Что такое аудит безопасности компьютерной системы
Обновлено: 21.11.2024
Задумываетесь, надежна ли ваша ИТ-инфраструктура? Возможно, вам потребуется провести аудит ИТ-безопасности, который может предоставить бесценную информацию о ваших средствах управления безопасностью.
Аудиты управления рисками вынуждают нас быть уязвимыми, раскрывая все наши системы и стратегии. Они неудобны, но они, несомненно, того стоят. Они помогают нам опережать внутренние угрозы, нарушения безопасности и другие кибератаки, которые ставят под угрозу безопасность, репутацию и финансы нашей компании. Итак, вместо того, чтобы жить в страхе перед проверками, давайте смиримся с ними. Я описал все, что вам нужно знать об аудитах средств контроля безопасности: что это такое, как они работают и многое другое.
Подготовка к аудиту ИТ-безопасности не должна быть самостоятельным мероприятием. Я рекомендую прибегнуть к помощи сторонней программной платформы, которая поможет вам собрать вашу информацию и постоянно отслеживать стратегии безопасности данных, которые у вас есть. Мои любимые продукты — оба от SolarWinds — это Security Event Manager и Access Rights Manager, о которых я подробно расскажу в этой статье.
Какова основная цель аудита безопасности?
Аудит сетевой безопасности – это техническая оценка ИТ-инфраструктуры организации – операционных систем, приложений и т. д. Но прежде чем мы углубимся в различные типы аудита, давайте сначала обсудим, кто может проводить аудит в первую очередь.
- Внутренние аудиторы. В небольших компаниях роль внутреннего аудитора может выполнять ИТ-менеджер старшего уровня в организации. Этот сотрудник отвечает за создание надежных аудиторских отчетов для руководителей высшего звена и внешних специалистов по обеспечению безопасности. Более крупные компании, как правило, делают еще один шаг вперед, нанимая назначенных корпоративных внутренних аудиторов. Эти люди обычно имеют впечатляющий опыт работы в качестве сертифицированного аудитора информационных систем, сертифицированного специалиста по интернет-аудиту или сертифицированного бухгалтера.
- Внешние аудиторы. Внешний аудитор принимает различные формы в зависимости от характера компании и цели проводимого аудита. В то время как некоторые внешние аудиторы работают в федеральных государственных учреждениях или учреждениях штата (например, в Управлении здравоохранения и социальных служб по гражданским правам), другие принадлежат к сторонним аудиторским компаниям, специализирующимся на аудите технологий. Этих аудиторов нанимают, когда этого требуют определенные рамки соответствия, например соответствие SOX.
- Теперь, когда мы знаем, кто может проводить аудит и с какой целью, давайте рассмотрим два основных типа аудита.
- Ручной аудит. Ручной аудит может выполняться внутренним или внешним аудитором. Во время аудита этого типа аудитор проведет собеседование с вашими сотрудниками, проведет сканирование безопасности и уязвимостей, оценит физический доступ к системам и проанализирует средства управления доступом к вашим приложениям и операционной системе.
- Автоматизированный аудит. Автоматический аудит – это автоматизированный метод аудита, также известный как CAAT. Эти аудиты проводятся с помощью надежного программного обеспечения и составляют исчерпывающие, настраиваемые аудиторские отчеты, подходящие для внутренних руководителей и внешних аудиторов. Усовершенствованное программное обеспечение для аудита даже обеспечивает дополнительный уровень безопасности, постоянно отслеживая ИТ-инфраструктуру и предупреждая ИТ-специалистов о подозрительных действиях и превышении заданных порогов безопасности.
Как часто следует проводить аудит безопасности и почему?
ИТ-аудит и кибербезопасность идут рука об руку. Подробные финансовые сведения и другие конфиденциальные данные о сотрудниках, клиентах и заказчиках являются общими для вашей ИТ-инфраструктуры. Кибер-злоумышленники прячутся в тени, ожидая — и создавая — возможности нанести удар и получить доступ к этой сокровищнице данных. Вот почему вы внедряете процедуры и методы обеспечения безопасности. Но что, если вы пропустили недавнее обновление патча или новая система, внедренная вашей командой, была установлена неправильно?
Каждый системный администратор должен знать как можно скорее, если безопасность его ИТ-инфраструктуры находится под угрозой. Проведение ежегодных аудитов помогает выявить слабые места на ранней стадии и установить надлежащие исправления для защиты от злоумышленников. Они также позволяют вам установить базовый уровень безопасности, который вы можете регулярно использовать, чтобы увидеть, как вы продвинулись, и какие области все еще нуждаются в улучшении.
Как минимум убедитесь, что вы ежегодно проводите какую-либо форму аудита. Многие ИТ-команды предпочитают проводить аудит более регулярно, будь то собственные предпочтения в области безопасности или демонстрация соответствия новым или потенциальным клиентам. Некоторые системы соответствия также могут требовать более или менее частых проверок.
Что такое общие стандарты аудита ИТ-безопасности?
Множество стандартов ИТ-безопасности требуют аудита. В то время как некоторые из них применимы в целом к ИТ-индустрии, многие из них более специфичны для сектора и относятся непосредственно, например, к здравоохранению или финансовым учреждениям.Ниже приведен краткий список некоторых наиболее обсуждаемых на сегодняшний день стандартов ИТ-безопасности.
