Чек-лист: как выбрать аудитора информационной и кибербезопасности

В 2022 году стало окончательно ясно, что DDoS-атаки — серьезная проблема, с которой может столкнуться каждый, и она только усиливается со временем. Другие вредоносные киберактивности также находятся на рекордном подъеме.

Чтобы оценить готовность компании отразить нападение хакеров, необходимо провести внешний аудит кибербезопасности. В ходе этой процедуры независимые эксперты проверяют защищенность цифровых данных и всей IT-инфраструктуры от различных типов киберугроз, включая наличие уязвимостей, фишинг и устойчивость к DDoS.

Для большей эффективности и независимости оценки привлекаются  сторонние компании, которые ранее никак не участвовали в построении информационной безопасности у компании-заказчика.

Внешний аудит могут проводить только квалифицированные специалисты. При выборе, кто будет проводить процедуру для вашей компании, рекомендуем придерживаться следующего базового чеклиста.

Проверьте, есть ли у компании-аудитора нужные документы для их деятельности, в частности, лицензия ФСТЭК, которая регулирует техническую защиту конфиденциальной информации.

Если у аудитора есть сертификат ISO/IEC 27001 (международный стандарт по информационной безопасности) это будет безусловным плюсом.

В зависимости от специфики вашей организации могут понадобиться и дополнительные документы.

Разные аудиторы предоставляют разные наборы услуг. В некоторых случаях они могут не полностью закрывать ваши потребности в проверке ИБ-периметра, поэтому предварительно изучите, что именно будут проверять.

Для понимания, защищена ли компания, вам понадобится аудит, как минимум, этих областей:

• работа сетевых серверов;

• программное обеспечение;

• система мониторинга IT-среды;

• состояние защиты информационных систем;

• уровень защиты конфиденциальной информации;

• процесс резервного копирования данных организации.

Изучите, есть ли у компании в открытом доступе портфолио прошлых кейсов, особенно по вашей области. Проверьте также по открытым источникам отзывы об аудиторе, его опыт и положение на рынке.

Не будет лишним задать представителям компании дополнительные вопросы, если они у вас остались.

Узнайте по информации в открытом доступе — или запросите у самого аудитора — какими международными методологиями и стандартами руководствуются его сотрудники при проверках.

Возможные варианты:

• OWASP — Open Web Application Security Project Testing Guide;

• WASC — Web Application Security Consortium Threat Classification;

• OSINT— Open source intelligence.

Чем больше разных подходов используется при проверке, тем больше потенциальных уязвимостей и ошибок будет обнаружено.

Результат процедуры кибераудита обязан быть информативным и полезным для устранения найденных уязвимостей.

Отчет компании-аудитора должен охватывать и описывать все найденные уязвимости с их свойствами, а также иметь понятные и наглядные рекомендации по исправлению. Описание уязвимостей необходимо сопроводить оценкой рисков, которые они потенциально несут.

Выбор поставщика аудита имеет ключевое значение, ведь от этой процедуры зависит дальнейшая информационная безопасность компании. Поэтому лучше проявить тщательность и использовать как можно более детальный фильтр при выборе подходящего кандидата.