- Содержание
- Риск-ориентированный аудит: связь с ISO 27005
- Введение
- Почему риск — основа аудита
- Связь аудита с ISO 27005
- Двусторонняя связь: аудит обновляет оценку рисков
- Риск-ориентированное планирование аудита
- Оценка эффективности контролей
- Специфика аудита в условиях неполного управления рисками
- Риск-ориентированный аудит и требования регуляторов
- Типичные ошибки риск-ориентированного аудита
- Что дальше
- Список литературы и стандартов
Риск-ориентированный аудит: связь с ISO 27005¶
Введение¶
Представьте двух аудиторов, проверяющих одну и ту же организацию за одно и то же время. Первый методично идёт по списку контролей ISO 27001 сверху вниз — проверяет политику ИБ, инвентаризацию активов, физическую безопасность, управление доступом... Второй начинает с реестра рисков организации, находит три риска с наивысшим остаточным уровнем и сосредотачивает усилия на контролях, которые должны их снижать.
Оба аудитора потратят одинаковое время. Но второй с гораздо большей вероятностью найдёт то, что действительно важно. Именно этот подход называется риск-ориентированным аудитом.
Риск-ориентированный аудит — это подход, при котором глубина и интенсивность проверки каждой области определяется уровнем риска, а не равномерно распределяется по всем объектам аудита.
Этот принцип закреплён в стандартах ISO 19011 и ISO 27007 и является основой профессионального аудита ИБ. Аудитор, игнорирующий риски, тратит одинаковое время на проверку политики использования принтеров и на проверку защиты платёжной инфраструктуры. Аудитор, применяющий риск-ориентированный подход, знает, куда смотреть в первую очередь.
Эта тема напрямую опирается на методологию управления рисками из курса «Основы менеджмента ИБ». Рекомендуем освежить в памяти темы [[uib:Управление_рисками_информационной_безопасности||Управление рисками ИБ]] (ISO 27005, реестр рисков, ALE) и Создание СУИБ (SOA, план обработки рисков) перед изучением этой темы.
Почему риск — основа аудита¶
Ограниченность ресурсов¶
Любой аудит ограничен по времени и ресурсам. Крупная организация может иметь сотни информационных систем, тысячи учётных записей, десятки подразделений и сотни применимых контролей ISO 27001. Проверить всё с одинаковой глубиной невозможно физически.
Это означает, что выбор — что проверять глубоко, что поверхностно, а что пропустить — делается в любом случае. Вопрос лишь в том, делается ли этот выбор осознанно на основе риска или неосознанно на основе привычки, доступности или удобства.
Цель аудита — уверенность в управлении рисками¶
Фундаментальная цель аудита ИБ — дать заинтересованным сторонам уверенность в том, что существенные риски организации находятся под управлением. Не в том, что все документы правильно оформлены, и не в том, что выполняются все 93 контроля ISO 27001 — а в том, что риски, которые могут нанести реальный ущерб, идентифицированы и контролируются.
Если аудитор тщательно проверил 90 из 93 контролей, но пропустил три, относящихся к защите критической базы данных клиентов, — ценность такого аудита сомнительна вне зависимости от его объёма.
Риск как основа планирования выборки¶
В предыдущей теме мы рассматривали выборку как инструмент аудита. Риск-ориентированный подход определяет принцип формирования этой выборки: чем выше риск, тем больший объём проверки оправдан.
| Уровень риска | Подход к проверке | Объём выборки |
|---|---|---|
| Высокий | Детальная проверка всех связанных контролей | 80–100% объектов |
| Средний | Выборочная проверка ключевых контролей | 30–50% объектов |
| Низкий | Подтверждение наличия базовых мер | 10–20% объектов |
Связь аудита с ISO 27005¶
ISO 27005 — стандарт управления рисками ИБ — описывает процесс, результаты которого становятся входными данными для аудита. Понимание этой связи принципиально важно для риск-ориентированного аудитора.
Реестр рисков как карта аудита¶
Реестр рисков — центральный документ процесса управления рисками. Для аудитора он является прежде всего картой: где в организации сосредоточены наиболее серьёзные угрозы, какие активы наиболее критичны, какие контроли выбраны для снижения каждого риска.
При планировании аудита аудитор анализирует реестр рисков и задаёт следующие вопросы для каждого значимого риска.
