Оценки и аудиты кибербезопасности: все, что вам нужно знать

Опубликовано: 2 Апреля, 2023

Основным компонентом управления рисками, неотъемлемым элементом обеспечения безопасности и соответствия нормативным требованиям, а также сохранения сертификатов, над получением которых вы так усердно работали, являются оценки и аудиты кибербезопасности. Кто они такие? Они взаимозаменяемы? Это все необходимые процессы? Ты хочешь того или другого? Можно ли поручить это Бобу из IT-отдела или вам нужна независимая помощь третьих лиц? Эти термины гарантии часто используются взаимозаменяемо, но представляют собой разные виды деятельности.

Выбирайте правильные методы обеспечения уверенности и подходящих людей для работы

Пытаясь определить, находится ли ваша организация в состоянии кибербезопасности на должном уровне или соответствует ли она требованиям стандарта безопасности, вы обдумаете различные действия по обеспечению безопасности, которые необходимо предпринять — анализ пробелов, оценка рисков, различные ИТ-тесты, аудиты кибербезопасности., и так далее. Все это принципиально важные действия для постоянного улучшения и обеспечения безопасности.

У программы аудита кибербезопасности есть цель, но это не единственный ответ на все требования по обеспечению безопасности. Оценки и тесты кибербезопасности также являются важной частью процесса обеспечения соответствия требованиям и программы обеспечения безопасности. В большинстве случаев аудит сам по себе может не раскрыть всестороннюю ценность средств контроля безопасности, используемых в вашей организации, поэтому необходимо также использовать другие оценки и тесты. В зависимости от того, чего вы пытаетесь достичь, различные действия будут занимать центральное место. Для улучшения вашего состояния безопасности существует множество доступных действий по обеспечению безопасности, направленных на выявление слабых мест, чтобы можно было внести улучшения. Однако, если вам требуется независимая сторонняя проверка для определенного стандарта или в целях регулирования, вероятно, потребуется специальный аудит безопасности.

Еще один очень важный аспект касается людей, которых вы выбираете для выполнения этих действий по обеспечению уверенности. Качество этих видов деятельности напрямую связано с квалификацией лиц, их выполняющих. Итак, если вы ожидаете качественных результатов, вам нужно нанять подходящих людей для этой работы. Тщательно выбирайте свои оценки, а также людей, выполняющих их, чтобы достичь наилучших результатов.

Обычно используемые методы обеспечения соответствия

Аудит

Аудит является более формальным из всех мероприятий по обеспечению уверенности. Они являются основными методами проверки соответствия. Это оценка чего-то (организации, продукта, системы и т. д.) по сравнению с чем-то другим (конкретным стандартом) для формального подтверждения того, что точные требования соблюдены. Существует два вида аудита: внешний и внутренний.

Что касается внешнего аудита кибербезопасности, то положение организации в области информационной безопасности оценивается по признанному стандарту, который поддается аудиту и сертификации. Ведущим стандартом, поддающимся аудиту и сертификации, является ISO/IEC27001. Используя этот стандарт, аккредитованный аудитор может оценить функцию информационной безопасности организации, чтобы убедиться, что организация соответствует спецификациям, изложенным в стандарте. Спецификации включают рассмотрение обязательных политик, которых необходимо придерживаться, документацию по процессам и процедурам, которые должны присутствовать, должным образом сообщаться и постоянно применяться внутри организации.

Если организация успешно демонстрирует соответствие этому стандарту и проходит процесс оценки (аудит), то сертификация (или возобновление сертификации) является вероятным следующим шагом.

Сертификация обычно действительна только в течение заранее определенного периода, после чего организация должна снова продемонстрировать соответствие, чтобы сохранить свою сертификацию. Это гарантирует, что безопасность будет постоянно поддерживаться, а сертификация сохранит свою ценность и признание. Таким образом, аудит может включать периодические визиты для проверки того, что эффективное выполнение требований продолжается в течение длительного времени.

Внешний аудит формальный, в нем участвует аккредитованная независимая третья сторона (поэтому Боб не подойдет). Это может быть дорого. Кроме того, это часто трудоемкий процесс для всех вовлеченных сторон, поскольку он выполняется во всех отделах. Что является ключевым для внешнего аудита, так это то, что его должен проводить независимый орган, и он должен проводиться в соответствии с общепризнанными проверяемыми стандартами. Именно поэтому он имеет такую большую ценность.