- Соответствие ISO. Международная организация по стандартизации (ISO) разрабатывает и публикует ряд рекомендаций, направленных на обеспечение качества, надежности и безопасности. Семейство стандартов ISO/IEC 27000 является одним из наиболее важных для системных администраторов, поскольку эти стандарты направлены на обеспечение безопасности информационных активов. Стандарт ISO/IEC 27001 известен своими требованиями к системе управления информационной безопасностью.
- Правило безопасности HIPAA. Правило безопасности HIPAA содержит конкретные рекомендации, касающиеся того, как организации должны защищать электронную личную медицинскую информацию пациентов.
- Соответствие стандарту PCI DSS. Стандарт соответствия стандарту PCI DSS применяется непосредственно к компаниям, имеющим дело с любым видом клиентских платежей. Думайте об этом стандарте как о требовании, отвечающем за обеспечение защиты информации о вашей кредитной карте каждый раз, когда вы проводите транзакцию. Обеспечение соответствия стандарту PCI DSS — непростая задача, и я рекомендую использовать такое программное обеспечение, как SolarWinds® Security Event Manager, которое поможет вам ориентироваться в процессах аудита.
- Соответствие SOX. Закон SOX, более известный как Закон Сарбейнса-Оксли в честь его спонсоров, сенатора Пола Сарбейнса (D-MD) и представителя Майкла Дж. Оксли (R-OOH-4), был принят в 2002 году после широко разрекламированный скандал с Enron. Цель состояла в том, чтобы защитить инвесторов, потребовав от всех публичных компаний предоставления точной и достоверной финансовой информации на ежегодной основе.
Рекомендации по аудиту безопасности
Независимо от того, проводите ли вы собственный внутренний аудит или готовитесь к привлечению внешнего аудитора, можно применить несколько передовых методов, которые помогут обеспечить бесперебойную работу всего процесса. Хотя вы, возможно, не сможете сразу реализовать все меры, для вас очень важно работать над обеспечением ИТ-безопасности в вашей организации. Если вы этого не сделаете, последствия могут быть дорогостоящими.
- Вернитесь к основам. Прежде чем отслеживать рост и выявлять подозрительную активность, вам нужно знать, где вы находитесь и как выглядит «нормальное» поведение операционной системы. Именно здесь в игру вступает установление базового уровня безопасности, как я упоминал ранее. Если вы еще не определили свой базовый уровень безопасности, я предлагаю для этого поработать хотя бы с одним внешним аудитором. Вы также можете построить свой собственный базовый уровень с помощью программного обеспечения для мониторинга и отчетности.
- Практика готовности. Информация, которую необходимо собрать для оценки рисков безопасности, часто разбросана по нескольким консолям управления безопасностью. Отслеживание всех этих деталей — задача, вызывающая головную боль и отнимающая много времени, поэтому не ждите до последней минуты. Стремитесь централизовать разрешения вашей учетной записи пользователя, журналы событий и т. д. на одной простой в использовании платформе с помощью стороннего инструмента управления. Это поможет вам быть готовыми, когда к вам постучатся аудиторы комплаенса. Если вы нанимаете внешнего аудитора, также важно практиковать готовность, подробно излагая все ваши цели в области безопасности. При этом ваш аудитор получает полное представление о том, что он проверяет.
- Командная работа. Защита внутренних особо конфиденциальных данных не должна возлагаться исключительно на плечи системного администратора. Каждый в вашей организации должен быть на борту. Таким образом, при найме стороннего эксперта по аудиту или покупке надежной аудиторской платформы приходится платить — многие руководители высшего звена могут задаться вопросом — они платят за себя ценностью, которую они приносят на стол. Имея под рукой правильный инструмент аудита или рядом с вами эксперта, вы можете лучше обеспечить безопасность и защищенность всей вашей ИТ-инфраструктуры. Эти ресурсы выявляют слабые места в системе до того, как это сделают хакеры, и помогают убедиться, что вы соблюдаете соответствующие отраслевые нормы. Создайте убедительную аргументацию и вооружитесь инструментами и талантами, необходимыми для защиты вашей компании.
Контрольный список аудита безопасности ИТ-систем
Оценка безопасности вашей ИТ-инфраструктуры и подготовка к аудиту безопасности может оказаться сложной задачей. Чтобы упростить процесс, я создал для вас простой и понятный контрольный список. Не каждый пункт может быть применим к вашей сети, но это должно послужить надежной отправной точкой для любого системного администратора.
- Запишите все сведения об аудите, в том числе о том, кто проводит аудит и в какой сети проводится аудит, чтобы эти сведения всегда были у вас под рукой.
- Задокументируйте все текущие политики и процедуры безопасности для быстрого доступа.
- Проанализируйте журналы действий, чтобы определить, все ли ИТ-персонал выполнил необходимые политики и процедуры безопасности.
- Определите, какие сотрудники прошли обучение выявлению угроз безопасности, а какие еще нуждаются в обучении.
- Проанализируйте свои исправления безопасности, чтобы убедиться, что все обновлено.
- Проведите самопроверку существующего программного обеспечения, чтобы выявить уязвимости.
- Поиск любых дыр в существующем брандмауэре.
