Вставляем палки в колеса на аудиторских проверках, или Как сделать аудит ИБ максимально некомфортным для аудитора

в 12:35, , рубрики: аудит информационной безопасности, Блог компании Инфосистемы Джет, вредные советы, информационная безопасность

Привет! Спустя 9 лет на проектах по аудитам ИБ за спиной мне нестерпимо хочется взять и написать книгу «1000 и 1 попытка обмануть аудитора». Начну, пожалуй, с первой главы — поделюсь вредными советами, как можно «успешно» пройти аудит, получив минимальное количество замечаний от аудитора.

Зачем вообще компании проводят аудит информационной безопасности? Причин может быть несколько:

  • чтобы получить объективную оценку состояния ИБ (для себя);
  • потому что аудит является обязательным (для регуляторов);
  • потому что аудит требуют партнеры или головная организация (для других).

Любой из перечисленных видов аудита преследует основную позитивную цель — сделать компанию лучше, локализовав текущие проблемы. Большинство наших заказчиков заинтересованы в эффективном проведении таких работ. Однако иногда встречаются случаи, когда критерием успешности заказанного аудита служит отсутствие выявленных проблем в аудиторском отчете (при полном их наличии). Причины бывают разные, но чаще всего встречаются следующие.

  • Аудит «навязан» вышестоящей организацией.
  • Непрохождение аудита (например, PCI DSS) влечет за собой санкции со стороны контролирующих органов
  • ИБ-служба боится получить «по шапке» от руководства.

Во всех этих случаях штатный аудит превращается в поле боя, где компания стремится по максимуму сохранить рубежи, не показав «лишнего», а работа аудитора становится больше похожа на детективный сюжет.

P.S. Перечисленное под катом не является вымыслом, все это случалось и периодически встречается на реальных проектах.
Вставляем палки в колеса на аудиторских проверках, или Как сделать аудит ИБ максимально некомфортным для аудитора - 1

Готовимся к аудиторской проверке

Подготавливаем персонал – обучаем, что нужно говорить и что нельзя показывать

Залог успешной диверсионной подготовки персонала (особенно в условиях грядущих военных действий) — тщательное предварительное обучение. Как правило, оно направлено на:

  • повышение осведомленности о текущем вооружении аудитора, его приемах, техниках и болевых точках;
  • выработку и совершенствование командных навыков по запутыванию, сокрытию следов, а также оттачивание методики «стрелочник».

Очевидно, что чем меньше информации узнает аудитор, тем меньше несоответствий обнаружит, а где мало несоответствий, там мало проблем (и работы). Значит, задача-максимум аудируемой компании — скрыть возможные проблемные области (информационные системы, отдельные элементы ИТ-инфраструктуры и пр.), обучив специалистов тому, что можно показывать, а что не нужно.

Зачастую о проведении таких обучений нам приходится догадываться по косвенным признакам, однако бывают и досадные «проколы». Например, во время аудита на соответствие PCI DSS в одном из банков нам распечатали схему сети на черновике, и на его обратной стороне оказалось… письмо от службы ИБ с детальной памяткой по системам, которые можно, конечно, показать, но не в этот раз. Неоднократно подводила опытных бойцов также кнопка «Переслать» в почтовом клиенте, когда вместе со свидетельствами аудита (скриншотами/выгрузками) к нам улетали и внутренние договоренности.

Работает ли этот прием? Плохо: используем различные комплексные проверки — и стройные договоренности начинают «сыпаться».

Игнорируем предварительный запрос информации

Любой аудит начинается с предварительного запроса информации: аудиторы пытаются заранее узнать, как живет компания и как выстроены ее процессы, чтобы оптимально спланировать встречи и их продолжительность. Поэтому важная задача этого этапа — разрушить розовые мечты аудиторов о легком аудите. Сценарий идеального первого свидания с компанией должен быть неожиданным. Используем следующие проверенные временем аргументы:

  • «Прелюдия не для нас, бумажки можно почитать потом».
  • «У нас все равно ничего нет, правда-правда (не правда)».
  • «У нас все на портале, мы сейчас вам быстро (за две недели) учетку сделаем, приезжайте и читайте».

Примеров можно привести много, итог один: со многим приходится разбираться на месте, открывая для себя новое уже в ходе аудита. Успешна ли такая тактика? Нет, просто больше времени приходится тратить «внеурочно».

Только разовые пропуска, только хардкор!