Организация может проводить внутренний аудит по разным причинам (внутренний аудит может быть менее затратным и, возможно, более быстрым). Внутренний аудит может помочь определить степень соответствия организации требованиям спецификации или определить базовый уровень для измерения улучшений для будущих аудитов. Часто внутренние аудиты проводятся на практике перед внешним аудитом.

Важно понимать, что, хотя аудиты часто включают определенные оценки, такие как оценка пробелов и рисков, как часть своего процесса, аудит и оценка — это не одно и то же. Оценка может быть выполнена внутренними силами (Бобом!) и может охватывать одну конкретную область, в то время как аудит рассматривает все аспекты безопасности организации и в основном проводится независимым специалистом. Аудит должен подтвердить, и результат, как правило, проходит или не проходит.

Вам нужен аудит кибербезопасности, когда…

Внешний аудит в основном проводится для соблюдения различных отраслевых норм. Как доверенная организация вы, вероятно, разработали и применили политики кибербезопасности, сообщили об этом своим сотрудникам и обучили их, а также обеспечили постоянный пересмотр и поддержку этих методов и политик, чтобы обеспечить постоянную защиту цифровых активов, которые вы обрабатываете.

Аудит кибербезопасности обеспечивает еще один уровень уверенности. Это средство для проверки и подтверждения того, что то, что вы задокументировали в своих политиках, применяется, а также для проверки того, что у вас есть обязательные элементы управления, чтобы обеспечить правильное применение ваших политик во всей вашей организации. В то время как аудит оценивает соответствие, он также определяет области несоответствия и где требования стандарта не были должным образом выполнены. В этом случае могут быть предоставлены средства правовой защиты, чтобы можно было внести коррективы и ввести дополнительные меры контроля, чтобы обеспечить соблюдение.

Оценка

Как правило, оценка — это процесс сбора и оценки информации для понимания ситуации (людей, процессов и технологий) и принятия обоснованных решений на ее основе. Это не проверка чего-то (системы или продукта) по сравнению с чем-то другим (стандартом), которая приводит к положительному или отрицательному результату, а скорее оценивает ситуацию, чтобы задать будущее направление и помочь продемонстрировать способ движения к достижению цели.

Вам нужна оценка, когда…

Оценка необходима, когда проверка по стандарту не требуется или невозможна. Не все системы безопасности поддаются сертификации или аудиту. Если аудит невозможен, оценка может убедить вас в том, что вы ищете. Оценку можно использовать, чтобы определить, соответствуют ли практики организации лучшим практикам. Оценка может сравнить текущую ситуацию с заранее определенной целью, а не со стандартом, и может определить, насколько развита система безопасности организации. Это может помочь найти слабые места и уязвимые места, чтобы можно было принять корректирующие меры. Это может помочь лучше управлять рисками.

Виды оценок

Анализ расхождений

Гэп-анализ — это способ сравнить текущую производительность с потенциальной производительностью — где вы находитесь и где вы хотели бы быть. Пробелы являются средством трансформации. Анализ пробелов в кибербезопасности используется для оценки того, в какой степени организация соблюдает методы информационной безопасности.

В отчете об анализе пробелов обычно обобщаются пробелы, области, в которых требования успешно выполняются, и предлагаются некоторые советы о том, как закрыть любые пробелы, чтобы выполнить требования, которые не выполняются. В основном он используется, когда организация хочет определить существующие дыры в своей безопасности, чтобы они могли заполнить эти дыры, чтобы приблизиться к достижению своей цели безопасности. Это может быть выполнено за счет внутренних ресурсов.

Вам нужен гэп-анализ, когда…

Гэп-анализ может быть выполнен в любое время. Однако это часто выполняется на начальных этапах разработки нового процесса. Таким образом, любые проблемы могут быть обнаружены и устранены на ранней стадии. Часто анализ пробелов проводится в начале пути к соответствию и обычно проводится для того, чтобы организация имела представление о том, где она находится по отношению к стандарту или набору требований безопасности, которые она пытается выполнить. Этот подход заключается в выявлении пробелов, чтобы организация могла принять меры для их закрытия. Это не аудит, но его можно использовать как часть процесса аудита.

Оценка рисков

Оценка риска используется для оценки того, насколько эффективны средства контроля организации (технические и управленческие) для снижения риска кибербезопасности. Это высокоуровневый обзор технологий, средств контроля и процедур, который проводится для выявления, оценки и определения уровня риска, а также для определения приемлемого уровня риска. Это не то же самое, что гэп-анализ. Это может быть внутренняя самооценка (поэтому Боб может провести ее, если у него есть для этого навыки!) Однако это можно поручить и независимому третьему лицу (консультанту). Что касается гэп-анализа, то это не аудит.