- Проверьте еще раз, кто имеет доступ к конфиденциальным данным и где эти данные хранятся в вашей сети.
- При необходимости внедрите все передовые методы шифрования.
- Проверьте безопасность каждой из ваших беспроводных сетей.
- Проведите сканирование, чтобы определить каждую точку доступа к сети.
- Регулярно просматривайте журналы событий, чтобы свести к минимуму человеческий фактор.
Лучшие автоматизированные инструменты оценки аудита
Существует множество сторонних программных инструментов, которые помогут вам упростить аудит и защитить вашу ИТ-инфраструктуру, но какой из них подходит именно вам? Ниже я описал некоторые из моих любимых, чтобы помочь вам найти подходящий.
Диспетчер прав доступа SolarWinds
Диспетчер прав доступа (ARM) от SolarWinds обеспечивает широкие возможности автоматизации и централизации. Для начала этот инструмент объединяет все файлы журналов и разрешения учетных записей пользователей, предоставляя вам всестороннее представление о вашей ИТ-инфраструктуре с помощью одной удобной панели управления. Это позволяет быстрее выявлять угрозы и реагировать на них, а также собирать информацию, готовую к аудиту, в любой момент. С точки зрения автоматизации мне нравится, как ARM позволяет своим пользователям автоматически деинициализировать учетные записи после превышения заданных пороговых значений. Это помогает системным администраторам уменьшать угрозы и держать злоумышленников в страхе. Но это еще не все — вы даже можете использовать встроенные шаблоны инструмента для создания отчетов по запросу, готовых для аудиторов. Попробуйте бесплатную 30-дневную пробную версию и убедитесь в этом сами.
Диспетчер событий безопасности SolarWinds
SolarWinds Security Event Manager — это комплексное решение для управления информацией и событиями безопасности (SIEM), предназначенное для сбора и консолидации всех журналов и событий с ваших брандмауэров, серверов, маршрутизаторов и т. д. в режиме реального времени. Это помогает вам контролировать целостность ваших файлов и папок, выявляя атаки и шаблоны угроз в момент их возникновения. Платформа также может похвастаться более чем 300 шаблонами отчетов о соответствии в дополнение к настраиваемым параметрам шаблона, помогая вам продемонстрировать соответствие нормативным требованиям несколькими простыми щелчками мыши. Но не верьте мне на слово — попробуйте бесплатную пробную версию сегодня.
Диспетчер журнала событий ManageEngine
EventLog Manager от ManageEngine – это инструмент для управления журналами, аудита и обеспечения соответствия требованиям ИТ. Системные администраторы могут использовать эту платформу для проведения как исторического криминалистического анализа прошлых событий, так и сопоставления шаблонов в реальном времени, чтобы свести к минимуму возникновение нарушений безопасности. Как и Security Event Manager, этот инструмент также можно использовать для аудита сетевых устройств и создания отчетов об аудите соответствия требованиям ИТ. EventLog Manager предлагает надежные услуги, но имейте в виду, что он немного менее удобен для пользователя по сравнению с некоторыми другими платформами, которые я упомянул.
Как выбрать решение для ИТ-аудита и кибербезопасности
Мы рассмотрели много информации, но я надеюсь, что вы уйдете с меньшим беспокойством по поводу аудита безопасности. Когда вы следуете передовым методам аудита безопасности и контрольным спискам аудита безопасности ИТ-систем, аудиты не должны быть такими страшными. Эти меры позволяют держать руку на пульсе всей вашей ИТ-инфраструктуры, а при использовании в сочетании со сторонним программным обеспечением помогают подготовиться к любому внутреннему или внешнему аудиту.
Несмотря на то, что для мониторинга вашей инфраструктуры и консолидации данных предназначено несколько сторонних инструментов, мне больше всего нравятся SolarWinds Access Rights Manager и Security Event Manager. Эти две платформы предлагают поддержку сотен отчетов о соответствии требованиям, которые удовлетворят потребности практически любого аудитора. Просто выберите подходящий отчет, а платформа сделает все остальное. Но это не все. Помимо создания отчетов, обе платформы выводят обнаружение и мониторинг угроз на новый уровень с помощью обширного набора информационных панелей и систем оповещения.Это тот инструмент, который вам нужен для обеспечения успешной ИТ-безопасности в вашей инфраструктуре.
Чтобы убедиться, что заявленные цели системы по-прежнему действительны в текущей среде.
Чтобы оценить достижение поставленных целей.
Для обеспечения надежности компьютерной финансовой и другой информации.
Чтобы обеспечить включение всех записей в процесс обработки.
Чтобы обеспечить защиту от мошенничества.
Аудит использования компьютерной системы
Аудиторы обработки данных проверяют использование компьютерной системы, чтобы контролировать ее. Аудитору нужны контрольные данные, которые получает сама компьютерная система.
Аудитор системы
Роль аудитора начинается на начальном этапе разработки системы, чтобы итоговая система была безопасной. В нем описывается идея использования системы, которая может быть записана, что помогает в планировании загрузки и выборе спецификаций аппаратного и программного обеспечения. Это указывает на разумное использование компьютерной системы и возможное неправильное использование системы.
