Аудит информационной безопасности - главный инструмент ревизора для контроля уровня защиты информационных активов организации.
Ревизоры выделяют следующие цели аудита информационной безопасности:
- Оценка степени защиты инфраструктуры ИТ
- Расчет оценки соответствия
- Оптимизация защитных мер и бизнес-процессов
- Получение рекомендаций по повышению уровня защиты
- Устранение существенных недостатков
- Соблюдение регуляторных требований
Регулирование информационной безопасности в финансовой сфере
- ГОСТ Р 57580.1-2017 (1.01.2018г.) «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»
- Положение Банка России № 683-П
- Положение Банка России № 719-П
- Положение Банка России № 747-П
- Положение Банка России № 75/-П
- Приказ Минцифры России № 321 (ЕБС) от 25.06.2018г.
Регулирование персональных данных в финансовой сфере
- 152 - ФЗ «О персональных данных» от 27.07.2006
Факторы, влияющие на проведение аудита
- Бюджет
- Время
- Люди
- Политика компании
Если ревизор имеет недостаточный багаж знаний при проведении ревизии информационной безопасности, то существуют критерии, на которые должен опираться ревизор, при выборе аудиторских организаций:
- Репутация
- Качество
- Бюджетность
- Универсальность
- Принципиальность
- Наличие лицензий
- Возможность устранения недостатков
Хотим привести Вам примеры позитивных и негативных итогов, когда ревизор воспользовался помощью аудиторской компании в сфере информационной безопасности.
Итоги позитивные
- Отличный индивидуальный отчет, отражающий объективную картину эффективности защитных мер
- Качественно и понятно описанные рекомендации
- Тщательно проработанная и предоставленная документация
Что было в ходе аудита
- Много запросов
- Запросы окунали нас на несколько часов в ИС
- Аудиторы погружаются в процессы
- Постоянные инициативы
- Не нужно никого пинать
- Не меняют аудиторов
- Толковая обратная связь
- Недостатки отражаются в отчете, если они реально есть
- Аудиторы обращают внимание на ранее известные нам недостатки
Итоги негативные
- Сырой шаблонный отчет не отражающий объективной картины
- Потеря времени
- Оттягивание ресурсов
Что было в ходе аудита
- Минимум запросов
- Нет подобных запросов
- Нет инициативы от аудиторов
- Не погружаются в процессы
- Нужно постоянно пинать
- Меняют кураторов
- Не дают толковой обратной связи
- Позитив на протяжении всего аудита
- Не обращают внимание на ранее известные нам недостатки
Причины низких результатов
- Неправильное планирование бюджета
- Недостаточное количество отзывов, их невнимательное изучение
- Незнание рыночной культуры продавать ‹«шашечки»
- Незнание того, что демпингна рынке аудита в 2 раза - признак низкого качества
На что необходимо обращать внимание ревизору при подготовке совместной работы с аудиторскими компаниями по информационной безопасности:
- Качественная проверка подрядчиков и работ в рамках договора
- Готовность нести расходы — формирование правильного рыночного бюджета
- Тщательные переговоры с подрядчиком
- Заключение эксперта, в том числе внешнего
- Предварительный внутренний аудит
agruntov@eqvanta.com