Хорошее утро начинается с кофе пропуска. Еще один замечательный прием, чтобы заранее деморализовать врага. Встаем пораньше, занимаем очередь на ресепшен или в бюро пропусков, расписываем ручку. Если ты еще не знаешь серию и номер своего паспорта, то теперь точно запомнишь.

Иногда встречаются совсем запрещенные приемы. Например, условием допуска на площадки одного из заказчиков стала разработка регламента его предоставления. Доступ кому был нужен? Нам! Вот мы и писали, как будем его получать и с кем согласовывать.

Приводят ли к чему-то такие «сложности»? Очевидно, что нет: мы любим пораньше вставать (если все-таки ложимся спать).

Усложняем управление проектом

Вам надо — вы и организовывайте. Хард-версия для опытных

Вставляем палки в колеса на аудиторских проверках, или Как сделать аудит ИБ максимально некомфортным для аудитора - 2

Еще одна важная военная хитрость: переложить ответственность за организацию всех встреч на бывалые плечи менеджера проекта.

«Вот портал, вот телефон — организовывайте встречи сами. Отчет можно отправить вот по этому адресу, только сначала со всеми согласуйте по почте».

Результат, как правило, не заставляет себя долго ждать: из-за отсутствия куратора у специалистов никогда не будет времени на встречи.

Хорошая попытка затягивания сроков, но с нашими менеджерами и выстроенной системой эскалаций работает плохо :-).

Мы попробовали, но у нас не получилось. Лайт-версия для новичков

Больше дегтя — меньше меда. Делаем план-график максимально неудобным и непредсказуемым. Идеальный день аудитора на площадке должен выглядеть так: беседа на час в 9.00, потом на 30 минут в 13.00 и следующая в 18.00. Информацию о запланированных на следующий день встречах высылаем строго в 23.55. Чем больше хаоса, тем выше шанс, что аудиторы забудут о той самой распечатке на черновике письма с внутренним обучением.

Аудитор должен быть гибким, поэтому еще один лайфхак — менять местами интервью прямо в день проведения. Сам план интервью всегда преследует определенную логику, например, сначала изучается функционал системы, а потом проверяются ее компоненты (СУБД и пр.). Но это — Спарта, и логика — для слабаков, потому:

«Мы там хотели с вами в пятницу с DBA поговорить, но у нашего специалиста 15 минут свободного времени появилось, он сейчас придет».

Враг будет разгромлен? Нет, такое мы встречаем часто и умеем с этим бороться.

Аудит по фотографии — самый честный аудит

Повышаем шансы на успех. Превращаем «выездной» аудит в «документарный». Запоминаем:

«Отвлекать людей от работы неправильно, у нас высококвалифицированный персонал, который сам все заполнит и приложит скриншоты. Высылайте опросники».

Составить универсальный опросник на все случаи невозможно, в зависимости от ответов аудитор всегда ведет беседу по-разному. Проблема детальных опросников сводится к отсутствию в них гибкости: чем больше вопросов они содержат, тем меньше возникает желания отвечать на них подробно. Поэтому, как правило, такой аудит впоследствии выглядит следующим образом:

  • Подготовка кучи опросников с памяткой по их заполнению.
  • Получение огромного количества неструктурированного материала (каждый может понять вопрос по-разному).
  • Созвоны со специалистами для уточнения информации.
  • Выстраивание из всего материала какой-то стройной картины.
  • Уход на новый круг уточнения.

Достигнута ли цель компании по снижению качества и удается ли деморализовать противника? Нет: звонить мы любим, а проверять то, что нам прислали, еще больше.

Проводим интервью

Театр начинается с вешалки — выбираем лучшие места для беседы

Если все-таки отбиться не получилось и встреч с аудиторами не избежать, вот вам ТОП лучших мест для проведения интервью. Аудиторам точно понравится — не благодарите.

  • На детской площадке у грибка.
  • В туалетной комнате, переоборудованной дополнительно в коммутационную.
  • В машине (ночью).
  • В столовой.

На самом деле странных мест, где мы проводили интервью, гораздо больше. Но вам потом придется с этим жить. Вообще так даже интереснее, так что это скорее плюс, чем минус.

А не шпион ли ты часом?

В ходе проведения аудита каждый работник компании должен быть на чеку: а вдруг это социальная инженерия, и вместо аудитора к нам пробрался шпион? Вычислить шпиона просто — заставьте его неожиданно показать в следующем порядке:

  • NDA на компанию, где работает аудитор;
  • личный NDA аудитора с вами;
  • рабочий пропуск;
  • копию трудовой книжки;
  • письмо, заваренное руководителем компании;
  • паспорт.