Пробная проверка
Аудиторская пробная версия или журнал аудита – это запись безопасности, в которой указывается, кто имел доступ к компьютерной системе и какие операции выполнялись в течение определенного периода времени. Аудиторские испытания используются для подробного отслеживания того, как изменились данные в системе.
Он предоставляет документальное подтверждение различных методов контроля, которым подвергается транзакция во время ее обработки. Аудиторские испытания не существуют независимо. Они проводятся в рамках учета восстановления потерянных транзакций.
Методы аудита
Аудит можно проводить двумя способами:
Аудит за компьютером
- Возьмите образцы входных данных и вручную примените правила обработки.
- Сравните выходные данные с компьютерными.
Аудит через компьютер
- Установить контрольную пробную версию, позволяющую изучить выбранные промежуточные результаты.
- Контрольные итоги обеспечивают промежуточные проверки.
Вопросы аудита
Вопросы аудита изучают результаты анализа, используя как описания, так и модели для выявления проблем, вызванных неуместными функциями, разделенными процессами или функциями, нарушенными потоками данных, отсутствующими данными, избыточной или неполной обработкой и неучтенными возможностями автоматизации.
Действия на этом этапе следующие:
- Выявление текущих проблем среды
- Выявление причин проблемы
- Выявление альтернативных решений
- Оценка и анализ осуществимости каждого решения
- Выбор и рекомендация наиболее практичного и подходящего решения
- Оценка стоимости проекта и анализ рентабельности
Безопасность
Безопасность системы относится к защите системы от кражи, несанкционированного доступа и модификации, а также случайного или непреднамеренного повреждения. В компьютеризированных системах безопасность включает в себя защиту всех частей компьютерной системы, включая данные, программное и аппаратное обеспечение. Системная безопасность включает в себя конфиденциальность и целостность системы.
Конфиденциальность системы связана с защитой отдельных систем от доступа и использования без разрешения или ведома заинтересованных лиц.
Целостность системы связана с качеством и надежностью исходных, а также обработанных данных в системе.
Меры контроля
Существует множество мер контроля, которые можно в общих чертах классифицировать следующим образом:
Резервное копирование
Регулярное резервное копирование баз данных ежедневно/еженедельно в зависимости от важности времени и размера.
Инкрементное резервное копирование с более короткими интервалами.
Резервные копии хранятся в безопасном удаленном месте, что особенно необходимо для аварийного восстановления.
Дубликаты систем запускаются, и все транзакции зеркально отражаются, если это очень важная система, которая не может допустить каких-либо нарушений перед сохранением на диске.
Контроль физического доступа к объектам
- Физические замки и биометрическая аутентификация. Например, отпечаток пальца.
- Удостоверения личности или пропуски проверяются сотрудниками службы безопасности.
- Идентификация всех лиц, читающих или изменяющих данные, и регистрация их в файле.
Использование логического или программного контроля
- Система паролей.
- Шифрование конфиденциальных данных/программ.
- Обучение сотрудников уходу за данными, обработке и безопасности.
- Антивирусное программное обеспечение и защита брандмауэра при подключении к Интернету.
Анализ рисков
Риск — это возможность потерять что-то ценное. Анализ рисков начинается с планирования безопасной системы путем определения уязвимости системы и ее влияния. Затем составляется план управления рисками и преодоления последствий стихийных бедствий. Это делается для доступа к вероятности возможных бедствий и их стоимости.
Анализ рисков – это совместная работа экспертов с разным опытом работы, например, с химическими веществами, человеческим фактором и технологическим оборудованием.
При проведении анализа рисков необходимо выполнить следующие шаги:
Идентификация всех компонентов компьютерной системы.
Идентификация всех угроз и опасностей, с которыми сталкивается каждый из компонентов.
Количественная оценка рисков, т. е. оценка потерь в случае, если угрозы станут реальностью.
Анализ рисков — основные этапы
Поскольку риски или угрозы меняются, а также меняются и потенциальные потери, управление рисками должно периодически осуществляться высшим руководством.
Управление рисками — это непрерывный процесс, включающий следующие этапы:
Определение мер безопасности.
Расчет стоимости реализации мер безопасности.
Сравнение стоимости мер безопасности с потерями и вероятностью угроз.
Услуги ИТ-аудита и безопасности информационных систем занимаются выявлением и анализом потенциальных рисков, их снижением или устранением с целью поддержания функционирования информационной системы и бизнеса организации в целом.
Изучать контент
Наши услуги включают:
- Оценка уязвимостей и тестирование на проникновение
Аудит, проверка и оценка ИТ-систем
ИТ-аудит представляет собой оценку управления ИТ-системой, его соответствие корпоративному управлению, видению, миссии и целям организации.
Цель аудита, обзора и оценки ИТ-системы?
- Систематизировать, улучшить и интегрировать бизнес-процедуры и охват бизнес-информации в информационной системе
- Определить риски и слабые места, что позволит определить решения для внедрения контроля над процессами, поддерживаемыми ИТ
- Ускорить процесс сбора бизнес-информации
- Централизировать систему управления и устранить узкие места в потоке информации через ИС
- Соответствие нормативным требованиям
- Сокращение расходов на ИТ, поскольку они составляют значительную часть общих расходов организации
- Обеспечение конфиденциальности, целостности и доступности информации
- Оцените систему ERP до и после внедрения.
