Пять ошибок, которые затягивают аудит ИБ. Как их предотвратить?

Эксперты российского системного интегратора УЦСБ разобрали пять распространенных ошибок, которые затягивают аудит, и поделились способами их предотвращения.

Не зафиксированы цели и границы аудита: непонятно кого опрашивать и что должно быть в отчете

Когда компания и организация, выполняющая для нее аудит, заранее не договорились о цели проверки и ее границах, стороны начинают по-разному понимать, каким должен быть результат. Это и есть первый признак проблемы.

Отсутствие зафиксированных целей работ без детализации их итога в договоре мешает точно определить, какие объекты необходимо проверить и каких специалистов опросить. По этой же причине появляются трудности с оформлением отчетных документов. Возникает вопрос, какие разделы должен содержать отчет: включать ли в него результаты проверки реализации технических мер ИБ или только организационных процессов обеспечения безопасности, требуется ли проверка корректности локальных нормативных актов и так далее. В итоге проблема распространяется и на этап сдачи работ.

Пример из практики При согласовании отчета обнаружилось, что аудит провели на соответствие требованиям законодательства, тогда как компании нужна была оценка реального состояния защиты и рекомендации по ее усилению: какие настройки поправить, где добавить еще один межсетевой экран или обновить средство защиты информации (СрЗИ). Это привело к увеличению сроков проекта на два месяца: аудиторы заново проводили интервью с инженерами, запрашивали конфигурации СрЗИ и другого оборудования.

Если такая ошибка произошла, то можно только «откатиться» назад и заново пройти часть пути. Поэтому единственный надежный способ ее предотвратить — еще на старте проекта четко сформулировать для аудитора рамки проверки и закрепить в договоре ожидаемый результат.

Низкая вовлеченность смежных подразделений: важность участия в проверке не донесена до всех ее участников

Аудит ощутимо замедляется, если не все подразделения компании в нем заинтересованы. Чаще всего он инициируется ИБ-отделом, чтобы по итогам получить бюджет и/или обоснование для изменений каких-либо процессов внутри компании, поэтому ИБ-специалисты принимают активное участие в проверке и подробно отвечают на вопросы аудиторов.

Сбой может произойти в смежных отделах. В зависимости от направленности аудита ИТ-подразделение, кадровый отдел или метрологи могут воспринимать проверку как формальность, не понимать ее целей и не хотеть активно включаться в процесс.

Пример из практики   ИБ-служба была готова к взаимодействию, но ИТ-подразделение затягивало выдачу информации из-за опасений, что аудит раскроет его недоработки.

Основной симптом этой ошибки — задержки в сборе исходных данных и многократные запросы одних и тех же материалов. Если говорить о главном последствии, то это потеря времени. Может сложиться ситуация, при которой один и тот же опросный лист ИБ-подразделение заполняет три дня, а ИТ-служба два месяца и предоставляет неполные данные.

Решение проблемы должно исходить со стороны ИБ-подразделения, которое заранее проговаривает смежным подразделениям их роль в аудите, объясняет необходимость участия и выделяет на это время. Например, ежедневные временные слоты, в рамках которых сотрудники официально могут заниматься только аудитом.

Кроме того, можно подготовить план проведения обследования. В нем фиксируются имена участников, согласованные с ними даты и время встреч, а также повестка интервью. Чтобы люди успели продумать ответы, вопросы рекомендуется направлять заранее. Это поможет быстрее и эффективнее провести встречу.

Нет единого порядка сбора и хранения свидетельства удита: повторение уже пройденных шагов

Сбор свидетельств с использованием разрозненных каналов повышает риск потери версий документов и отдельных подтверждений, что приводит к повторным обращениям аудиторов. Из последнего вытекает главный признак этой ошибки — заказчику приходится повторно предоставлять уже переданную информацию. В результате команде аудита приходится тратить массу времени на поиск нужных сведений в почте, мессенджерах и других источниках. При этом из-за потери данных в итоговом отчете может появиться некорректная информация.

Если проблема обнаружилась в ходе проекта, то она решается только перестройкой процесса. Заказчику и аудиторам необходимо определить, кто отвечает за сбор данных, где они аккумулируются и как о появлении новых материалов уведомляют участников проекта — то есть в середине проверки нужно организовать тот порядок работы, который было необходимо утвердить на старте.

Рекомендация из практики   Можно создать сайт проекта, доступный всем участникам аудита, на котором структурировано будут храниться собранные исходные данные, результаты обследования, записи интервью и отчет. Кроме того, нужно определить порядок обращения с информацией, роли участников проекта обеих сторон и способы коммуникации между ними.

Очень важна согласованность внутри команды. Тот, кто получает данные, должен разместить их в общем пространстве и сразу уведомить остальных участников проекта о новой информации, чтобы избежать повторных запросов.

Не согласован формат доказательств выполнения требований: нет понимания в каком виде их предоставить

Не каждый аудит требует подтверждения (демонстрации) реализации мер ИБ, но, если это предполагается, неготовность компании затягивает проверку. Явный симптом проблемы — уже в ходе проверки команде проекта приходится выяснять, какие материалы подойдут для подтверждения выполнения требований на практике. В результате время тратится не на оценку, а на согласование этих материалов.

