З питанням інформаційної безпеки на проєкті стикалися, напевно, більшість менеджерів проєктів (PM). Це питання важливе не лише під час розробки платіжної системи чи інших фінансових інструментів, адже безліч застосунків мають функцію прийому онлайн-платежів. Що ж робити, якщо на проєкті, або і в компанії в цілому, немає фахівця з безпеки? В таких випадках підготовку до аудиту безпеки бере на себе PM. Саме тому так важливо розібратися, в яких питаннях він має бути компетентний.
Поняття і типи аудитів інформаційної безпеки
Аудит інформаційної безпеки – процес отримання об’єктивних оцінок щодо поточного стану автоматизованої системи. Їх умовно поділяють на експертні, сертифікаційні та попередні.
Експертні аудити
Це аудит безпеки, заснований на міжнародних стандартах, кращих практиках та більшою мірою на експертному досвіді аудитора. Саме досвід дозволяє йому створити загальний та детальний звіти, які показують стан безпеки в компанії. У звітній документації можна побачити найбільш вразливі місця в безпеці та рекомендації, як їх позбутися. Цінність такої інформації полягає в тому, що на її основі можна побудувати план усунення критичних вразливостей.
Цей тип аудиту може бути доречним у випадку, якщо вам поки що непотрібні жодні сертифікації.
Сертифікаційні аудити
Це перевірка відповідності компанії всім вимогам PCI DSS – стандарт безпеки даних платіжних карток. Він був розроблений Радою зі стандартів безпеки індустрії платіжних карток, заснованою міжнародними платіжними системами Visa, MasterCard, American Express, JCB та Discover.
Це один із найбільш деталізованих стандартів, який надає можливість виявити максимальну кількість вразливостей і загроз. Саме тому аудитори часто беруть його за основу і додають до нього вимоги інших стандартів, які можуть бути застосовані в тому чи іншому випадку
Компаніям необхідно ретельно готуватися до сертифікаційного аудиту. Цей процес проходить у два етапи:
- Проводиться попередній аудит, під час якого потрібно з’ясувати, чи відповідає компанія вимогам цього стандарту. Перевіряються процеси, системи, знання співробітників, звітність.
- За результатами перевірки команда усуває зауваження та впроваджує процеси безпеки.
Після цього відбувається безпосередньо сертифікаційний аудит, за результатами якого керівник отримує звіт з інформацією щодо відповідності компанії вимогам стандарту PCI DSS, а також рекомендаціями з приводу виправлення помилок.
Про що слід дізнатися перед початком аудиту?
Деякі аудитори перед початком перевірки використовують опитувальники, що стосуються загальних, технічних питань та процесів. Пропонуємо приклад загального опитувальника:
- Мета аудиту, що планується.
- Кількість співробітників в Компаній.
- Географічне місцеперебування Компанії та її офісів.
- Робота співробітників у зв’язку з пандемією.
- Стандартизація процесів у Компанії.
- Наявність документації, яка регламентує процеси.
- Загальна інформація про технології безпеки в процесах Компанії.
- Інциденти безпеки.
- Короткий опис корпоративної культури Компанії.
- Головні ризики для процесів Компанії.
- Критична інформація про Компанію.
- Чи є актуальним захист від державних органів? Якщо так – від яких?
Відповіді на ці питання допоможуть правильно спланувати строки проведення аудиту та розставити пріоритетність задач.
Приблизний план аудиту
Розглянемо етапи, за якими відбувається аудит будь-якого типу:
- Аналіз схем, топологій та організаційної структури.
- Аналіз регулярної документації.
- Опитування персоналу.
- Аналіз системних налаштувань.
- Аналіз періодичної звітності.
- Аналіз результатів сканувань.
- Заповнення звіту про внутрішній аудит.
- Уточнення інформації, якої не вистачає.
- Формування фінальної версії звіту.
- Узгодження звіту.
- Формування плану усунення невідповідностей.
- Узгодження плану усунення невідповідностей.
Щодо останніх пунктів слід зазначити, що планів усунення невідповідностей може бути декілька. Це актуально для ситуацій, коли в процесі аудиту виявлено критичні ризики безпеки, які не регламентуються тим чи іншим стандартом або не стосуються сфери перевірки, що проводиться.
Також варто поговорити про документацію, рекомендовану для проходження аудитів. До неї відносять різноманітні політики, процедури та регламенти, які стосуються безпеки при впровадженні програмного забезпечення, використання мережі Інтернет, доступу до інформаційних активів і т.д. Наприклад, Політика інформаційної безпеки, Регламент криптографічного захисту, Процедура керування інцидентами інформаційної безпеки тощо.
Що може впливати на проходження аудиту?