- Совместите оценку ИТ и стратегию ИТ
- Следите за стандартами управления ИТ
Подход «Делойта»:
- Тестирование логических и физических элементов управления безопасностью
- Тестирование ИТ-операций
- Тестирование процедур аварийного восстановления
- Тестирование непрерывности бизнеса
- Оценка целостности данных (оценка процесса, идентификация средств контроля. )
- Оценка средств контроля над критически важными системными платформами, сетевыми и физическими компонентами, ИТ-инфраструктурой, поддерживающей соответствующие бизнес-процессы.
- Предварительный просмотр ИТ-стратегии
- Обзор ИТ-организации (организационная структура, руководство. )
- Анализ ИТ-процессов (служба поддержки, управление услугами, надзор за управлением приложениями)
- Надежные средства контроля ИТ и возможности управления рисками
- Управление информацией о безопасности включено
- Улучшенная доступность и целостность данных.
- Улучшенные возможности выхода на новые рынки.
- Повышение репутации
- Долгосрочная экономия
- Рост дохода
Управление ИТ-рисками
Управление ИТ-рисками позволяет измерять, управлять и контролировать связанные с ИТ риски, тем самым повышая надежность процессов и всей информационной системы.
- Безопасность и конфиденциальность (предотвращение утечки информации, безопасность изменений, биометрия и управление идентификацией)
- Данные (конфиденциальность данных, качество данных, доступ к данным)
- Отказоустойчивость и непрерывность (восстановление после сбоя ИС, отказоустойчивость и готовность, тестирование, учения и моделирование)
- Мошенничество (информационная экспертиза, управление рисками мошенничества)
- Платежи (управление платежными рисками, готовность PSD/SEPA, санкции OFAC)
- Проекты и тестирование (управление рисками проекта, управление тестированием, внедрение тестов)
- Контракты (риск заключения контракта, управление рисками поставщика)
- Средства контроля ИТ (контроль изменений, управление технологическими рисками, управление рисками на уровне организации, внутренний аудит ИТ)
Комплексная проверка ИТ
Комплексная проверка ИТ включает в себя всесторонний анализ ИТ-сектора организации, чтобы убедиться, что он соответствует бизнес-целям и в какой степени он поддерживает другие части организации. Это обычно выполняется, когда потенциальный инвестор/партнер хочет получить представление об уровне ИТ-поддержки бизнеса и ИТ-ресурсов.
Интервью с бизнес-пользователями и ИТ-специалистами
Проверка программного обеспечения
Кобит, Делойт Экспресс
Подробное описание ИТ-аудита по целям контроля с описанием целей контроля, выводами и рекомендациями по передовому опыту.
Анализ ресурсов
Анализ оборудования, приложений, операционных систем, ИТ-ресурсов
Кобит, Делойт Экспресс
Подробное описание результатов анализа ресурсов с выводами и практическими рекомендациями
Оценка адекватности информационной системы
Оценка адекватности и актуальности существующей информационной системы и ее поддержки для бизнеса организации.
Учитывая финансовый риск раскрытия данных и ущерб, который злонамеренная атака может нанести здоровью бизнеса, необходима строгая безопасность системы. Узнайте, как провести аудит ИТ-безопасности.
Существует множество угроз для ИТ-систем, и хакерские атаки не являются единственным источником потенциальных проблем. Вам также необходимо обеспечить защиту от внутренних угроз и случайной потери или повреждения данных. Существует множество действий, которые необходимо выполнить для обеспечения надежной безопасности системы.
Вам необходимо проводить периодические проверки ИТ-безопасности, чтобы убедиться в отсутствии пробелов в вашей стратегии безопасности. При проведении аудита ИТ-безопасности вы должны методично работать с контрольным списком, потому что специальные проверки могут просто подтвердить проблемы безопасности, о которых вы думали и с которыми сталкивались.
Ахиллесовой пятой вашего бизнеса станут именно те части системной безопасности, которые вы упустили из виду.
Вот наш список четырех лучших автоматизированных инструментов ИТ-безопасности:
-
Управляйте внедрением Active Directory в организации и ужесточайте учетные данные пользователей. Комплексный менеджер журналов, предоставляющий доступ к архивам для аудита.
- ManageEngine EventLog Analyzer Инструмент безопасности, который можно настроить для демонстрации соответствия стандартам.
- LogicGate — облачная система оценки ИТ-рисков.
Что такое аудит ИТ-безопасности?
Аудит — это оценка системы. Существует много уровней аудита безопасности и разные причины для его проведения. Аудит может проводиться собственными силами с помощью автоматизированных инструментов, в других случаях может потребоваться участие внешних консультантов для выявления и корректировки методов работы, создающих уязвимости в системе безопасности.
Автоматизированный аудит ИТ-безопасности также известен как оценка уязвимости, тогда как процедурные вопросы решаются с помощью управления рисками. Стоимость и прерывание внешнего аудита могут отталкивать, поэтому лучше планировать эти типы аудита ИТ-безопасности реже, чем автоматизированное сканирование системы. Установка программного обеспечения для мониторинга, соответствующего стандартам, автоматически выполнит задачи аудита соответствия.
Инструменты мониторинга, которые можно адаптировать с помощью шаблонов соответствия стандартам, устанавливают набор рабочих методов и создают документацию о соответствии без вмешательства человека. Аудит ИТ-безопасности можно упростить, внедрив передовой опыт, который реализуется с помощью программного обеспечения.
