Перед каждой организацией, внедряющей требования ИБ в свои процессы и системы, встает вопрос доведения их соблюдения (степени соответствия) до определенного уровня. Существует множество подходов, однако аудиты можно отнести к наиболее эффективной практике. Она признана в профессиональном сообществе и имеет оформление в виде международных стандартов, таких как ISO 19011, 27007.
Согласно ISO 19011, аудит — это систематический, независимый и документируемый процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита.
Перед организацией может встать вопрос, какие аудиты проводить: внутренние или внешние.
Решение зависит от:
- Целей аудита.
- Уровня компетентности собственных специалистов.
- Наличия собственных ресурсов.
Цели аудита
В общем и целом можно определить следующие цели, как правило, характерные для внутренних и внешних аудитов.
Цели внутреннего аудита:
- Достижение соответствия установленным требованиям (уровню требований)
- Доведение общего уровня компетентности до заданного
Цели внешнего аудита:
- Оперативное определение степени соответствия
- Повышение уровня требований
- Выявление проблем, точек роста
- Получение иной точки зрения (авторитетной)
- Дополнение компетентности и ресурсов
- Валидация (подтверждение правильности) собственных подходов
- Независимый аудит системы менеджмента
- Нормативные требования
- Требование вышестоящей организации
- Требование заказчика/партнера
Таким образом, обычно внутренний аудит нужен организациям для доведения уровня соответствия ранее установленным требованиям.
Внешний же аудит применяется, если организации нужно в сжатые сроки выйти за рамки установленных требований: поднять планку, выйти в новую нишу, получить иную точку зрения.
Это не исключает того, что организация сама может провести аудит по новым направлениям, если имеет соответствующие подразделения и чувствует, что их точка зрения может быть полезна. Также организация для регулярных аудитов может нанять внешние ресурсы, если нет собственных. Также отметим, что и внутренние и внешние аудиты не исключают друг друга, а дополняют и должны применяться в комплексе.
Специалисты АСПЕКТ СПб обладают значительным опытом по проведению аудитов ИТ-инфраструктуры предприятий и систем обеспечения ИБ, процессов обработки персональных данных, критических информационных процессов, государственных ИС, АСУ ТП и других ИТ-активов.
В каких случаях предприятие обращается за аудитом ИБ?
- Когда система уже сделана, и ее нужно проверить на соответствие требованиям.
- Когда видно, что система перестала справляться.
- Когда нужны дополнительные аргументы, чтобы руководство приняло доводы.
Как проходит аудит?
- Составление плана аудита. Принимаются решения, в какие сроки и по каким критериям будет оцениваться система. Заказчик согласовывает План аудита.
- Изучение документации. Заказчик показывает специалистам АСПЕКТа имеющиеся документы.
- Аудит на месте. Специалисты АСПЕКТа выезжают на предприятие и изучают ситуацию на рабочих местах сотрудников, а также в специальных помещениях.
- Дополнительные мероприятия. При необходимости проводится анкетирование, исследования с помощью инструментария (оборудования и программного обеспечения), тестирование на проникновение.
Результатом аудита является отчет, в котором перечислены выявленные проблемы и уязвимости, а также рекомендованы решения с оценкой стоимости.
Аудит ИТ-системы предприятия
Также АСПЕКТ СПб предлагает услугу аудита ИТ-системы предприятия. Критериями для аудита ИБ служат нормативная документация по ИБ и лучшие практики. Критерии для аудита ИТ другие — требования бизнеса, производительность, требования законодательства (если имеются), и так же лучшие практики. В ИТ цель — повышение производительности, повышение продуктивности. В ИБ — повышение безопасности.