Аудит информационной безопасности как часть стратегии ИБ

0
39

Стратегия информационной безопасности позволяет компании увязать развитие ИБ в бизнес-целями, создать и развить целостный, последовательный подход к развитию системы с учетом всех аспектов ведения бизнеса, а также разработать долгосрочный план развития ИБ в соответствии с планами развития информационной инфраструктуры. Стратегия всегда строится и реализуется на продолжительном промежутке времени (как правило, несколько лет), при этом ее реализация и успешность оценивается эпизодически. Далеко не последнюю роль в таком контроле играют аудиты информационной безопасности.

Аудит ИБ представляет собой независимую оценку экспертами общего уровня защищенности информационной системы компании. При этом аудиторы учитывают отраслевую специфику, масштабы и другие аспекты ведения бизнеса.

Цели аудитов ИБ

Цели аудитов ИБ можно разделить на типовые, касаются оценки состояния защищенности любой компании, а также специфические. Последние определяют особенности бизнеса и поставленные заказчиком задачи. В число основных целей аудитов ИБ обычно входят:

  1. оценка текущего уровня защищенности;

  2. анализ существующих и возможных будущих рисков ИБ;

  3. оценка соответствия состояния ИБ требованиям законодательства и регуляторов;

  4. разработка и предоставление плана реализации мероприятий по повышению эффективности, уровня защищенности ИБ.

Аудит 382-П в приведенном перечне является частным случаем и относится к компаниям осуществляющим денежные переводы. Для этих организаций такого рода аудиты являются обязательной процедурой, которую они должны проводить с установленной периодичностью.

Влияние аудитов ИБ на оптимизацию стратегии ИБ

Наибольшее влияние на стратегию информационной безопасности компании оказывает инструментальный вид аудита. Он включает следующие аспекты:

  • тест на проникновение (пентест);

  • анализ информационных потоков;

  • анализ исходного кода программного обеспечения, используемого в компании;

  • оценку защищенности информационных систем.

Проводимый профессиональными и опытными специалистами позволяет «обогатить» стратегию ИБ компании по следующим направлениям:

  • оптимизировать корпоративную политику в области безопасности;

  • разработать или усовершенствовать концепцию ИБ;

  • отработать организационную модель угроз для бизнес-информации.

По сути, аудит дает все необходимое для разработки или доработки ключевых, верхнеуровневых документов, на которых строится структура и бизнес-процессы компании. Таким образом указанные регламенты актуализируются на предмет соответствия требованиям законодательства, получают лучшие практики.

В случае с публичными компаниями (ПАО), аудит информационной безопасности часто используется для повышения привлекательности бизнеса в глазах акционеров и страхует топ-менеджмент от ненужных рисков. Нередко успешные результаты аудита ИБ повышают капитализацию бизнеса, а значит, оказывают значительное влияние на стратегию его развития.

Аудит ИБ – неотъемлемая составляющая построения, актуализации и проверки соответствия выбранной стратегии развития ИБ. Профессиональный независимый аудитор может осуществить оценку буквально всех сторон и компонентов существующих в организации информационных систем (сети, ОС, СУБД, бизнес-процессы, оборудование, средства защиты информации, клиента). Для руководителей компаний результаты аудита дают информацию для принятия стратегических решений, становятся отправной точкой при реализации масштабных изменений. В случае с банковскими и кредитными организациями аудиты 382-П способны защитить бизнес от серьезных потерь, вызванных третьей стороной.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here