Аудит ИБ

Перед каждой организацией, внедряющей требования ИБ в свои процессы и системы, встает вопрос доведения их соблюдения (степени соответствия) до определенного уровня. Существует множество подходов, однако аудиты можно отнести к наиболее эффективной практике. Она признана в профессиональном сообществе и имеет оформление в виде международных стандартов, таких как ISO 19011, 27007.

Согласно ISO 19011, аудит — это систематический, независимый и документируемый процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита.

Перед организацией может встать вопрос, какие аудиты проводить: внутренние или внешние.

Решение зависит от:

  • Целей аудита.
  • Уровня компетентности собственных специалистов.
  • Наличия собственных ресурсов.

Цели аудита

В общем и целом можно определить следующие цели, как правило, характерные для внутренних и внешних аудитов.

Цели внутреннего аудита:

  • Достижение соответствия установленным требованиям (уровню требований)
  • Доведение общего уровня компетентности до заданного

Цели внешнего аудита:

  • Оперативное определение степени соответствия
  • Повышение уровня требований
  • Выявление проблем, точек роста
  • Получение иной точки зрения (авторитетной)
  • Дополнение компетентности и ресурсов
  • Валидация (подтверждение правильности) собственных подходов
  • Независимый аудит системы менеджмента
  • Нормативные требования
  • Требование вышестоящей организации
  • Требование заказчика/партнера

Таким образом, обычно внутренний аудит нужен организациям для доведения уровня соответствия ранее установленным требованиям.

Внешний же аудит применяется, если организации нужно в сжатые сроки выйти за рамки установленных требований: поднять планку, выйти в новую нишу, получить иную точку зрения.

Это не исключает того, что организация сама может провести аудит по новым направлениям, если имеет соответствующие подразделения и чувствует, что их точка зрения может быть полезна. Также организация для регулярных аудитов может нанять внешние ресурсы, если нет собственных. Также отметим, что и внутренние и внешние аудиты не исключают друг друга, а дополняют и должны применяться в комплексе.

Специалисты АСПЕКТ СПб обладают значительным опытом по проведению аудитов ИТ-инфраструктуры предприятий и систем обеспечения ИБ, процессов обработки персональных данных, критических информационных процессов, государственных ИС, АСУ ТП и других ИТ-активов.

В каких случаях предприятие обращается за аудитом ИБ?

  • Когда система уже сделана, и ее нужно проверить на соответствие требованиям.
  • Когда видно, что система перестала справляться.
  • Когда нужны дополнительные аргументы, чтобы руководство приняло доводы.

Как проходит аудит?

  1. Составление плана аудита. Принимаются решения, в какие сроки и по каким критериям будет оцениваться система. Заказчик согласовывает План аудита.
  2. Изучение документации. Заказчик показывает специалистам АСПЕКТа имеющиеся документы.
  3. Аудит на месте. Специалисты АСПЕКТа выезжают на предприятие и изучают ситуацию на рабочих местах сотрудников, а также в специальных помещениях.
  4. Дополнительные мероприятия. При необходимости проводится анкетирование, исследования с помощью инструментария (оборудования и программного обеспечения), тестирование на проникновение.

Результатом аудита является отчет, в котором перечислены выявленные проблемы и уязвимости, а также рекомендованы решения с оценкой стоимости.

Аудит ИТ-системы предприятия

Также АСПЕКТ СПб предлагает услугу аудита ИТ-системы предприятия. Критериями для аудита ИБ служат нормативная документация по ИБ и лучшие практики. Критерии для аудита ИТ другие — требования бизнеса, производительность, требования законодательства (если имеются), и так же лучшие практики. В ИТ цель — повышение производительности, повышение продуктивности. В ИБ — повышение безопасности.

Обращайтесь! Задайте вопрос или оставьте заявку

Партнёры
Все партнеры