Форум
Института внутренних Аудиторов

RSS
Аудит киберустойчивости, Внутренние аудиторы должны предоставить гарантии киберустойчивости более чем по восьми категориям.
 
Аудит киберустойчивости

Внутренние аудиторы должны предоставить гарантии киберустойчивости более чем по восьми категориям.

Джеймс Рейнхард, 30 мая 2017 г.

Перевод: Евгений Зверев, CIA

Организации осуществляют мероприятия по кибербезопасности [1] для предотвращения/минимизации последствий кибернападения.

Понятие киберустойчивость определяет взгляд на обеспечение кибербезопасности, как на проведение комплекса обычных, ежедневных, рутинных рабочих мероприятий.

Для достижения этой цели ИТ-специалистам необходимо определить направления кибербезопасности, которые должны быть устойчивы, а внутренние аудиторы должны определить области, в которых они могут обеспечить гарантии и полезные консультации.

Директива Президента США №21 («Национальная безопасность») определяет киберустойчивость как «способность подготовиться и адаптироваться к изменяющейся обстановке, а также успешно противостоять и быстро восстановиться после сбоев. Устойчивость включает в себя способность противостоять и восстанавливаться после преднамеренных нападений, несчастных случаев или реализации естественных угроз или инцидентов [2]». Предпосылка киберустойчивости заключается в предположении, того что организация потенциально будет «атакована» и произойдет хакерское проникновение, поэтому организациям необходимо сосредоточиться на распознавании подобных инцидентов и восстановлении в случае их реализации.

Публикация 2013 года MITRE Corp. отмечает, что американским Национальным институтом стандартов и технологий (NIST's) определено приблизительно 860 точек контроля и методов улучшения («Безопасность и конфиденциальность для федеральных информационных систем и организаций», Special Publication 800-53 Revision 4). В публикации «Киберустойчивость и NIST Special Publication 800-53 Rev.4 Controls» указывается, что большинство элементов контроля сосредоточено на достижении безопасности в части конфиденциальности, целостности и доступности. Согласно MITRE, в зависимости от классификации, примерно 17 % контроля сосредоточены на киберустойчивости.

Элементы управления киберустойчивостью могут быть сгруппированы по нескольким категориям, таким как: управление, стратегия прав доступа пользователей, сегментирование, активное реагирование, обеспечение целостности данных, мониторинг, методы восстановления и скоординированная защита.

Управление

Управление киберустойчивостью осуществляется посредством процесса управления рисками (ERM), общей стратегии безопасности, организационных политик и процедур, стратегий коммуникации и повышения осведомленности, а также использования общепринятых схем и оценок уровня зрелости.
Киберустойчивость является частью более глобального понятия кибербезопасности. Стратегия кибербезопасности организации должна быть сосредоточена на критически важных данных и системах, поскольку именно они должны быть в наименьшей степени подвержены инцидентам и быть наиболее устойчивыми. Киберустойчивость акцентируется на политиках и процедурах для имеющихся данных и систем, классифицированных «по значимости».
Когда инцидент произошел, организация должна обеспечить прозрачную стратегию коммуникации и убедиться, что ее сотрудники осведомлены об этом. Кроме того, текущий уровень киберустойчивости оценивается по состоянию киберустойчивости всей организации.

Права доступа пользователя

Право доступа пользователя должно следовать принципу минимизации, чтобы обеспечить минимально необходимый доступ для выполнения работы. Этот принцип является основным для киберустойчивости на четырех уровнях обеспечения кибербезопасности: аутентификация, авторизация, доступ и мониторинг.
Для пользователей с более высоким правом доступа, организации должны внедрять расширенные механизмы аутентификации, например, двухфакторную аутентификацию. Для авторизации подобных пользователей может потребоваться более одного уровня утверждения авторизации. Мониторинг Внутреннего аудита должен быть направлен, прежде всего, на активный анализ и оценку сотрудников с более высокими правами доступа. Кроме того, необходимо обеспечить изменение права доступа при изменении уровня киберугрозы.

Сегментирование

Киберустойчивость в первую очередь фокусируется на сегментированном архитектурном подходе, используя стратегию защиты в глубину. Этот подход должен включать изоляцию критически важных данных и систем, в соответствии с политиками и процедурами организации. Многослойный сетевой подход должен охватывать как логические, так и физические сети и иметь ограниченные «доверительные отношения».
Ключевые сетевые сегменты и внешние сетевые подключения должны включать набор пограничных защит, таких как брандмауэры, которые используют политики и процедуры для ограничения доступа к каждому сегменту. Другие ключевые защиты устанавливают запрещение прямых подключений к Интернету и возможность приема входящих сообщений только из надежных источников.

 

Активное реагирование

Киберустойчивость с активным реагированием, обеспечивает своевременное выявление и урегулирование [3] обнаруженных инцидентов. Хотя это может включать своевременное «ручное» реагирование, методы киберустойчивости более ориентированы на автоматизированное реагирование.
Брандмауэры и другие сетевые устройства должны быть адаптированы таким образом, чтобы ограничить (запретить) доступ к определенным частям сети на основе текущего уровня угрозы. Процессы обнаружения вторжения и реагирования должны непрерывно находиться в состоянии активности и в случае инцидента закрывать часть сети или доступ в Интернет для всей организации. Недостатком активного автоматического реагирования являются непредвиденные последствия, которые могут прервать ключевые бизнес-процессы, особенно связанные с Интернет-технологиями.

Таким образом, сочетание ограниченного автоматизированного режима и своевременного ручного реагирования может считаться лучшей альтернативой по сравнению с полностью автоматизированным.

Гарантия целостности данных

Киберустойчивость ограничивает повреждение системы или данных в случае инцидента. Организации могут использовать комбинацию физических и логических ограничений для обеспечения целостности данных, в том числе:

·         Ограничение потока данных между границами сети или сегментами с учетом уровня угрозы.

·         Защита данных путем ручного отключения опции записи на устройствах или разрешение использования дисков только для чтения (для операционной системы или других исполняемых файлов).

·         Внедрение принципа «жизненного цикла» при создании безопасной системы.

·         Должная осмотрительность при выборе поставщиков для обеспечения приобретения аппаратного и программного обеспечение у авторитетных источников.

·         Создание «белых» списков с целью обеспечения получения данных только из надежных источников и обеспечения того, чтобы вредоносное программное обеспечение не могло быть внедрено через Web-страницы организации.

·         Обеспечение своевременного восстановления испорченных данных.

Мониторинг

Чтобы обеспечить киберустойчивость, мониторинг должен осуществляться на более высоком уровне активности в целом, чтобы стандартные процессы реагирования стали минимально приемлемым уровнем.
Отслеживание, регистрация и оповещение должны происходить своевременно и способствовать активному реагированию. Испытания на уязвимость и проникновение должны проводиться на плановой и внеплановой основе. Планы реагирования на инциденты должны постоянно обновляться и обучение пользователей должно проводиться на основе существующих угроз.

Восстановление

Восстановление киберустойчивости основано на стандартных процессах резервного копирования, аварийного восстановления и планирования непрерывности. Однако уровень общего взаимодействия и реагирования может быть более активным и диверсифицированным. Аспекты киберустойчивости включают в себя резервное хранение данных, которые могут ускорить восстановление, как на месте, так и за его пределами в безопасных местах, а также использование резервных - систем, производственных площадок, источников питания. Аварийное восстановление и непрерывность бизнеса должны включать диверсифицированное планирование, а дополнительные проверки и планирование осуществляются чаще, основываясь на текущих киберугрозах.

Скоординированная защита

Скоординированная защита является наиболее важной категорией киберустойчивости и должна включать аспекты всех предыдущих категорий, объединенных в комплексную стратегию. Кроме того, скоординированная защита должна включать обеспечение соответствующего киберстрахования [4] и привлечение внешних специалистов для обеспечения одномоментного наличия достаточных и компетентных ресурсов в случае «успешной» хакерской атаки. Если соответствующие условия содержатся в полисе, то киберстрахование может предоставить и финансовую страховую защиту, и дополнительных специалистов. Поэтому общая координация должна обеспечить отсутствие дублирования между штатными и сторонними специалистами, предусмотренными в полисе.

В целом, координация необходима для управления всеми «движущимися частями» во время киберкризиса, включая специальное расследование, связь с общественностью и информирование о хакерской атаке. Неотъемлемой частью скоординированной защиты является наличие плана антикризисного управления. Кроме того, организации необходимо будет выполнить множество мероприятий, требующих как технических, так и нетехнических ресурсов. Использование внешних специалистов, в дополнение к штатным ресурсам в рамках скоординированной защиты, может значительно усилить ответную «киберреакцию» организации.

 

Вперед, к аудиту киберустойчивости

Для аудита киберустойчивости может потребоваться некоторый уровень ИТ-компетенции, однако существует множество оценочных и консультационных направлений, по которым могут работать внутренние аудиторы с невысоким уровнем понимания ИТ. Для соблюдения более серьезных ИТ-требований при аудите киберустойчивости, Служба внутреннего аудита может иметь в штатном расписании аудиторов с более высоким уровнем ИТ-компетенции, либо использовать аутсорсинг. Руководитель внутреннего аудита может оценить текущие навыки штатного персонала, а затем сформировать план по повышению его компетентности в области ИТ. Существует несколько учебных курсов IIA, которые обеспечивают базовую подготовку в области информационных технологий и кибербезопасности. Основное внимание должно быть уделено повышению степени ИТ-навыков всех сотрудников, что позволит им оценивать киберустойчивость во всех аудитах.

Когда внутренний аудитор понимает, что такое киберустойчивость, а сотрудники обучены основным ИТ-компетенциям, он разрабатывает план оценок и консультаций. Этот план может включать оценку киберустойчивости в области, в которой в настоящее время работает группа внутренних аудиторов (см. ниже «Действия по снижению киберугроз»).

Обеспеченный соответствующими навыками в области ИТ и соответствующим планом, Внутренний Аудит может быть на «переднем крае» оценки и консультирования по стратегиям киберустойчивости своей организации.

Деятельность по каждой категории киберустойчивости

Внутренние аудиторы могут проводить оценочную и консультационную деятельность для каждой категории киберустойчивости.

Управление

  1. Обеспечить, чтобы Руководитель внутреннего аудита и Руководитель по ИТ совместно сообщали о необходимости поддержания киберустойчивости Исполнительному руководству и Комитету по аудиту.

  2. Проанализируйте киберустойчивость с использованием признанного стандарта. Это может включать работу с функцией безопасности организации.

  3. Проанализируйте программы информирования и обучения пользователей и показатели, которые используются для определения того, успешны ли текущие уровни обучения.

  4. Просмотрите соответствие политик и процедур, которые определяют, какие системы и данные имеют решающее значение для текущей структуры кибербезопасности бизнес-стратегий.

Снижение прав доступа пользователей

  1. Просмотрите возможности привилегированного доступа, подтвердив перечень этих пользователей с возможностью администрирования домена и контролируя их активность.

  2. Выполните аудит управления доступом в различных системах на основе ротации.

  3. Просмотрите процедуры активации и деактивации учетной записи пользователя, обеспечивающие правильный доступ для новых пользователей и своевременное отключение завершенных учетных записей, а также проверьте, требуется ли соответствующее разрешение для доступа и назначается ли минимальный доступ.

  4. Работайте с персоналом ИТ, чтобы оценить его значение в каждой системе, чтобы подтвердить, что оно (значение) соответствуют принципу наименьшего возможного доступа.

  5. Содействуйте обучению владельцев приложений, чтобы гарантировать, что доступ пользователей периодически проверяется.

Активное реагирование

  1. Оцените стратегию, используемую для размещения сетевых устройств в режиме активного реагирования на инциденты и оцените, учтены ли в ней текущие бизнес-стратегии.

  2. Просмотрите тестирование планов реагирования на инциденты и убедитесь, что планы обновляются по мере изменения уровня угрозы.

Обеспечение целостности данных

  1. Участвуйте в проектах развития ИТ, чтобы гарантировать, что безопасность обеспечена в течение всего проекта.

  2. Оцените процессы управления поставщиками, чтобы организация заключала контракты только с авторитетными.

  3. Просмотрите, как происходит обмен данными между физическими и логическими сетями или сегментами сети и убедитесь, что конфиденциальные данные невозможно переместить в менее безопасные области.

Мониторинг

  1. Работа с функцией безопасности для разработки или оценки показателей, обозначающих, что «тревожные» сообщения об инцидентах своевременно передаются и устраняются.

  2. Используйте стороннего эксперта для проведения теста на проникновение - с минимальным участием штатных специалистов ИТ - для проверки адекватности процедур обнаружения и смягчения его последствий.

  3. Обеспечьте периодическое сканирование уязвимостей и своевременное устранение выявленных угроз.

  4. Проверьте эффективность программ по предупреждению угроз.

Решения для восстановления

  1. Проведите пошаговый анализ состояния безопасности удаленного хранилища информации, чтобы гарантировать, что соответствующие меры безопасности функционируют.

  2. Проверьте, формируются ли регулярные резервные копии важных систем и данных.

  3. Участвуйте в регулярных процедурах тестирования ИТ-отдела путем случайного выбора резервных копий из хранилища за пределами отдела и наблюдения за процедурой восстановления.

  4. Просмотрите избыточность питания и кабелей.

  5. Участвуйте в мероприятиях по восстановлению непрерывности после стихийных бедствий.

Сегментирование / скоординированная защита

  1. Проанализируйте адекватность стратегии сегментации сети для защиты критически важных данных и систем. Кроме того, проверьте, защищены ли сетевые границы, которые сегментируют критические данные и системы соответствующим сетевым устройством (брандмауэром).

  2. Просмотрите политики и процедуры кибербезопасности и предложите улучшения.

  3. Просмотрите информацию о требованиях к киберстрахованию, а также убедитесь, что нет дублирования услуг между экспертами, привлекаемыми в рамках киберстрахования и штатными специалистами.

[1] Кибербезопасность — процесс использования мер безопасности для обеспечения конфиденциальности, целостности и доступности данных.Первоисточник https://iaonline.theiia.org/2017/Pages/Auditing-Cyber-Resiliency.aspx?utm_source=SilverpopMailing&utm_medium=email&utm_campaign=20170884_Global_LeadersLink_072117%20(1)&utm_content=&spMailingID=16076008&spUserID=NjM5NjU3NzY4NDkS1&spJobID=1023681615&spReportId=MTAyMzY4MTYxNQS2

[2] Инцидент (IT-Incident) – это любое явление, выходящее за рамки штатной работы ИТ-структуры, прямо, косвенно или потенциально ведущее к остановке процессов системы или негативно отражающееся на качестве ее функционирования

[3] Урегулирование инцидента – восстановление нормальной работы с минимальными задержкой и влиянием на бизнес-процессы.

[4] Киберстрахование представляет собой вид страхования, используемый для защиты предприятий и индивидуальных пользователей от интернет-рисков, и, как правило, от рисков, связанных с информационно-технологической инфраструктурой.