Страницы

Вся правда об аудите



Все чаще и чаще в сфере ИБ начинают рассматривать Аудит как форму внешнего контроля эффективности. В таких случаях важно понимать особенности и ограничения аудита, чтобы не остатьcя потом с разбитым корытом.



Кадры решают всё

А значит проблема кадров у аудитора - это ваша проблема.

Все солидные аудиторы аккредитованы, сертифицированы и имеют серьезный портфель проектов. Однако внутри компании квалификация специалистов может сильно отличаться. Настоящий эксперт может находится лишь в конце "продуктовой цепочки" и ставить свою подпись на уже готовый отчёт. Это достаточно типовая ситуация. Поэтому если вы решили переплатить за репутацию аудитора, то убедитесь, что уровень непосредственных исполнителей соответствует заявленной стоимости трудодня.

К тому же даже опытный аудитор не обладает глубокими знаниями и опытом во всех сферах ИБ одновременно. Поэтому более "технические" аудиторы (и компании-аудиторы) будут искать у вас уязвимости, а более "бумажные" - строить модель зрелости процессов ИБ по методике CMMI. Определитесь, что вам важнее.

Аудитор != Регулятор

Многие стандарты безопасности позволяют использовать "компенсирующие меры". Как правило, такие меры слабо формализованы, и их эффективность оценивается "экспертным методом", что вносит дополнительные риски в проект. Компенсирующие меры могут быть так же предложены из набора компетенций компании-аудитора, что приведёт к конфликту интересов (об этом ниже).

Волей-неволей аудитор берет на себя ответственность за толкование требований стандарта. А значит всегда существует некая субъективная дельта между мнением двух и более экспертов. Дельта становится существенной, если мы начинаем сравнивать мнение аудитора, в обязанности которого входит доказывание соответствия стандарту, и регулятора, который, наоборот, ищет несоответствия. Например, требование об использовании антивируса один может толковать как "антивирус используется хотя бы на одном этапе обработки информации", а другой как "антивирус должен использоваться на каждом этапе обработки". Поэтому успешный аудит не гарантирует вам успешную проверку регулятора.

(Не)зависимость Аудитора

Часто одним из главных аргументов в пользу аудита выступает независимость и беспристрастность аудитора.
Но так ли это?
Во-первых, аудитор работает с вашими сотрудниками и знает только то, что они ему говорят.

Многие вещи можно легко скрыть от аудитора, завалив его горой внутренних документов. СТО БР ИББС содержит 783 показателя, по каждому из которых аудитору необходимо проверить внутренний документ, опросить сотрудника и провести испытание. Тут вполне можно упустить из виду не только вебсервер, но и целый филиал.

Во-вторых, аудиторское мнение сложно назвать независимым, так как отрицательное заключение, как правило, исключено контрактом. Кроме того аудитор в ходе проведения работ решает и свои собственные задачи: продать вам дополнительные услуги, добавить ваш бренд к своему портфолио и так далее.

Область аудита - слабое звено

Часто область аудита - это то, что урезается в первую очередь при уменьшении стоимости проекта, и то, что отличает аудитора от хакера или регулятора. Одна известная компания при проведении пентеста использует только сертифицированное в России wi-fi оборудование, мощность которого в разы меньше, чем мощность хакерских карт, что выливается в погрешность в итоговой модели нарушителя.

Зачастую, из области аудита могут так же исключать и целые сегменты сети: старые информационные системы, которые не хотят патчить, чтобы ненароком не поломать. Такие системы - лакомый кусочек для хакера или регулятора.

Вывод

Прежде чем браться за аудит ИБ, необходимо чётко представлять себе (и поделиться с аудитором) цель аудита и область аудита. Иначе проект скорее всего затянется, а итоговый результат будет не соответствовать  вашим ожиданиям.

PS гифки взяты с securityreactions.

Комментариев нет:

Отправка комментария