Оценка включает в себя сопоставление реестра активов данных со всеми критически важными активами, чтобы можно было оценить инфраструктуру, приложения и службы с учетом этого. Риск интегрируется в процесс принятия решений при построении стратегии защиты, поэтому его необходимо знать, чтобы можно было применять подходящие меры управления, мониторинга и безопасности.

Вам нужна оценка риска, когда…

Оценка риска необходима, когда вы хотите оценить уровень потенциального риска от людей, процессов и технологий, а также его влияние на вашу организацию. Оценка рисков — это хороший способ выделить текущие угрозы, уязвимые места ваших систем и потенциальные возможности их эксплуатации. Это также должно позволить вам оценить эффективность ваших средств контроля и потенциальный риск или влияние риска.

Организации следует периодически (не реже одного раза в год) проводить оценку рисков и, возможно, чаще, особенно при изменении динамики ИТ-среды. Это не является обязательным, но рекомендуется, чтобы организация могла быть в курсе любых рисков, связанных с их средой. Таким образом, можно принять меры для надлежащего управления рисками с помощью подходящего плана кибербезопасности, основанного на рисках.

Оценка уязвимости

Оценку уязвимости не следует путать с оценкой риска. Они разные. Уязвимость — это слабое место в системе или приложении, которое потенциально может быть использовано. Риск подразумевает гораздо больше, чем уязвимость, поскольку включает в себя любые действия, которые могут повлиять на уровень риска организации, а не только уязвимость в определенной области. Оценка уязвимости в основном фокусируется на обнаружении того, существует ли уязвимость и как ее исправить, и не отражает влияние риска.

Риск не всегда связан с уязвимостью. Даже без уязвимости организация все еще имеет риск. Таким образом, в отличие от обширной оценки рисков, оценка уязвимости направлена на обнаружение уязвимости в системе безопасности, чтобы организация могла конкретно ее устранить.

Тесты

Тесты могут быть проведены персоналом внутри компании, но когда их проводит независимый источник, результаты получают более высокий уровень доверия. Распространенным тестом безопасности является тест на проникновение. Для этого теста тестер подвергает сеть существующим методам атаки. Чтобы увидеть, как система организации справляется с распространенными атаками. Это ни в коем случае не полный тест безопасности и средств контроля, но это дополнительный способ исследовать состояние безопасности организации в определенный момент времени.

Оценки всегда остаются важной частью вашей программы безопасности

Если вы решили, что сертификация не является первоочередной задачей для вашего бизнеса, или вам предстоит аудит, или если вы только что прошли аудит безопасности и получили подтверждение того, что вы соответствуете определенному стандарту. Независимо от того, где находится ваша организация в этом спектре соответствия, различные оценки всегда будут играть свою роль. Возможно, вам не нужен полноценный внешний аудит кибербезопасности, хотя у него есть цель. Сказав это, это не означает, что вы ничего не делаете!

Независимо от того, где вы находитесь на пути соблюдения требований и кибербезопасности, оценки играют неотъемлемую часть. Я только поцарапал поверхность здесь, есть так много других! Обязательно привлеките нужных людей. Люди, которые могут продемонстрировать, что у них есть опыт и навыки для проведения необходимых вам оценок.

Оцените свою организацию как целостную единицу (см. общую картину), чтобы понять текущее состояние вашей безопасности, чтобы вы могли понять, где вы находитесь и где вам нужно быть.

Знайте, что требуется от вашей организации, будь то отраслевые практики, соблюдение нормативных требований или полезные практики. Если вы знаете, что вам нужно, вы будете знать, какие методы обеспечения безопасности использовать и когда.

Все виды деятельности по обеспечению уверенности, осуществляемые либо «с уважением» от Боба, либо независимой третьей стороной, являются выгодными.

И последнее замечание: помните, даже если вы успешно прошли аудит, продолжайте использовать рутинные оценки безопасности и тестирование, чтобы поддерживать свою безопасность на высшем уровне. В конце концов, в кратчайшие сроки аудитор вернется с повторным визитом, и ваша организация должна быть готова, потому что, если вам нужен аудит — он либо пройден, либо не пройден!

Кибер-безопасность