Вопрос 1: Корректно ли идентифицирован риск? Реестр рисков сам является объектом аудита. Аудитор проверяет, охватывает ли он актуальные угрозы, не устарели ли оценки, учтены ли изменения в инфраструктуре и бизнес-среде.
Вопрос 2: Адекватна ли оценка риска? Уровень вероятности и воздействия должны соответствовать реальности. Если организация оценила риск компрометации привилегированных учётных записей как «низкий» при отсутствии MFA — это не просто ошибка управления рисками, это потенциальное несоответствие в методологии оценки.
Вопрос 3: Реализованы ли выбранные контроли? Для каждого риска план обработки указывает контроли, которые должны его снижать. Аудитор проверяет фактическое внедрение этих контролей.
Вопрос 4: Эффективны ли контроли? Контроль может быть внедрён формально, но не работать. Политика паролей существует — но не применяется к сервисным учётным записям. Резервное копирование настроено — но копии не верифицируются. Эффективность — ключевой вопрос аудита.
Вопрос 5: Корректен ли остаточный риск? После применения контролей остаточный риск должен находиться в пределах приемлемого уровня, утверждённого руководством. Аудитор проверяет, соответствует ли задекларированный остаточный риск реальному состоянию контролей.
SOA как чек-лист аудита¶
Положение о применимости (SOA) — обязательный документ ISO 27001, перечисляющий все 93 контроля с обоснованием их применения или исключения. Для аудитора SOA является структурированным чек-листом.
Каждое исключение контроля в SOA обосновывается результатами оценки рисков. Аудитор проверяет обоснованность этих исключений: если контроль 8.9 «Управление конфигурацией» исключён «ввиду отсутствия применимых рисков», но при этом в организации эксплуатируются публично доступные веб-серверы — это несоответствие в процессе оценки рисков.
План обработки рисков как программа внедрения¶
План обработки рисков определяет, какие контроли должны быть внедрены, кем и в какие сроки. Аудитор сопоставляет план с фактическим состоянием:
- запланированные контроли внедрены в срок или нет;
- если не в срок — есть ли обоснование и новый срок;
- если внедрены — функционируют ли фактически.
Двусторонняя связь: аудит обновляет оценку рисков¶
Связь между аудитом и управлением рисками не односторонняя. Аудит не только потребляет результаты оценки рисков — он их обновляет.
Как находки аудита влияют на оценку рисков¶
Выявленное несоответствие меняет остаточный риск. Если аудит обнаружил, что контроль, снижавший определённый риск, фактически не работает — остаточный риск по этому направлению выше, чем зафиксировано в реестре. Реестр должен быть обновлён.
Аудит выявляет неидентифицированные риски. В процессе проверки аудитор может обнаружить угрозы или уязвимости, не отражённые в реестре. Это не провал управления рисками — это нормальный результат независимой проверки, который улучшает систему.
Системные несоответствия указывают на слабость методологии. Если аудит раз за разом выявляет несоответствия в одних и тех же областях, это может указывать на то, что методология оценки рисков систематически недооценивает угрозы в этих областях.
Риск-ориентированное планирование аудита¶
Шаг 1. Получение и анализ реестра рисков¶
До начала аудита аудитор запрашивает у организации реестр рисков, SOA и план обработки рисков. Если организация не может предоставить эти документы — это само по себе значительное несоответствие требованиям ISO 27001.
Анализ реестра рисков позволяет построить тепловую карту аудита: распределение рисков по уровням, кластеры высоких рисков по бизнес-процессам и системам.
Шаг 2. Определение высокорисковых областей¶
На основе реестра рисков определяются области, требующие углублённой проверки. Критерии отбора:
Высокий неснижённый или остаточный риск. Риски с высоким уровнем, для которых либо не выбраны контроли, либо остаточный риск превышает приемлемый уровень.
Новые или изменившиеся риски. Риски, появившиеся или существенно изменившиеся с момента предыдущего аудита — новые системы, изменения в бизнес-процессах, новые регуляторные требования.
Риски, связанные с критическими активами. Активы с наивысшим уровнем критичности по триаде КДЦ (рассмотренной в курсе «Основы менеджмента ИБ») требуют пропорционального внимания аудитора.
Области с историей инцидентов или несоответствий. Риски, которые уже реализовывались или для которых предыдущие аудиты выявляли несоответствия, заслуживают повышенного внимания.