Типы аудита безопасности
Аудит ИТ-безопасности исследует системы и методы работы, выявляя слабые места, которые могут привести к утечке данных, или ищет доказательства того, что утечка данных произошла. Роль аудитора является профессиональной должностью, и существует орган по стандартизации, который выдает сертификаты для профессионалов, вступающих в члены института и сдающих экзамены, чтобы подтвердить свои знания. Таким образом, существуют сертифицированные аудиторы информационных систем и сертифицированные интернет-аудиторы, которые имеют право проводить аудит ИТ-безопасности.
Внутренний аудит
Как следует из названия, внутренний аудит проводится членом организации. Внутренний аудит обычно проводится советом директоров, а не факультативным мероприятием, проводимым ИТ-отделом. В требовании о проведении аудита также должен быть указан стандарт, которого необходимо достичь.
Внутренний аудит обычно проводится нечасто.Это может быть оценка системы, которая гарантирует, что бизнес пройдет внешний аудит.
Аудит ИТ-безопасности предназначен для выявления проблем, которые не заметили руководители ИТ-отделов, и выявления потенциальных лазеек, о которых эти руководители не подумали, поэтому те же самые руководители не подходят для определения повестки дня аудита.
В некоторых крупных компаниях есть отдел внутреннего аудита. Только очень крупные компании имеют такой объем и сферу деятельности, которые позволяют им обосновать наличие в штате квалифицированного ИТ-специалиста-аудитора. Отдел аудита небольших предприятий может нанять специалиста-консультанта по ИТ-безопасности, чтобы укрепить аудиторскую группу на время проведения аудита ИТ-безопасности.
Внешний аудит
Внешний аудит имеет больше полномочий, чем внутренний аудит. Хотя услуги внешнего аудитора оплачиваются проверяемой компанией, ожидается, что этот аудиторский бизнес будет независимым. Он не должен подвергаться давлению с целью фальсификации результатов аудита, чтобы представить ИТ-систему в положительном свете.
Движущей силой внешнего аудита обычно является договорное требование или юридическое обязательство компании доказать отсутствие проблем с безопасностью в ее ИТ-системе. В настоящее время основной целью аудита ИТ-безопасности является подтверждение соответствия стандарту безопасности данных, например HIPAA, PCI-DSS или SOX.
Методы аудита ИТ-безопасности
Двумя платформами аудита ИТ-безопасности являются ручной аудит и автоматический аудит. На самом деле ни один ИТ-аудит не будет проводиться полностью вручную, поскольку аудиторы полагаются на инструменты для извлечения данных из системы. Точно так же ни один аудит не может быть полностью автоматизирован, потому что человеку необходимо установить параметры автоматизированных инструментов и проверить достоверность их результатов. Однако в ручном аудите задействовано больше людей, чем в автоматизированном.
Ручной аудит
Проведение аудита вручную требует много времени и средств. Чтобы быть достойными и авторитетными, люди, проводящие аудит, должны быть квалифицированными специалистами по ИТ-аудиту и получать высокие зарплаты.
У профессионального аудитора есть опыт, который направляет аудит на важные факторы, на которые следует обратить внимание, и обучение, которое обеспечивает методичное и тщательное проведение аудита.
Преимущество ручного аудита состоит в том, что в него можно включить интервью с ключевыми сотрудниками. Он может оценить компетентность тех, кто управляет ИТ-системой. Ручной аудит также может охватывать географические вопросы, такие как расположение ключевого ИТ-оборудования и меры физической безопасности, принятые бизнесом.
Действительность ручной проверки зависит от компетентности и репутации старшего аудитора, возглавляющего расследование, и доверия к команде, проводящей проверку.
Автоматизированный аудит
Компьютерный аудит (CAAT) не полностью автоматизирован. Должны быть люди, которые будут проверять и проверять выполнение аудита и его результаты. Однако CAAT гораздо проще выполнять, чем традиционный ручной аудит.
Автоматические проверки более эффективны, если они используются постоянно. Базу документов для аудита ИТ-безопасности можно наращивать с течением времени, проверяя каждую транзакцию и событие по мере их возникновения. Таким образом, автоматизированный аудит может выполняться поэтапно. Когда необходимо отправить аудиторский отчет, его можно извлечь немедленно.
Постоянный аудит, реализованный с помощью автоматизированной обработки, также помогает ИТ-отделу оставаться на правильном пути. Шаблоны стандартов, встроенные в ИТ-систему, предотвращают небрежность в работе и снижают вероятность того, что бизнес не пройдет аудит, требуемый внешним органом.
Стандарты ИТ-безопасности
- PCI-DSS. PCI-DSS – это требование к обработке платежных карт. Бизнес не сможет принимать платежи от клиентов без аккредитации PCI-DSS. Стандарт PCI-DSS не интересует безопасность всей ИТ-системы предприятия, а только данные платежной карты и личную информацию клиентов.
- HIPAA. Этот стандарт применяется в сфере здравоохранения и в тех компаниях, которые его поставляют. Это связано с личной информацией пациентов.
