Автор: Евгений Янов, руководитель департамента аудита и консалтинга компании F6
Представим ситуацию: вы директор по информационной безопасности крупной компании. У вас современная инфраструктура с процессами регулярного ревью конфигураций и патч-менеджментом, используются передовые средства защиты и есть опытная команда, умеющая с ними работать. Кроме того, прописаны регламенты и отработаны процессы мониторинга, реагирования и управления уязвимостями, сотрудники проходят регулярное обучение, процессы управления ИБ встроены в бизнес-процессы компании, а ответственность четко распределена между ролями.
На первый взгляд кажется, что в такой ситуации аудит информационной безопасности компании не нужен. Однако, во-первых, на практике подобная картина встречается редко, а во-вторых, глаз внутренней команды, которая обеспечивает безопасность приложений (AppSec), со временем «замыливается» в связи с однонаправленным опытом. Так, процессы управления информационной безопасностью и их регламенты становятся своего рода «легаси», теряя гибкость в ряде ситуаций.
В этот момент становится ясно, что какой бы уровень зрелости ИБ у компании ни был, всегда нужен периодический взгляд со стороны. Это не поиск очевидных проблем, но поддерживающий процесс, позволяющий убедиться, что уровень зрелости сохраняется, а изменения в инфраструктуре или бизнесе не создают новых рисков.
Например, провести пентест, чтобы оценить качество работы ИТ и AppSec-команд, поучаствовать в киберучениях в формате RedTeaming или PurpleTeaming для оценки оперативности и полноты работы команды ИБ. Это может быть проведение оценки рисков с использованием актуального ландшафта угроз именно вашей организации из системы Threat Intelligence, чтобы лучше понимать опасности или оценки зрелости ИБ, чтобы понять, где компания находится по меркам лучших практик и куда ей стремиться в будущем.
В реальности большинство организаций находятся далеко от этой условной точки равновесия. Нередко компании инвестируют в отдельные технологические решения, предполагая, что те сами по себе обеспечат высокий уровень защиты. Например, организация может внедрить современную систему обнаружения и реагирования на угрозы на конечных станциях (EDR), но при этом не иметь команды специалистов с достаточными навыками для полноценной обработки событий безопасности.
А бывает, что риски оценены некорректно, и даже при наличии опытной команды мониторинга, вовремя отразить угрозу не удается, потому что оказывается, что часть инфраструктуры банально не покрыта EDR-агентами. Например, департамент ИБ или ИТ не использовал их на собственных машинах, так как посчитал, что их квалификации хватит для того, чтобы не быть первичным объектом атаки.
В результате дорогостоящий инструмент работает лишь частично — события собираются, но не интерпретируются или инциденты просто остаются незамеченными на ранней стадии, когда их ещё можно безболезненно купировать.
Другой пример — проведение пентеста без выстроенного процесса управления уязвимостями. Отчёт по результатам тестирования содержит множество разнообразных недостатков, отличающихся уровнем риска и рекомендациями, однако если у компании нет механизма, который позволил бы приоритизировать проблемы с точки зрения бизнеса, распределить ответственность за их устранение и проконтролировать выполнение, то велик риск оставить часть выявленных уязвимостей без должного внимания. Это в конечном итоге, снижает ценность тестирования и затягивает внесение исправлений.
Похожая ситуация возникает и на уровне процессов управления ИБ. В компаниях могут существовать отдельные элементы системы менеджмента ИБ: политики, регламенты, средства защиты. Но без регулярной оценки зрелости сложно понять, насколько эти элементы работают согласованно и поддерживают реальные потребности бизнеса.
Именно здесь аудит становится не формальной процедурой, а инструментом системного взгляда на безопасность.
Проведение подобных проверок позволяет увидеть картину со стороны: как сочетаются технологии, процессы и компетенции сотрудников. Анализ защищённости приложений показывает уязвимости в коде и архитектуре, пентест демонстрирует возможные сценарии атаки, gap-анализ выявляет расхождения между текущими процессами и целевым состоянием (или лучшими практиками ИБ), а оценка рисков на основе реального ландшафта угроз помогает определить приоритеты для развития безопасности.
Иногда результаты аудита подтверждают, что система защиты действительно находится на высоком уровне. Но даже в этом случае внешняя экспертиза играет важную роль: она помогает подтвердить правильность выбранного направления и выявить потенциальные зоны роста до того, как они превратятся в проблемные.
Поэтому вопрос «нужен ли моей компании аудит информационной безопасности?» на практике почти всегда имеет один и тот же ответ.
Компания может находиться на разных этапах развития системы защиты: от формирования базовых процессов до поддержания высокой зрелости. Но в любой из этих точек аудит остаётся важным и полезным инструментом — либо для выявления пробелов, либо для экспертного подтверждения того, что выбранная стратегия безопасности работает корректно.