Обычно это происходит, когда формат приемлемых подтверждений не был разъяснен заранее или компания впервые проходит аудит и не знает, чем именно нужно подтверждать выполнение требований.

Пример из практики Компания была готова подтвердить проверяемые процессы ИБ, но стороны заранее не согласовали, в каком формате это делать: скриншотами, видео или сертификатами. Чтобы подобрать подходящие свидетельства, команда аудиторов разбирала каждый процесс вместе с заказчиком. Все подтверждения были найдены, но сроки проекта, и без того сжатые, увеличились на два дня.

Надежный способ предотвратить такую ситуацию — определить до начала работ, предполагает ли выбранный тип аудита предоставление доказательств, и согласовать, какие именно подтверждения будут считаться достаточными.

Нет утвержденного формата результата проверки: затягивание финального этапа аудита

Зафиксированные цели аудита не гарантируют, что его участники одинаково видят результаты проверки, поэтому отсутствие заранее согласованного формата отчета может привести к затяжным доработкам на финальном этапе проекта. Эта проблема определяется по многочисленным итерациям правок итогового документа, которая в первую очередь касается не его содержания, а формы.

Пример из практики Согласование структуры отчета с юридическим отделом заказчика может занимать до трех недель.

Стандартный отчет по итогам аудита — это документ, в котором указывается на соответствие каким требованиям проводилась проверка, и описывается результат по каждому из них: выполнено, не выполнено или частично выполнено с обоснованием сделанного вывода. Также в документ включаются рекомендации по достижению полного соответствия требованиям.

Чтобы избежать затяжных доработок на финальном этапе, заказчику стоит еще до старта работ согласовать с аудитором структуру итогового отчета, перечень включаемых в него сведений и сам формат результата, а затем закрепить эти договоренности в договоре. 

Дополнительный риск для крупных и долгих проектов: незафиксированные промежуточные договоренности

Такое упущение может привести к тому, что в какой-то момент ожидания заказчика разойдутся с фактической деятельностью аудиторов. Например, на анализ передали больше конфигураций СУБД, чем было в согласованном объеме работ, и не обозначали приоритеты. Инженеры могут выбрать для проверки те объекты, которые проще обработать, но заказчик будет ожидать анализа наиболее критичных для него систем.

Для профилактики этого риска лучше заранее договориться о регулярных статусах и фиксировать промежуточные договоренности в протоколах встреч.

Один инструмент предотвращения ошибок: сбор материалов и результатов в одной системе

CheckU — это решение для внутреннего контроля соответствия требованиям, которое помогает ИБ-команде заказчика сократить ручную работу при подготовке к аудиту и во время его проведения. В инструмент уже заложен регламент проверки, поэтому его использование снижает риск разночтений в ходе работы и при формировании ее результатов. Вот как он помогает предотвратить ошибки, описанные выше:

• не зафиксированы цели и границы аудита — CheckU можно точнее задать периметр проверки через иерархию организаций, проверяемые объекты, шаблоны опросных листов и централизованную базу требований. Это не заменит согласования целей с заказчиком, но позволит конкретизировать, что именно проверяется, по каким объектам и в какой логике;  

• низкая вовлеченность смежных подразделений — решение выстраивает полный цикл задач по аудиту: создание, назначение, выполнение, проверка, доработка и закрытие. Такой механизм позволяет видеть исполнителей, сроки, статусы и результаты проверок, а значит лучше контролировать ход аудита;

• нет единого порядка сбора и хранения свидетельств — все материалы, статусы задач и результаты проверок собраны в одной системе. За счет этого снижается риск потери данных и повторных запросов из-за разнесенного хранения свидетельств;
  
  
• не согласован формат доказательств выполнения требований — CheckU помогает структурировать работу с подтверждающими материалами в рамках задач аудита. После того как стороны согласовали, чем именно доказывать выполнение требований, эти документы можно прикреплять к задачам, проверять, возвращать на доработку и хранить в одном месте.

Решение агрегирует результаты проверок в едином дашборде, что позволяет не только увидеть проблемные зоны и динамику изменений, но и делает удобнее поиск материалов разных проверок при работе над итоговым отчетом. Кроме того, инструмент упрощает подготовку к регулярным статусам благодаря возможности отслеживать этапы, исполнителей, сроки и результаты проверок.

CheckU разработан российским системным интегратором УЦСБ, который более 18 лет проводит аудиты ИБ в разных направлениях: КИИ, ПДн, коммерческая тайна, ГИС, требования ЦБ РФ и международных стандартов. Решение разворачивается в срок от трех до шести месяцев, настраивается под любые законодательные, отраслевые или корпоративные требования, не нарушая внутренние процессы компании. Заказать демонстрацию CheckU можно здесь. 

Реклама. ООО «Уральский центр систем безопасности», ИНН 6672235068, Erid:2VtzqwfDKnf