Чек-лист: как выбрать аудитора информационной и кибербезопасности

Чек-лист: как выбрать аудитора информационной и кибербезопасности

В 2022 году стало окончательно ясно, что DDoS-атаки — серьезная проблема, с которой может столкнуться каждый, и она только усиливается со временем. Другие вредоносные киберактивности также находятся на рекордном подъеме.

Чтобы оценить готовность компании отразить нападение хакеров, необходимо провести внешний аудит кибербезопасности. В ходе этой процедуры независимые эксперты проверяют защищенность цифровых данных и всей IT-инфраструктуры от различных типов киберугроз, включая наличие уязвимостей, фишинг и устойчивость к DDoS.

Для большей эффективности и независимости оценки привлекаются  сторонние компании, которые ранее никак не участвовали в построении информационной безопасности у компании-заказчика.

Внешний аудит могут проводить только квалифицированные специалисты. При выборе, кто будет проводить процедуру для вашей компании, рекомендуем придерживаться следующего базового чеклиста.

Критерий 1. Наличие сертификатов и лицензий

Проверьте, есть ли у компании-аудитора нужные документы для их деятельности, в частности, лицензия ФСТЭК, которая регулирует техническую защиту конфиденциальной информации.

Если у аудитора есть сертификат ISO/IEC 27001 (международный стандарт по информационной безопасности) это будет безусловным плюсом.

В зависимости от специфики вашей организации могут понадобиться и дополнительные документы.

Критерий 2. Проверяемые области

Разные аудиторы предоставляют разные наборы услуг. В некоторых случаях они могут не полностью закрывать ваши потребности в проверке ИБ-периметра, поэтому предварительно изучите, что именно будут проверять.

Для понимания, защищена ли компания, вам понадобится аудит, как минимум, этих областей:

  • работа сетевых серверов;

  • программное обеспечение;

  • система мониторинга IT-среды;

  • состояние защиты информационных систем;

  • уровень защиты конфиденциальной информации;

  • процесс резервного копирования данных организации.

Критерий 3. Репутация и опыт

Изучите, есть ли у компании в открытом доступе портфолио прошлых кейсов, особенно по вашей области. Проверьте также по открытым источникам отзывы об аудиторе, его опыт и положение на рынке.

Не будет лишним задать представителям компании дополнительные вопросы, если они у вас остались.

Критерий 4. Применяемые подходы

Узнайте по информации в открытом доступе — или запросите у самого аудитора — какими международными методологиями и стандартами руководствуются его сотрудники при проверках.

Возможные варианты:

  • OWASP — Open Web Application Security Project Testing Guide;

  • WASC — Web Application Security Consortium Threat Classification;

  • OSINT— Open source intelligence.

Чем больше разных подходов используется при проверке, тем больше потенциальных уязвимостей и ошибок будет обнаружено.

Критерий 5. Полнота отчета

Результат процедуры кибераудита обязан быть информативным и полезным для устранения найденных уязвимостей.

Отчет компании-аудитора должен охватывать и описывать все найденные уязвимости с их свойствами, а также иметь понятные и наглядные рекомендации по исправлению. Описание уязвимостей необходимо сопроводить оценкой рисков, которые они потенциально несут.

Подведем итоги

Выбор поставщика аудита имеет ключевое значение, ведь от этой процедуры зависит дальнейшая информационная безопасность компании. Поэтому лучше проявить тщательность и использовать как можно более детальный фильтр при выборе подходящего кандидата.

Еще один подробный чеклист из 12 пунктов можно изучить в блоге DDoS-Guard.
DDoS-Guard аудит безопасности сайта информационная безопасность кибербезопасность
Alt text

Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!

DDoS-Guard

Российский сервис защиты от DDoS-атак