Перед початком перевірки зверніть увагу на такі моменти:
- Підготовка або внесення змін в регуляторні документи, що існують в компанії. Має бути комплект документів, що описує процеси, які відповідають стандарту. Зверніть увагу: ці процеси мають бути не тільки описані, але й імплементовані в компанії. Вони мають реально функціонувати, а всі співробітники повинні знати про їх існування.
- Підготовка актів, реєстрів, планів тестування та іншої звітності. За всіма процесами, про які йшла мова у попередньому пункті, повинна існувати детальна звітність, яка буде перевірятися під час аудиту.
- Модернізація та внесення змін до конфігурації систем і ПО. Вимоги до таких змін будуть формулюватися в залежності від обраного стандарту.
- Проведення внутрішніх та зовнішніх мережевих сканувань і обробка їх результатів. Всі вразливості, знайдені в результаті таких сканувань, повинні бути оброблені: їх потрібно усунути або ж, якщо це неможливо, проаналізувати та розробити компенсаційні заходи.
- Проведення тестів на проникнення. Не варто проводити таке тестування в рамках попереднього аудиту, тому що на цьому етапі внутрішні процеси ще незрілі, і виявити вразливість досить просто навіть без тестів.
- Проведення навчання та тестування планів реагування. Потрібно проводити навчання персоналу як з точки зору підготовки до аудиту, так і для загального знання процесів безпеки. Адже багато зламів програмного забезпечення відбувається саме через недостатність знань співробітників.
- Аналіз прав доступу до логічних і фізичних систем. Якщо ви дійсно хочете налагодити процеси розмежування доступу, перевірте, чи:
- процес надання та блокування прав доступу налаштовано та максимально автоматизовано;
- всі зміни ретельно документуються;
- персонал добре орієнтується в питаннях безпеки;
- надання прав доступу контрольоване;
- проводяться аудити прав доступу.
Відповідальне ставлення до кожного з цих пунктів допоможе пройти аудит безпеки швидко і досягти мети його проведення.
Побудова процесів керування вразливостями
Це одна з найскладніших задач у сфері інформаційної безпеки. Зазвичай побудова таких процесів складається з кількох частин:
- Щоквартальне проведення зовнішніх і внутрішніх мережевих сканувань, як того вимагає стандарт PCI DSS. Проте деякі фахівці більш схильні до щотижневого проведення сканувань.
- Обробка та аналіз результатів мережевих сканувань.
- Побудова процесу усунення вразливостей.
- Контроль за повнотою та якістю усунення вразливостей.
- Своєчасність встановлення актуальних оновлень безпеки.
Ці дії актуальні не тільки під час підготовки до аудиту, але і для забезпечення безпеки інфраструктури компанії в цілому.
Особливості підготовки до аудиту
Існує декілька загальних рекомендацій щодо підготовки до перевірки безпеки:
- заздалегідь узгодьте ресурси та жорстко закріпіть їх за проєктом;
- враховуйте майбутні відпустки, свята, сесії співробітників;
- застосовуйте матеріальну і нематеріальну мотивацію персоналу;
- заплануйте ризики (10–30% в залежності від зрілості процесів у компанії та рівня компетентності персоналу);
- заручіться підтримкою керівництва;
- залучіть профільного спеціаліста (консультанта);
- організуйте навчання співробітників.
Дотримання цих порад дозволить підготуватися до аудиту якісно та швидко.
Підіб’ємо підсумки
Якщо в вашій компанії планується аудит, важливо усвідомити декілька речей:
- Аудит можна використати з вигодою для себе. Експертна перевірка дозволяє зробити акцент на тому, що давно час зробити для вдосконалення процесів, сертифікаційна – залучити нових клієнтів чи контракти, підвищити рівень безпеки проєкту тощо.
- Якісна підготовка – запорука успіху. Розгорнута документація, детальна звітність та відповідність процесів гарантує швидке завершення аудиту з мінімальною кількістю зауважень.
- Залучення профільного спеціаліста прискорює процес та знижує ризики. Це може бути співробітник компанії чи зовнішній консультант.
- Підтримка процесів компанії на відповідному рівні надважлива. Постійно перевіряйте об’єктивний стан речей, навіть якщо здається, що з інформаційною безпекою все добре.
- Особиста взаємодія відіграє важливу роль. Не варто нехтувати комунікаціями з аудитором – це сприятиме його лояльному ставленню.
- Проєктна методологія PMBok відмінно підходить для ведення проєктів. Вона дозволяє PM коректно виконувати свої обов’язки та мінімізувати кількість питань, що виникають у процесі роботи.
Систематизуйте накопичений досвід і отримати оптимальний, концентрований набір знань для успішного управління проєктами на курсі Project Management: Deep Dive Online