Шаг 3. Сопоставление рисков с контролями¶
Для каждой высокорисковой области составляется матрица соответствия: какие контроли ISO 27001 должны снижать этот риск согласно SOA, и что именно будет проверяться в ходе аудита.
| Риск из реестра | Уровень | Контроль по SOA | Что проверяет аудитор |
|---|---|---|---|
| Несанкционированный доступ к БД клиентов | Высокий | 8.5 MFA, 8.2 Привилегированный доступ, 8.15 Журналирование | Настройки MFA в AD, список привилегированных учётных записей, журналы доступа к БД |
| Утечка данных через подрядчиков | Высокий | 5.19 Безопасность в цепочке поставок, 5.20 ИБ в договорах | Договоры с подрядчиками, права доступа, журналы активности |
| Ransomware и потеря данных | Высокий | 8.13 Резервное копирование, 8.7 Защита от вредоносного ПО | Конфигурация резервного копирования, журналы верификации, настройки EPP/EDR |
| Недоступность платёжного сервиса | Средний | 8.14 Резервирование ИТ-ресурсов, 5.29 Непрерывность ИБ | Документация BCP/DRP, результаты тестирования, RTO/RPO |
Шаг 4. Распределение времени аудита пропорционально риску¶
Зная распределение рисков, аудитор составляет план проверки с явным распределением времени. Пример для пятидневного аудита:
| День | Область | Обоснование приоритета |
|---|---|---|
| День 1 | Управление привилегированным доступом и MFA | Три высоких риска связаны с компрометацией учётных записей |
| День 2 | Защита периметра, сегментация сети, NGFW | Высокий риск проникновения через публичные сервисы |
| День 3 | Резервное копирование, BCP/DRP, непрерывность | Высокий риск потери данных, RPO/RTO не верифицировались год |
| День 4 | Управление подрядчиками, цепочка поставок | Средний риск, но несоответствие в предыдущем аудите |
| День 5 | Прочие контроли, документация, заключительное совещание | Низкий приоритет, выборочная проверка |
Оценка эффективности контролей¶
Риск-ориентированный аудитор не ограничивается проверкой наличия контроля — он оценивает его эффективность в снижении целевого риска. Это принципиальное отличие от формального аудита соответствия.
Три уровня проверки контроля¶
Уровень 1: Наличие. Контроль задокументирован и формально внедрён. Политика паролей существует и утверждена руководством. Это минимальный уровень, не говорящий об эффективности.
Уровень 2: Операционность. Контроль функционирует в соответствии с замыслом на регулярной основе. Политика паролей фактически применяется ко всем учётным записям, включая сервисные. Периодические проверки соответствия проводятся. Это основной объект проверки в аудите соответствия.
Уровень 3: Результативность. Контроль фактически снижает риск, для которого был выбран. Уровень инцидентов, связанных с компрометацией учётных записей, снизился после внедрения MFA. Время обнаружения атак сократилось после внедрения SIEM. Это наиболее сложный уровень оценки, требующий метрик и исторических данных.
Большинство аудитов соответствия останавливаются на уровне 2. Риск-ориентированный аудит стремится к уровню 3 для критических контролей, снижающих высокие риски. Именно здесь аудит создаёт наибольшую ценность.
Метрики эффективности контролей¶
Для оценки результативности аудитор анализирует ключевые показатели риска (KRI) и показатели эффективности контролей (KCI).
| Контроль | KCI (показатель эффективности) | Источник данных |
|---|---|---|
| MFA для привилегированного доступа | % привилегированных учётных записей с включённым MFA | Active Directory, отчёты IAM |
| Патч-менеджмент | % критических уязвимостей, закрытых в пределах SLA | Сканер уязвимостей, CMDB |
| Резервное копирование | % успешных верифицированных восстановлений за период | Журналы системы резервного копирования |
| Обучение персонала по ИБ | % сотрудников, прошедших обучение в срок | LMS, HR-система |
| Реагирование на инциденты | MTTR (среднее время устранения) по категориям инцидентов | Система управления инцидентами |
Специфика аудита в условиях неполного управления рисками¶
На практике аудитор нередко сталкивается с ситуациями, когда система управления рисками в организации незрелая или неполная. Это само по себе является объектом аудита.
