-аудита, рост его объема. Вместе с этим работающие на территории России компании все чаще начинают следовать также международным требованиям и стандартам в области ИБ: COBIT, ISO 17799:2005, ISO 27001:2005, Basel II и SOX.
В целом российский рынок ИБ, по оценкам специалистов, быстро догоняет западный как по своей структуре, так и по восприятию клиентами базовых целей и задач ИБ. Связано это в первую очередь с повышением уровня критичности надежной работы ИТ-систем для бизнеса.