- SOX – SOX расшифровывается как Закон Сарбейнса-Оксли. Это национальный правовой стандарт в США, направленный на предотвращение фальсификации компаниями отчетов о своей прибыльности и финансовой жизнеспособности. Хотя этот стандарт применяется только к компаниям в США, его также необходимо внедрить во все зарубежные дочерние компании американских компаний.
- GDPR – этот стандарт защиты данных применяется в странах ЕС. Однако любой бизнес, не входящий в ЕС, который хочет вести бизнес в ЕС. В частности, это касается безопасности информации, позволяющей установить личность (PII), хранящейся в цифровом формате.
- ISO/IEC 27000 — семейство стандартов, разработанных Международной организацией по стандартизации (ISO). Эти стандарты не являются прямыми.Однако они часто являются требованиями, установленными предприятиями при заключении контрактов с ассоциированными компаниями, такими как поставщики.
Частота аудита ИТ-безопасности
В отличие от финансового аудита, государственные органы не предъявляют общих требований к частоте аудита ИТ-безопасности. Многие стандарты ИТ-безопасности предусматривают продление аккредитации, что требует аудита. Если вы хотите получить аккредитацию по одному из этих стандартов, вы должны следовать требованиям аудита этого конкретного стандарта.
Согласие финансового аудита и аккредитации стандартов ИТ-безопасности заключается в том, чтобы проводить их ежегодно, и это является наилучшей практикой для аудита ИТ-безопасности.
Упреждающий автоматический аудит выполняется постоянно. Текущий аудит предоставляет всю необходимую документацию, необходимую для аудита стандартов. Если назначен внешний аудит, требование проверяемого предприятия состоит в том, чтобы все его записи были доступны для проверки без предупреждения.
Обычным поводом для проведения аудита ИТ-безопасности является обнаружение утечки данных или серьезной кибератаки. После восстановления после атаки руководители компании, скорее всего, потребуют проведения аудита ИТ-безопасности, чтобы убедиться, что не произойдет еще один инцидент с безопасностью.
Советы по аудиту ИТ-безопасности
Проверки ИТ-безопасности могут быть очень разрушительными. Ручной аудит, в частности, требует, чтобы ИТ-персонал выделял время из своей обычной деятельности для поддержки информационных требований аудиторов. Подготовка к аудиту также может занять очень много времени, поскольку для этого необходимо найти все соответствующие записи и сделать их доступными в подходящем формате.
Есть шаги, которые вы можете предпринять, чтобы обеспечить бесперебойное проведение аудита и минимальное прерывание текущей деятельности ИТ-отдела.
- Выявление конфиденциальных данных. Аудит ИТ-безопасности в соответствии со стандартами будет сосредоточен на одном конкретном пуле данных, таком как данные платежных карт (для PCI-DSS) или личная информация (для HIPAA). Определите все места хранения данных для этого типа данных. Там, где это возможно, централизуйте все критически важные типы данных и сосредоточьте на них усилия по обеспечению безопасности. Если централизация невозможна, убедитесь, что меры безопасности применяются ко всем местам, где хранятся эти данные.
- Управление файлами журналов. Стандарты данных требуют, чтобы все файлы журналов были доступны по запросу для проверки внешним аудитором без предварительного уведомления. Срок хранения для этого требования зависит от стандарта. С архивированием все в порядке, но архивы должны быть легко восстановлены для проверки.
- Управление доступом к ресурсам. Установите политику управления правами доступа, которая координирует доступ к уровням данных и конфиденциальности приложений. Записывайте все события доступа, чтобы можно было должным образом расследовать утечки данных.
- Применяйте безопасные методы работы. Используйте шкафчики для паролей и системы распределения учетных данных, исключающие необходимость отправки учетных данных для входа по электронной почте или написанных на листах бумаги. Убедитесь, что все действия выполняются в рамках ИТ-системы, чтобы их можно было автоматически регистрировать и отслеживать.
Убедитесь, что вы точно знаете, какой стандарт данных вы должны соблюдать и к каким данным или транзакциям относится этот стандарт. Удалите ручные процессы везде, где это возможно, и регистрируйте все действия в ИТ-системе.
Контрольный список аудита ИТ-безопасности
Упростите процесс аудита, убедившись, что ваш ИТ-отдел готов удовлетворить любые требования аудита в любой момент.
Когда прибудет группа внешнего аудита, описанные выше шаги гарантируют, что они смогут провести комплексный аудит безопасности, и ваш ИТ-персонал не должен будет прерывать свою обычную работу.
Лучшие автоматизированные инструменты аудита ИТ-безопасности
Разверните системы, которые контролируют деятельность, чтобы блокировать небезопасные методы работы и поэтапно компилировать аудиторскую документацию. Эти инструменты гарантируют, что вы постоянно соблюдаете стандарты безопасности данных и можете легко пройти любой аудит флэш-памяти.
Что следует искать в инструменте мониторинга ИТ-безопасности?
Мы изучили рынок систем мониторинга безопасности и проанализировали инструменты по следующим критериям:
- Оценка данных управления правами доступа
- Сбор журналов и корреляция
- Оценка соответствия стандартам конфиденциальности данных
- Инструменты автоматической оценки
- Отформатированные шаблоны отчетов о соответствии
- Бесплатная пробная версия или демонстрационный пакет с возможностью бесплатной оценки
- Соотношение цены и качества благодаря инструменту аудита, который экономит время и предлагается по разумной цене.
