Стратегия информационной безопасности позволяет компании увязать развитие ИБ в бизнес-целями, создать и развить целостный, последовательный подход к развитию системы с учетом всех аспектов ведения бизнеса, а также разработать долгосрочный план развития ИБ в соответствии с планами развития информационной инфраструктуры. Стратегия всегда строится и реализуется на продолжительном промежутке времени (как правило, несколько лет), при этом ее реализация и успешность оценивается эпизодически. Далеко не последнюю роль в таком контроле играют аудиты информационной безопасности.
Аудит ИБ представляет собой независимую оценку экспертами общего уровня защищенности информационной системы компании. При этом аудиторы учитывают отраслевую специфику, масштабы и другие аспекты ведения бизнеса.
Цели аудитов ИБ
Цели аудитов ИБ можно разделить на типовые, касаются оценки состояния защищенности любой компании, а также специфические. Последние определяют особенности бизнеса и поставленные заказчиком задачи. В число основных целей аудитов ИБ обычно входят:
-
оценка текущего уровня защищенности;
-
анализ существующих и возможных будущих рисков ИБ;
-
оценка соответствия состояния ИБ требованиям законодательства и регуляторов;
-
разработка и предоставление плана реализации мероприятий по повышению эффективности, уровня защищенности ИБ.
Аудит 382-П в приведенном перечне является частным случаем и относится к компаниям осуществляющим денежные переводы. Для этих организаций такого рода аудиты являются обязательной процедурой, которую они должны проводить с установленной периодичностью.
Влияние аудитов ИБ на оптимизацию стратегии ИБ
Наибольшее влияние на стратегию информационной безопасности компании оказывает инструментальный вид аудита. Он включает следующие аспекты:
-
тест на проникновение (пентест);
-
анализ информационных потоков;
-
анализ исходного кода программного обеспечения, используемого в компании;
-
оценку защищенности информационных систем.
Проводимый профессиональными и опытными специалистами позволяет «обогатить» стратегию ИБ компании по следующим направлениям:
-
оптимизировать корпоративную политику в области безопасности;
-
разработать или усовершенствовать концепцию ИБ;
-
отработать организационную модель угроз для бизнес-информации.
По сути, аудит дает все необходимое для разработки или доработки ключевых, верхнеуровневых документов, на которых строится структура и бизнес-процессы компании. Таким образом указанные регламенты актуализируются на предмет соответствия требованиям законодательства, получают лучшие практики.
В случае с публичными компаниями (ПАО), аудит информационной безопасности часто используется для повышения привлекательности бизнеса в глазах акционеров и страхует топ-менеджмент от ненужных рисков. Нередко успешные результаты аудита ИБ повышают капитализацию бизнеса, а значит, оказывают значительное влияние на стратегию его развития.
Аудит ИБ – неотъемлемая составляющая построения, актуализации и проверки соответствия выбранной стратегии развития ИБ. Профессиональный независимый аудитор может осуществить оценку буквально всех сторон и компонентов существующих в организации информационных систем (сети, ОС, СУБД, бизнес-процессы, оборудование, средства защиты информации, клиента). Для руководителей компаний результаты аудита дают информацию для принятия стратегических решений, становятся отправной точкой при реализации масштабных изменений. В случае с банковскими и кредитными организациями аудиты 382-П способны защитить бизнес от серьезных потерь, вызванных третьей стороной.