Аудит информационной безопасности относится к ключевым составляющим комплексного обеспечения защиты информации - Фото: Darwin Laganzon / Pixabay - Источник
Аудит — это системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями. Сегодня о том, кому нужен аудит информационной безопасности и чем еще он может быть полезен?
Очевидно, что квалифицированный аудит необходим всем компаниям, нацеленным на успех. Ведь его результаты позволяют построить оптимальную по эффективности и затратам корпоративную систему защиты, соответствующую текущим задачам и целям бизнеса. С одной стороны, аудит - это своеобразный compliance или, другими словами, оценка соответствия требованиям стандартов, применимых для вашей области деятельности. С другой, он может быть дополнен и другими работами. Например, интересной задачей будет проверка осведомлённости работников по вопросам информационной безопасности путём имитации фишинговой атаки или социальной инженерии. Другой актуальной целью аудита может стать проверка соответствия требованиям законодательства о защите персональных данных. Кредитно-финансовым организациям безусловно будет интересно, насколько они соответствуют требованиям положений Банка России. Как по желанию самих разработчиков продукта, так и по требованиям нормативных документов, в аудит может быть включен пункт по анализу кода программных продуктов.
Так что же мы изучаем в процессе аудита?
- Как в компании распределены роли в сфере кибербезопасности.
- Разработаны ли необходимые документы и как они применяются. Являются ли они рабочими инструментами.
- Достаточно ли у компании средств защиты информации.
- Достаточно ли осведомлены сотрудники в вопросах информационной безопасности.
В результате аудита, как правило, формируются следующие документы:
- Отчёт.
- План устранения несоответствий.
- Модель угроз безопасности информации и оценка рисков.
В заключении, как всегда, совет руководителю. Аудит информационной безопасности будет полезен вам:
- Как способ повышения доверия со стороны ваших партнёров и контрагентов,
- Как инструмент для выявления недостатков системы защиты информации.
Его регулярное проведение поможет максимально эффективно управлять рисками информационной безопасности.
Выпуск подготовил директор департамента проектирования компании «Газинформсервис» Александр Калита. Держитесь безопасного курса и берегите себя!
Вице-президент Высшей школы экономики в Петербурге 
Адвокат, кандидат юридических наук 
Член комиссии по экологии и природопользованию Заксобрания Ленобласти 
Председатель комитета по законодательству Заксобрания Петербурга