CISOCLUB: В России увеличился спрос бизнеса на аудит своих систем информзащиты

В российских компаниях стремительно растёт интерес к проверке надёжности собственных систем информационной безопасности. Такой тренд наблюдается на фоне грядущих изменений в законодательстве — с конца мая вводятся оборотные штрафы за утечки персональных данных, и бизнес предпочитает заранее предпринять меры, которые могут снизить возможные санкции. Участники отрасли объясняют, что аудит помогает не только обнаружить слабые места в защите, но и может стать весомым аргументом при разбирательствах с регуляторами. Алена Игнатьева, руководитель направления консалтинга и аудита информационной безопасности STEP LOGIC, прокомментировала растущий спрос на услуги ИБ-аудита и выделила основные критерии оценки эффективности защиты персональных данных.

Операторы персональных данных всё чаще инициируют комплексную проверку защищённости своих систем. Как правило, мы сталкиваемся с тем, что основным побудительным мотивом является «кнут». Организации смотрят на риск утечек не с точки зрения бизнеса или потери репутации, а с позиции возможных штрафных санкций.

Одна из самых востребованных услуг среди наших заказчиков — контроль эффективности системы защиты и процессов обработки персональных данных. Она включает:

• Процессный аудит для оценки достаточности процессов и законности организационных мер по защите персональных данных.
• Технический аудит, который включает анализ существующих систем ПД, их конфигурации, сетевого взаимодействия, корректности и достаточности параметров настроек средств защиты информации, сетевых проходов.
• Тесты на проникновение и анализ уязвимостей, наиболее полно показывающие фактическую защищенность информационной системы персональных данных организации.
• Анализ защищенности, который представляет собой сканирование ПО, а для компаний, у которых имеется собственная разработка – статический и динамический анализ уязвимостей исходного кода.

Для оценки эффективности защиты персональных данных в организации специалисты STEP LOGIC выделяют четыре основных критерия:

• соответствие процессов нормам законодательства, требованиям внутренних нормативных документов и стандартов организации;
• полнота и достаточность мер защиты информации;
• невозможность пентестера получить доступ к чувствительным данным или завладеть критичными активами в ходе проведения тестирования на проникновение;
• отсутствие непропатченных ранее опубликованных уязвимостей, исходя из стандартов, заявленных в организации или практик, принятых на рынке.

Стоимость аудита зависит от набора опций, масштабов инфраструктуры и сложности реализуемых процессов. Чем больше инфраструктура, количество серверов, сетевого оборудования, технологических площадок, различного ПО, сложнее применяемые программные продукты, тем выше стоимость аудита. Также на цену влияет и использование заказчиком самописного либо неактуального для рынка ПО, т.к. специалистов с соответствующим опытом в отрасли немного.

CISICLUB