Аудит ИБ или пентест: что выбрать компании?

Антон Морозов

Директор по развитию направления информационной безопасности в компании «‎Максофт»‎

Первый шаг в построении надежной защиты — оценка ее реального состояния. Как специалисты анализируют защищенность, и чем аудит ИБ отличается от пентеста? Разобраться в вопросе редакции IT Speaker помогает эксперт многоотраслевого системного интегратора «Максофт». 

Зачем нужен анализ защищенности

Аудиты и анализы защищенности — это своеобразная инвентаризация, проверка на прочность, чтобы по ее результатам принимать решение о векторе модернизации. Результаты исследований должны содержать ответы на вопросы: 

• Являются ли используемые средства защиты актуальными и эффективными; 

• Соответствует ли уровень защиты требованиям регуляторов; 

• Какие уязвимости системы могут привести к недопустимым событиям; 

• Каков уровень осведомленности сотрудников по вопросам ИБ; 

• Какие рекомендации по устранению уязвимостей или  подробная дорожная карта помогут модернизации системы. 

Методики оценки делятся на три группы: аудит информационной безопасности, анализ защищенности системы и пентесты. 

Пентест и анализ защищенности 

Пентест — это имитация проникновения в систему по всем возможным сценариям, чтобы выявить слабые места инфраструктуры, а потом устранить их. Цель пентеста — достижение поставленной задачи, а она может быть очень узкой. 

Пентестер определяет, может ли текущий уровень защищенности выдержать попытку вторжения потенциального злоумышленника. Например, стоит задача нарушить доступность определенного сервиса или проникнуть из офисного сегмента в «боевой», где расположены рабочие серверы. 

Задача выполнена, и исследование завершается. Специалист предоставляет отчет о том, могут ли средства защиты в компании справится с  задачей. 

Анализ защищенности — это более широкое понятие. Цель анализа — обнаружение всего спектра уязвимостей, которые могут привести к потере информации. Пример задачи на анализ защищенности — проведение комплексного анализа защищенности IT-ресурсов (веб-приложений, СУБД, ДБО, мобильных приложений и т.д.). 

Результатом такого исследования станут предоставление максимально подробного перечня всех найденных уязвимостей, а также рекомендации по повышению уровня защищенности. 

Аудит информационной системы 

Аудит — это тоже анализ защищенности информационной системы, но внимание акцентируют на соответствие требованиям регулятором или лучшим практикам отрасли. Таким образом, аудит включает в себя анализ защищенности, но оценка будет проводиться с опорой на определенный стандарт. 

Например, задача для аудита может быть сформулирована так: «Проверить соответствие информационной системы Приказу №21 ФСТЭК России» или «Проверить веб-серверы на соответствие рекомендациям CIS». Как правило, такой тип оценки нужен объектам КИИ. 

В каких случаях требуется оценка состояния информационной системы 

• В компании появился новый филиал, увеличилось количество участников сети; 

• Зафиксированы вторжение в систему, утечка информации или нанесен урон в результате кибератаки; 

• В штате организации нет сотрудников, ответственных за информационную безопасность; 

• Оценка состояния системы не производилась больше 12 месяцев; 

• Состояние системы требуется привести в соответствие с законодательными актами; 

• Необходима коррекция работы средств защиты в связи с уходом из России иностранных вендоров; 

• Необходимо реализовывать план по совершенствованию системы ИБ. 

Можно ли сделать инфраструктуру неуязвимой 

Аудиты позволяют выявить все уязвимости в системе безопасности — «бумажной» и реальной. Но можно ли создать такую систему, которую невозможно будет взломать извне? К сожалению, любую, даже самую укрепленную крепость, можно покорить, поэтому все усилия по обеспечению информационной безопасности должны сводиться увеличению количества дозорных. 

В идеале система должна быть такой, чтобы ее взлом обходился дороже, чем предполагаемая прибыль. Кроме того, надежная защита помогает быстро обнаружить вторжение, не позволяя ему совершить преступление. 

Второй важный нюанс — специалисты определяют векторы модернизации ИБ. Если развить аналогию с крепостью, то целесообразно укрепить тот фланг, с которого находится резиденция короля, потому что его гибель будет самым недопустимым событием для всего государства. 

Выбирая средство защиты, нужно учитывать несколько факторов: 

• Результат аудита; 

• Степень зрелости компании и ее специфика; 

• Наличие специалистов и их квалификация; 

• Цель; 

• Бюджет. 

Эти факторы обычно учитываются при составлении рекомендаций по результатам пентестов и аудитов защищенности — тем самым это помогает выстроить по-настоящему надежную систему информационной безопасности. 

Важно отметить, что ИБ-эксперты не будут предлагать небольшой компании многоуровневые сложные средства защиты информации (СЗИ), в которых нет необходимости: компания не может «потянуть» их финансово или технически. 

*** 

«Неуязвимость» предполагает ряд услуг и решений, которые помогут закрыть вопрос безопасности раз и навсегда. Но, к сожалению, это невозможно. Надежная система — та, где руководитель держит руку на пульсе, следит за законодательными нововведениями, обновляет перечень решений и регулярно проводит оценку состояния системы.