Учитывая эти критерии выбора, мы определили ряд инструментов, которые вам следует рассмотреть для поддержки требований к аудиту вашей ИТ-системы.
1. Диспетчер прав доступа SolarWinds (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)
SolarWinds Access Rights Manager был создан с учетом процедур соответствия стандартам, поэтому он является проверенным инструментом для соответствия GDPR, PCI-DSS, HIPAA, а также другим стандартам безопасности данных. Отчеты об аудите встроены в диспетчер прав доступа, что упрощает и ускоряет выполнение внутреннего и внешнего аудита.
Основные характеристики:
- Управление учетными записями пользователей
- Очистка аккаунта
- Работает в Active Directory
- Соответствие PCI-DSS, HIPAA и GDPR.
- Портал самообслуживания для пользователей
Это программное обеспечение устанавливается на Windows Server и учитывает реализацию Active Directory, централизуя управление учетными записями между сайтами и приложениями. Он включает функции анализа учетных записей, которые позволяют выявлять небезопасные и неактивные учетные записи. Он также включает в себя портал самообслуживания, позволяющий пользователям обновлять свои собственные учетные записи, и может обеспечивать надежность паролей и политики обновления. Вы можете получить 30-дневную бесплатную пробную версию SolarWinds Access Rights Manager.
2. Papertrail (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)
Papertrail – это облачная служба управления журналами с отличными функциями управления доступностью данных. Сообщения журнала загружаются на сервер Papertrail агентами, установленными на месте. Сервер файлов журнала классифицирует, объединяет и хранит сообщения журнала в стандартном формате, поэтому он может обрабатывать все типы сообщений журнала, включая сообщения, созданные Windows Events и Syslog. Сообщения журнала доступны через средство просмотра файлов журнала для поиска, сортировки и анализа.
Основные характеристики:
- Облачная
- Собирает и объединяет события Windows и системный журнал.
- Архивирование и восстановление журналов
Papertrail имеет очень полезный механизм архивации, который может возвращать файлы в живую сферу для изучения. Это очень важная функция, необходимая аудиторам стандартов данных, что делает ее полезным автоматизированным инструментом аудита ИТ-безопасности.
- Облачный сервис помогает масштабировать сбор журналов без вложений в новую инфраструктуру.
- Шифрует данные как при передаче, так и при хранении.
- Резервное копирование и архивирование выполняются автоматически и являются частью службы.
- Использует как обнаружение на основе сигнатур, так и обнаружение аномалий для максимально тщательного мониторинга.
- Включает бесплатную версию
- Необходимо потратить время, чтобы полностью изучить все функции и параметры.
Мощность обработки данных, период активной доступности и емкость хранилища Papertrail зависят от того, какой из шести планов вы выберете. Существует бесплатная версия, которая обрабатывает 50 МБ данных в месяц.
3. Анализатор журнала событий ManageEngine
ManageEngine EventLog Analyzer предоставляет комплексные процедуры управления журналами. Он собирает и объединяет сообщения журнала, а затем индексирует и сохраняет их. Файлы журналов создаются в удобной структуре каталогов, что упрощает доступ к ним для анализа. Система также включает функции анализа, упрощающие оценку событий.
Основные характеристики:
- Сборщик и консолидатор журналов
- События Windows, системный журнал и журналы приложений
- Жалобы на PCI-DSS, GDPR, SOX, HIPAA и ISO 27001
- Шаблоны отчетов о соответствии
ManageEngine разработала EventLog Analyzer с учетом стандартов защиты данных. В нем есть шаблоны, которые адаптируют систему, чтобы она обеспечивала и поддерживала соответствие PCI-DSS, HIPAA, GDPR, SOX, ISO 27001 и другим стандартам.
- Настраиваемые информационные панели, которые отлично подходят для сетевых операционных центров.
- Несколько каналов оповещения гарантируют, что команды получают уведомления по SMS, электронной почте или через интеграцию приложений.
- Использует обнаружение аномалий, чтобы помочь техническим специалистам в их повседневных операциях.
- Поддерживает мониторинг целостности файлов, который может действовать как система раннего предупреждения о программах-вымогателях, краже данных и проблемах с доступом.
- Функции судебного аудита журналов позволяют администраторам создавать отчеты для судебных дел или расследований.
- Лучше всего подходит для крупных сетей и корпоративных сред.
Программное обеспечение для EventLog Analyzer устанавливается на Windows Server и Linux. Вы можете получить 30-дневную бесплатную пробную версию.
4. Логические ворота
LogicGate – это облачный инструмент управления, управления рисками и обеспечения соответствия требованиям (GRC). Среди услуг LogGate — система оценки рисков ИТ-безопасности, которую можно адаптировать к конкретным стандартам данных, таким как GDPR, PCI-DSS и SOX.
Основные характеристики:
- Облачная
- Соответствие GDPR, PCI-DSS и SOX
- Оценка рисков
Эта услуга создает структуру рисков, адаптированную к вашей отрасли и стандартам, которым вы должны соответствовать. LogicGate также может создавать руководства по аудиту ИТ-безопасности, которые полезны для предварительной проверки, а также в качестве инструмента для тех, кто проводит сам аудит.
Читайте также: