Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Опять двадцать пять или Про аудит безопасности...

Аватар пользователя УЦ Информзащита
Автор: Учебный центр Информзащита, Учебный центр "Информзащита"
(5)
()
Опубликовано в:

 ...у нас есть, что сказать. А если быть точнее, у нашего преподавателя Леонида Медведева. Вообще-то статья изначально была предназначена для тех, кто трудится в области экономической безопасности, но некоторые тезисы очень понравились; они актуальны и для специалистов в области ИБ, поэтому не будем скрывать, а выкладываем текст:

Современный мир характеризуется чрезвычайно высоким темпом жизни, а современный бизнес чрезвычайно высокими темпами изменения ситуации. А вместе с изменением ситуации, как правило, меняются угрозы и риски, связанные с ведением бизнеса. Для борьбы с угрозами и рисками бизнес создает и развивает службы безопасности, которые, как это не парадоксально, являются в компаниях самым костным и инертным механизмом.

Я, наверное, не открою секрета, если скажу, что большинство существующих служб безопасности чаще всего реагируют на появившуюся угрозу после ее реализации. Это как извечное соревнования меча и щита. Появился новый меч, начинаем дорабатывать существующий щит, но уже после того, как новый меч проделал в старом щите дыру. И хорошо если только в щите, а не в хозяине этого самого щита. Некоторые сотрудники служб безопасности чаще всего готовятся к уже минувшим сражениям, так как используют для подготовки знания и опыт, полученные в результате анализа уже прошедших событий. И, зачастую, они абсолютно не готовы к отражению новых угроз и предотвращению новых рисков. Преступники же, изучая прошлые попытки, анализируют и существующие средства защиты, и стараются каждый раз придумать что-то новое. Что-то неучтенное существующими системами безопасности.

Помимо внешних угроз сотрудникам служб безопасности приходится бороться и с внутренними угрозами. Практика показывает, что иногда в числе подобных угроз оказывается тот самый бизнес, который служба безопасности вроде как должна защищать и оберегать. Как такое может быть? Очень просто. Например, на предприятии сменили технологию производства, забыв предупредить об этом службу безопасности. А в новой технологии, к примеру, применяется питьевой спирт, которого в старой технологии не было. Службу безопасности в известность не поставили – вроде бы, какое им дело до производства закупок. В результате не был организован должный контроль за спиртом, кто-то из сотрудников предприятия добрался до заветной емкости, злоупотребил, результатом чего стал несчастный случай на производстве. Это вполне реальная история, произошедшая не так давно в довольно известной компании. Еще один пример. В компании произошла модернизация компьютерной сети. Модернизацию не согласовали со службой безопасности компании. В результате сеть получилась современной, быстрой, продвинутой и… дырявой. В компании началась утечка конфиденциальной информации, убытки составили впечатляющую сумму с большим количеством нолей. Расследование, конечно, выявило и дыры в системе сетевой безопасности, и сотрудников компании, ставших причиной утечки. Но все это выявилось постфактум, а к сумме непосредственного ущерба от утечек информации добавилась сумма на экспертизу сети и ее доработку.

Подобных случаев можно привести множество. Объединяет все эти случаи всегда одно и тоже: сначала реализация риска, потом поиск методов борьбы с выявленным риском и только потом затыкание обнаруженных дырок в системе безопасности.  

Неправильность подобного подхода, на мой, взгляд очевидна. Инструмент, позволяющий службе безопасности стараться работать на опережение, существует уже давно и называется “аудит систем безопасности”. Вот только, как показывает практика, если в бизнесе проведение аудиторских проверок  - явление вполне естественное, более того, часто регулируемое законодательно, то в системах подразделениях безопасности от слова аудит чаще всего шарахаются как черт от ладана. Это не значит, что безопасники стараются жить бесконтрольно. Проверки, как плановые, так и внеплановые, в службах безопасности - явление весьма распространенное, учения проводятся, ведется строгий учет, в том числе, и выявленных недостатков. Вроде бы все и без аудита хорошо.  Мне не раз и не два приходилось сталкиваться с резко отрицательной реакцией аудитируемой службы. Если коротко, их реакцию можно охарактеризовать фразой: у нас все нормально, не нужно лезть в наш огород.

Но ведь аудит - это не только проверка того, что есть. Если мы с вами откроем Гост Р ISO 19011-2012 (Руководяще указания по аудиту систем менеджмента), главу 4 “Принципы проведения аудита”, то увидим, что аудит - это не только механизм контроля. В первую очередь, это механизм, позволяющий последовательно улучшать деятельность организации, в нашем случае - службы охраны. А что является первоочередными задачами, когда мы говорим про улучшения в работе подразделения службы охраны? Никакое улучшение в системе безопасности невозможно без проведения оценки угроз и рисков.

Во всех западных компаниях, да и во многих отечественных, внутренние аудиты уже давно стали естественным, а зачастую, и обязательным явлением. Более того, в большинстве западных компаний аудит второй стороны является обязательной процедурой при заключении практически любого контракта. Навыками проведения аудитов в таких компаниях владеют не только менеджеры, но и специалисты. А при чем тут безопасность, спросите Вы? Простой пример: компания А хочет заключить договор о предоставлении логистических услуг с компанией Б. В перечень логистических услуг входит хранение и перевозка сырья, принадлежащего компании Б. Вполне естественно, что перед заключением контракта компания Б инициирует аудит второй стороны. В числе прочих перед аудиторами стоит задача оценить безопасность хранения и перевозки своего сырья. Т.е. провести аудит объектовой безопасности и транспортной безопасности.  

Или, к примеру, компания С хочет взять в аренду у компании Д строительную технику. А строительная техника, как известно, у злоумышленников, пользуется повышенным спросом. Т.е. риск хищения этой самой техники достаточно высок. Конечно, частично риски покрываются страховкой. Но, во-первых, между страховым случаем и моментом выплаты страхового возмещения, как правило проходит довольно значительный промежуток времени, а значит, все это время похищенная техника не будет приносить прибыль, а зарплату тем, кто на ней должен был-бы работать, платить надо. Во-вторых, довольно часто оказывается, что суммы, выплаченной по страховке, на покупку новой, аналогичной техники просто не хватает.  В подобных ситуациях аудит второй стороны как инструмент минимизации рисков очень эффективен.  Оценив уровень безопасности на объектах компании С, менеджеры компании Д имеют возможность при заключении договора аренды не только закладывать материальную ответственность арендатора, но и юридически оговаривать организацию необходимого уровня безопасности арендованной техники.

Вроде все логично. Аудиты - процедура не только обязательная, но и полезная. Внутренние аудиты позволяют своевременно выявлять новые угрозы и риски, постоянно улучшать и совершенствовать работу служб и подразделений безопасности. Аудиты второй стороны, позволяют повысить безопасность сделок и минимизировать риск возможных убытков. Так почему-же на практике руководство многих охранных подразделений встречает идею аудита «в штыки»?

Ни для кого не секрет, что в большинстве компаний, руководство служб безопасности  - это либо бывшие военные, либо бывшие сотрудники правоохранительных органов, спец. подразделений и т.п., вышедшие на пенсию по выслуге, как правило, в больших чинах. Теперь представьте, что проводить аудит второй стороны на фирму, где руководитель службы безопасности генерал на пенсии, приезжает менеджер или специалист компании партнера.  Молодой парень или девушка, зачастую не служившие в армии, не нюхавшие пороха. При этом они опытные аудиторы, и даже не будучи специалистами в области безопасности, но в совершенстве владея процедурой проведения аудита, они находят в существующей системе безопасности предприятия какие-либо уязвимости и, фигурально выражаясь, тыкают в них носом целого генерала. И ладно, если выявленная уязвимость небольшая и обусловлена изменившимися внешними условиями. Бывает и так, что результатом аудита оказывается полное несоответствие системы безопасности предприятия существующим в настоящий момент угрозам и рискам. И если с выявленными небольшими недостатками руководство службы безопасности еще как-то готово мириться, то приговор всей существующей системе чаще всего встречается воспринимается крайне негативно. Мне известны случаи, когда из-за подобной неконструктивной позиции руководства служб безопасности срывались очень крупные и выгодные контракты. Более того, в моей практике было несколько случаев, когда выявленные в процессе аудита второй стороны уязвимости, из-за позиции неприятия критики руководством служб безопасности, впоследствии наносили крупный ущерб для этой компании. При чем ущерб в подобных ситуациях очень часто оказывается не только материальным, но и репутационным.

Говоря про проведение аудитов, нельзя не коснуться морально-этической стороны вопроса. Морально-этический аспект, как ни странно, при рыночных отношениях значительно важнее для репутации любой организации, чем это было при планово-административной системе. Репутация организации на рынке, как известно, оценивается той же суммой, которая складывается из цен всех договоров в "портфеле заказов" этой организации. Строго говоря, наоборот, а именно объем "портфеля заказов" равен цене репутации организации. Это в полной мере относится к репутации заказчиков и к тем организациям, которые от имени заказчика проводят аудиты "второй стороны".

Рассмотрим два процесса, которые с процедурной стороны очень похожи, чего нельзя сказать о морально-психологической стороне вопроса. Первый процесс - внутренний аудит по системе менеджмента качества, на основе стандарта ISO 9001:2000 (ГОСТ Р ИСО 9001-2001); второй – проведение аудита "второй стороны".

В первом случае организация САМОСТОЯТЕЛЬНО и ДОБРОВОЛЬНО принимает решение о проведении у нее аудита, САМОСТОЯТЕЛЬНО и ДОБРОВОЛЬНО выбирает и приглашает аудитирующую компанию, либо назначает аудиторов из числа сотрудников компании, из СВОИХ СРЕДСТВ оплачивает проведение аудита, т.е. организация является ЗАКАЗЧИКОМ работы, а аудиторы – ПОДРЯДЧИКОМ со всеми вытекающими последствиями, главное из которых -  подрядчик несет ответственность перед заказчиком.

Во втором случае решение о проведении аудита "второй стороны" принимает ЗАКАЗЧИК (ГЕНПОДРЯДЧИК), поэтому ресурсы для проведения этой работы должен выделять также ЗАКАЗЧИК2.

Если же эти две ситуации смешиваются, а еще хуже, меняются местами, то получается достаточно неприличная схема, реализация которой в развитии может выглядеть так: проведение аудита второй стороны финансируется проверяемой организацией. Особенно это тревожно, когда заказчик является на рынке фактическим монополистом.

Проведение аудита "второй стороны" всегда должно быть открытым и прозрачным действием: должно быть получено согласие проверяемой организации, она должна быть заблаговременно предупреждена о дате аудита; должна быть получена и согласована программа проведения аудита "второй стороны", известен состав команды аудиторов. Критерием аудита являются требования заказчика к организации, нашем случае, безопасности у подрядчика. А самое главное, подрядчик должен сам быть максимально заинтересован в результатах аудита. Не в положительном результате, а именно в результатах. Только в этом случае мы не только получаем результаты проверки, но и можем рассчитывать на то, что все выявленные риски, угрозы и недостатки будут оперативно устранены на деле, а не только на бумаге.

Ну и конечно-же, позиция собственника - фундамент общей безопасности предприятия. Если собственник бизнеса заинтересован в создании действительно работающей системы безопасности, если эта заинтересованность воплощена в четко сформулированные политики компании, если собственник осознает необходимость осуществления ощутимых затрат на обеспечение должного уровня безопасности, в этом случае, даже при наличие каких-либо уязвимостей существующей системы, можно быть уверенным: к безопасности тут относятся серьезно, а недостатки системы - явление временное. Если же этого базового фундамента нет, то дальнейшие разговоры на тему безопасности бессмысленны, компании можно только посочувствовать, а о налаживании партнерских отношениях с такой компанией - десять раз подумать.

Подводя итог, можно сделать вывод:  изменения при ведении современного бизнеса зачастую  бывают стремительными и глобальными.  Не менее стремительно меняются угрозы и риски. И для их успешной минимизации нужно применять все доступные инструменты, в том числе, и аудиты по безопасности.

 

 

 

 

Оцените материал:
Total votes: 343
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Атаманов Геннадий

Медведев Л. Опять двадцать пять или про аудит безопасности... / УЦ «Инфорзащита». – Режим доступа: http://bis-expert.ru/blog/6245/49226 (05.03.2015).
 
Прочёл статью и не нашёл обоснования связи между ростом темпа изменения ситуации и аудитом. Аудит (аудиторская проверка) – это «независимая проверка с целью выражения мнения о достоверности. … Под аудитом понимают всякую выполняемую независимым экспертом проверку какого-либо явления или деятельности». Другими словами: аудит – проверка существующего положения дел. Поэтому я категорически не согласен с тем, что «инструмент, позволяющий службе безопасности стараться работать на опережение, существует уже давно и называется “аудит систем безопасности”». Инструмент, который позволяет работать на опережение, называется не «аудит», а «мониторинг». Причём, чтобы работать на опережение, мониторить (независимо от вида безопасности) нужно:
1) ресурсы, подлежащие защите;
2) источники угроз (внутренние и внешние);
3) объекты защиты;
4) уязвимости;
5) методы и средства причинения вреда.
Это сложная работа, требующая высокой квалификации и творческого подхода от исполнителя.

up
34 users have voted.
Аватар пользователя УЦ Информзащита

Геннадий, отвечаем: Дело в том, что инструмент, который позволяет работать на опережение, называется не «аудит», а «мониторинг». Причём, чтобы работать на опережение, мониторить (независимо от вида безопасности) нужно:
1) ресурсы, подлежащие защите;
2) источники угроз (внутренние и внешние);
3) объекты защиты;
4) уязвимости;
5) методы и средства причинения вреда.
Это сложная работа, требующая высокой квалификации и творческого подхода от исполнителя.

up
64 users have voted.
Аватар пользователя Атаманов Геннадий

Продолжение.
Не согласен и с тем, что «проведение аудита "второй стороны" всегда должно быть открытым и прозрачным действием». Именно этого и боятся все, кого хотят подвергнуть аудиту: выявят аудиторы какую-нибудь мелочь и «раздуют из неё слона» или «разнесут по всему свету», а это грозит серьёзными репутационными издержками. Аудитор – один из самых серьёзных каналов утечки информации, т.к. (по определению) обладает высоким уровнем подготовки и получит максимально возможное знание о ситуации. Поэтому прежде, чем проводить аудит, нужно семь раз подумать, нужно ли. Если да, то кого привлечь и как себя обезопасить от возможной утечки и вообще от негативных последствий.
А чтобы аудит помогал успевать за ростом темпа изменения ситуации, его нужно проводить каждый месяц, а лучше – каждый день. Ситуация-то меняется ежедневно, а то и ежечасно.
А чтобы применение нового «меча» не стало фатальным, любая система защиты должна быть структурно и функционально избыточной. 

up
32 users have voted.
Аватар пользователя УЦ Информзащита

Аудит - это не только проверка. Это мощный, гибкий и универсальный инструмент,  основное достоинство которого в том, что он  стандартизирован,  т.е. методика его проведения, требования по его проведению, методика подготовки отчетов - все это четко прописано в стандарте Гост-Р ISO 19011:2012.
Мне приходилось принимать участие как в проверках, проводимых по линии безопасности, так и в аудитах. Разница очень большая. Проверки, проводимые безопасниками, нацелены либо на выявление недостатков в существующей системе, либо на проверку соответствия существующей системы требованиям инструкций, положения и приказов.
Грамотно проведенный аудит, позволяет не только проверить уязвимость системы, но и предложить способы ее оптимизации и улучшения.
Прозрачность аудита - ключевой фактор. Это то, чего панически боятся безопасники старой школы. Позволю себе процитировать: “выявят аудиторы какую-нибудь мелочь и «раздуют из неё слона» или «разнесут по всему свету», а это грозит серьёзными репутационными издержками” Т.е. автор предлагает тихо прятать существующие недостатки и надеяться что “авось пронесет”. К сожалению, этот подход весьма популярен в наших силовых структурах и ни к чему хорошему не приводит.
Но вернемся к стандарту 19011. Пункт 4 Принципы проведения аудита

up
28 users have voted.
Аватар пользователя Атаманов Геннадий

Уточняю для ясности: я не против аудита, я против некорректного использования терминов. Аудит, независимо от того, стандартизирован он или нет, это проверка. Я не подвергаю сомнению, что аудит - полезная процедура. Но если новая угроза появилась в мае, аудит проводится в декабре, а реакция на него последует только в феврале (специфика бюджетной политики в РФ), то такой аудит - это что?
Правда, аудиту приписывается такое качество, как независимость. Но независимость – это понятие относительное. Независимость от чего? Например, проверка предприятия комиссией ФСТЭК не зависит от воли руководства предприятия, но зависит от действующего законодательства, установок руководства ФСТЭК, отношений между членами комиссии и сотрудниками подразделения ПД ИТР и много ещё чего. А аудит зависит от суммы контракта, квалификации аудиторов и их морально-волевых качеств, воли руководства предприятия и тоже много ещё чего. Так что независимость – это иллюзия, метафора, моральный императив и т.д. в том же духе.
Прозрачность – синоним открытости, а конфиденциальность (на которую вы ссылаетесь в той части комментария, которая не уместилась) – синоним закрытости. Эти два требования не совместимы! Так вот, я не за то, чтобы «тихо прятать существующие недостатки и надеяться что “авось пронесет”», а за конфиденциальность результатов аудита.
И ещё раз: аудит – нужная и важная процедура! Но своевременно реагировать на ситуацию, а, тем более, работать на опережение, позволяет только сочетание высокого уровня подготовки и творческого подхода к работе у персонала СБ. Несомненно, аудит повышает уровень мотивации у сотрудников подразделения СБ. И в этом его ещё одно положительное качество. 

up
39 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.