Реестр рисков отсутствует или формален¶
Реестр рисков, обновляемый раз в год перед аудитом и содержащий одни и те же десять строк из года в год — это признак формального, а не реального управления рисками. Аудиторские признаки формального реестра: отсутствие новых рисков за несколько лет, одинаковые уровни рисков вне зависимости от изменений в инфраструктуре, отсутствие закрытых рисков (что означает либо нереалистичную оценку, либо неэффективное управление).
В таком случае аудитор применяет собственное профессиональное суждение о рисках на основе понимания бизнеса организации, отраслевых угроз и технического состояния инфраструктуры.
Реестр рисков не охватывает все угрозы¶
Аудитор сопоставляет реестр рисков с актуальными каталогами угроз (MITRE ATT&CK, ФСТЭК БДУ) и публичными данными об инцидентах в отрасли. Значительные расхождения — потенциальные пробелы в идентификации рисков.
Высокие риски приняты без обоснования¶
Принятие риска — законная стратегия обработки. Но оно должно быть осознанным решением руководства, зафиксированным документально. Реестр рисков с десятью высокими рисками и пометкой «принят» без обоснования — признак уклонения от управления рисками, а не сознательного принятия.
Риск-ориентированный аудит и требования регуляторов¶
Российские регуляторы всё активнее используют риск-ориентированный подход в своих требованиях.
ФСТЭК России в приказах №117, №21 и №239 требует формирования модели угроз и нарушителя как обязательного входного документа для определения состава защитных мер. Аудитор, проверяющий соответствие этим приказам, анализирует как саму модель угроз, так и соответствие выбранных мер актуальным угрозам.
Банк России в серии стандартов ГОСТ 57580 устанавливает процессы оценки рисков операционной надёжности как самостоятельный объект аудита — не только технические контроли, но и сам процесс идентификации и оценки рисков.
PCI DSS v4.0.1 прямо вводит понятие «customized approach» — организация может применять контроли, отличные от стандартных, если обоснует, что они снижают целевые риски эквивалентным образом. Аудитор в этом случае оценивает риски напрямую, а не проверяет соответствие фиксированным требованиям.
Типичные ошибки риск-ориентированного аудита¶
| Ошибка | Последствие |
|---|---|
| Аудитор принимает реестр рисков организации без критической оценки | Пропуск рисков, которые организация намеренно или ненамеренно не идентифицировала |
| Фокус только на высоких рисках, полное игнорирование средних | Накопление незакрытых средних рисков создаёт системную угрозу |
| Оценка контролей только на уровне наличия, без операционности | Формально внедрённые, но нефункционирующие контроли остаются незамеченными |
| Отсутствие обратной связи: находки не обновляют реестр рисков | Управление рисками остаётся оторванным от реального состояния системы |
| Риск-ориентированный подход как повод сократить объём аудита | «Мы проверили только высокие риски» не является оправданием пропуска обязательных требований стандарта |
| Игнорирование рисков, связанных с самим процессом управления рисками | Слабая методология оценки рисков — системный риск, не видимый в реестре |
Что дальше¶
Понимая, что проверять и почему именно это, аудитор приступает к выбору методов — как проводить проверку. Интервью, наблюдение, технические тесты и анализ документов применяются в разных комбинациях в зависимости от объекта и критериев аудита.
- Следующая тема: Методы проведения аудита — интервью, наблюдение, технические проверки, анализ документов
- Технический аудит рисков: Технический аудит и пентест — как оценить фактическую эксплуатируемость рисков
- Нормативная база рисков: ISO 27001 — разделы 6.1.2, 6.1.3 о требованиях к оценке и обработке рисков
Список литературы и стандартов¶
- ISO/IEC 27005:2022 — Руководство по управлению рисками ИБ
- ISO/IEC 27001:2022 — разделы 6.1 (действия в отношении рисков), 9.2 (внутренний аудит)
- ISO 19011:2018 — разделы 5.3 (программа аудита, основанная на рисках), 6.3 (планирование аудита)
- NIST SP 800-30 Rev.1 — Guide for Conducting Risk Assessments
- ISACA — Risk-Based Auditing
- ФСТЭК России — Методика оценки угроз безопасности информации (2021)
- MITRE ATT&CK — база знаний тактик и техник для идентификации угроз при аудите
Обновлено С. Антошкин 1 день назад · 1 изменени(я, ий)