Только после этого выдавайте «военную тайну». Нет с собой копии трудовой — ну что ж, придется запланировать встречу еще раз.

Прием встречается редко, работает безотказно ровно для одной встречи, потом все документы оперативно собираются в нужном количестве экземпляров.

Берем массой, или Чем больше, тем интереснее (нет)

Как сделать деловую встречу максимально бесполезной? Рецепт прост: открываем любую статью в Интернете по эффективным совещаниям и превращаем полезное в неполезное:

  • Всегда определяйтесь с повесткой собрания заранее. Никогда не сообщайте коллегам о цели встречи. Скажите, что это ПРО БЕЗОПАСНОСТЬ, и ТАМ вам все расскажут НУЖНЫЕ ЛЮДИ (почувствовали мурашки?).
  • Число участников должно быть минимальным, не более 7 человек. Снимите просторную переговорку и позовите большую часть ИТ-специалистов. Они будут друг друга дополнять, и аудиторы сэкономят кучу времени (нет).
  • Не затягивайте совещание дольше, чем на час. Запланируйте встречу часа на четыре под конец рабочего дня, чтобы точно снять все вопросы.
  • Убедитесь в том, что все принимают активное участие в обсуждении. Раздраженный работник — лучший собеседник. Поэтому приглашайте и HR, и DBA, и всех остальных: пусть ждут, когда до них дойдет очередь.

Практика организации таких встреч не редкость (хотя такие моменты всегда проговариваются с заказчиком), и мы по-разному выходим из ситуации, чтобы вовлечь в беседу всех специалистов и не дать им заскучать.

Работает? Плохо, но попытка хорошая.

Играем в «Данетки», или Я угадаю эту мелодию с одной ноты

Вставляем палки в колеса на аудиторских проверках, или Как сделать аудит ИБ максимально некомфортным для аудитора - 3

Активизируем секретное оружие — запоминаем правила игры в «Данетки».

Задача работника: минимизировать психологические пытки аудиторов, заставить их грамотно формулировать вопросы, чтобы на них можно было отвечать только «Да» или «Нет».

Задача аудитора: отгадать почему мужчина заходит в бар и просит стакан воды, бармен внезапно достает ружье и направляет на мужчину. Мужчина говорит «Спасибо» и уходит ответы на свои вопросы:

— Какие средства автоматизации управления заявками у вас используются?
— Да!
— Какие технологии виртуализации используются в компании?
— Все!

Проводить такие аудиты крайне сложно, информацию приходится добывать по крупинкам. Обожаю эту игру.

Добавляем цензуру

Вы думали, что цензура, это — система надзора за содержанием и распространением информации, печатной продукции, музыкальных и сценических произведений и прочего? Нет. Цензура — это вовремя выставленный за спиной аудитора ИБ-шник. В таком важном мероприятии, как аудит, нет места фантазиям и домыслам аудитора. Поэтому:

«Это не у нас неправильно, это вы неправильно поняли, и вопросы ваши неправильные».

Задача цензора — помочь работнику не завалить экзамен. Помощь может заключаться в следующем:

  • Отфильтровываем на свой вкус «неправильные» вопросы. Апеллируем границами аудита либо вопросами не по адресу или не по существу.
  • Отвечаем за аудируемого (вдруг он забыл, о чем раньше с ним успели договориться).
  • Заглядываем в записи аудитора и даем замечания.

Сюрреализм? Он самый. Однако такой опыт тоже был в нашей практике. Прямо скажем: получалось у заказчика плохо, хотя идея — огонь!

Уходим в цикл и переводим стрелки

Важно запутать врага, чтобы он не смог сделать опасное аудиторское заключение и навредить вам. Еще одно ядерное оружие, как и «Данетки». Записывайте универсальную формулу.

Работник N: «Я это не знаю, я работник N, это знает другой работник N+1».

Работник N+1: «Я работник N+1, вас обманули, это зона ответственности работника N».

Работник ИБ: «К сожалению, у нас закончились свободные слоты у работников N и N+1, вам надо работать с той информацией, что есть».

Работать в таком режиме сложно, а значит цель достигнута? Нет, бороться можно и нужно: мы предварительно прозваниваем специалистов, ведем протоколы встреч и прочее.

Держи мышку, я пошел, или Хочешь лучше узнать систему — сделай это сам!

Любой аудитор — это специалист с большой буквы. Так что он должен заочно знать абсолютно все используемые вами технологии на уровне администратора, уметь за 5 минут пересобрать ядро Linux и наизусть знать ваш SAP. Поэтому лучший способ заставить его понервничать — дать ему «порулить». Пусть сам разбирается в архитектуре ваших систем, выстраиваемых годами. Можно просто рядом посидеть и помолчать.

Работает, кстати, не очень хорошо, потому что «рулить» мы зачастую умеем, но в ходе аудита оценивается в том числе и компетентность персонала. Как результат можно получить заключение о том, что специалисты не знают свои системы.

Быстро поправили — значит, не было

Знаете правило пяти секунд? Отлично, используйте его и на аудите. Отвлеките аудитора и смело вносите правки в настройки безопасности. Или вообще не отвлекайте и вносите при нем: быстро исправили — значит, не было. Можно не объяснять — не работает.

Усложняем процедуру получения свидетельств

У нас суперсекретная информация

Популярный прием, безотказный, как автомат Калашникова. Вся разработанная документация — интеллектуальная собственность. Все конфигурации сетевого оборудования — коммерческая тайна. Для изучения необходимой информации заставьте аудиторов работать на специально выделенном рабочем месте, отключите Интернет, запретите флешки. Пусть либо переписывает всё необходимое на бумагу, либо обезличивает и оставляет файл на рабочем столе, а вы уже оставите в файле нужное на свой вкус. Что до документов, то пусть аудитор читает их в распечатанном виде.

Отдельно вспоминается несколько случаев.

  • Как-то нам распечатали конфигурацию сетевого оборудования на паре пачек «Снегурочки» без разрешения выноса материала с площадки.
  • В другой раз от нас требовали обосновывать каждый запрашиваемый скриншот.
  • На еще одном проекте передавать все свидетельства можно было только на бумаге.

Кто-то обоснованно возразит: наверное, в этих компаниях был строгий режим коммерческой тайны? Нет. Его не было вообще.

Поможет ли это как-то снизить качество работ? Спорно. У нас есть и не такой опыт: например, создание отчета через VDI заказчика с закрытым буфером, портами и сетью Интернет с получением свидетельств на диске с грифом КТ курьером. Как тебе, Дэвид Блейн?

Используем магию графического редактора

Вставляем палки в колеса на аудиторских проверках, или Как сделать аудит ИБ максимально некомфортным для аудитора - 4

Как сказал великий Сунь-Цзы в книге «Искусство войны»:

«Война — это путь обмана. Поэтому, если ты и можешь что-нибудь, показывай противнику, будто не можешь; если ты и пользуешься чем-нибудь, показывай ему, будто ты этим не пользуешься».

На войне все способы хороши, поэтому использование графического редактора увеличивает ваши шансы на победу. Все «неудобные» свидетельства у вас на руках, остается чуть навести makeup перед отправкой. У этого вектора есть небольшой шанс при удаленном запросе информации или плохой памяти аудитора. Минус: получается неловко, когда аудитор решил проверить ранее предоставленные скриншоты на площадке. Но кого это останавливало?

В нашей практике был случай, когда мы получили от заказчика случайно пересланную цепочку писем следующего содержания:

— Подправил немного скриншот, похоже на правду?
— Отправляй, вдруг прокатит.

Кстати, не прокатило.

Затягиваем согласование отчета

Запятые — это важно

Финальный этап противостояния: интервью проведены, свидетельства отправлены, драфт отчета получен. Пора взяться за самое важное: запятые и точки. И не важно, что нормоконтроль документа — это завершающий этап (и это было согласовано), в отчете все должно быть прекрасно. Чем больше замечаний, тем больше впечатление, что аудит выполнен некачественно. Максимально оттягивайте замечания по существу и сроки согласования отдельных разделов отчета.

Отлично работает также включение в цепочку согласования большого количества специалистов. Наш девиз: «Аудит на полгода, согласуем за полтора!». Подольше тяните, а там уже и градус накала спадет, и часть работ станет неактуальной (появится новое, старое выведется из эксплуатации).

Работает плохо, читай выше про менеджеров.

***

Конечно, большинство наших проектов по аудиту проходит в штатном режиме, и здесь приведены наиболее яркие примеры того, как такие работы можно превратить в долгое мероприятие. Выводы каждый сделает сам: взять на вооружение и «успешно» проходить проверки, либо сделать ваш следующий совместный аудит с интегратором чуть лучше.

Улыбайтесь чаще :-)

Автор: Александр Морковчин

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js