Аудит информационной безопасности позволяет объективно оценить, насколько защищена ИТ-инфраструктура, устойчива ли она к угрозам на уровне сети в целом или отдельных ее компонентов. С помощью этого инструмента компания имеет возможность получить реальную оценку уровня работы существующей системы, качественно и количественно оценить технологические или бизнес-процессы.
Внутренний аудит выполняют сотрудники отдела ИБ компании. Перед этим создаётся документ, в котором есть следующие пункты:
Цель внутреннего аудита добиться соответствия ИТ-инфраструктуры определённым требованиям.
Для проведения внешнего аудита привлекают сторонних специалистов. Компании, которые могут выполнить такую работу, обязаны иметь лицензию регулятора (ФСТЭК, ТЗКИ, ФСБ, сертификат ISO 27001). В отличие от внутреннего внешний разноплановый, требует привлечения разных специалистов, части из которых иногда в штате компании-заказчика нет.
Цель внешнего аудита – выявить проблемы, определить точки роста, получить авторитетное мнение стороннего специалиста, подтвердить правильность подходов, соответствие нормативным требованиям.
В процессе ИТ аудита проверяют:
Вообще же, направления могут быть самыми разными. Например, компания может провести проверку Wi-Fi-сети, чтобы выявить подключения несанкционированных устройств, соответствие роутеров стандартам безопасности. Иногда ИБ проверяют «в бою» – организуют фишинговые атаки, чтобы проверить правильность действий сотрудников.
Основное отличие внутреннего аудита от внешнего в том, что в первом случае к исполнителям не предъявляют специальных требований, в качестве нормативной базы используют в основном внутренние документы компании, услуги оплачивают не отдельно, а включают в зарплату, редко устанавливают жёсткие сроки проверки. Но и влияние внутреннего аудита на компанию выше – прямо в процессе проверки можно внести корректировки и быстрее повысить эффективность работы. В то же время уровень независимости намного ниже, чем при внешней проверке.
Основной плюс внутреннего аудита в том, что не нужно привлекать сторонних подрядчиков, которые часто могут быть не осведомлены о процессах внутри компании на таком же уровне. Собственные сотрудники заинтересованы найти ошибки, недоработки, поскольку от этого могут зависеть в том числе и результаты их работы.
У внутреннего аудита есть минусы – штатные сотрудники часто не могут объективно оценить во время проверки многие процессы, иногда нужно получить мнение со стороны.
Плюсы внешнего аудита – выполнение проверки независимыми экспертами, которые способны составить непредвзятое мнение о проблемах с ИБ компании. Но есть и минусы – иногда трактовка обнаруженных ошибок не соответствует реальному положению вещей, поскольку сторонний специалист часто неспособен вникнуть в бизнес-процессы заказчика. То есть, возможны искажения – например, обнаруживается ошибка, которую можно квалифицировать и как непреднамеренное действие, и как попытку мошенничества.
Чаще всего компании обращаются для проведения it аудита в таких случаях:
Кроме выявления и устранения потенциально уязвимых мест аудит помогает руководству компании повысить контроль над работой информационного отдела и улучшить бизнес-процессы.
Аудит проходит в несколько этапов:
Ещё какое-то время будет затрачено на составление отчёта. Его аудитор передаёт заказчику.
Результатами проверки становятся итоговые отчёты, структуру которых прописывают заранее:
Кроме того, отчёт описывает все потенциально уязвимые места в защите, предлагает варианты решения проблем, содержит архитектуру корпоративной сети, обязательно – перечень оборудования. В идеале аудитор всегда дает такие рекомендации, которые компания сможет выполнить с учётом бюджета, сроков и технической оснащенности.
Для обеспечения функционирования компании необходимо создать ИТ-инфраструктуру. Совокупность техники и программного обеспечения обеспечивает оптимизацию бизнес-процессов,…
Обязательный атрибут жилого или производственного объекта – слаботочные системы. Они необходимы для функционирования интернета, телефонии,…
Основа бесперебойной деятельности организации – ИТ-инфраструктура. Совокупность технических средств, сервисов, программного обеспечения необходима для поступления,…
В современном мире, где технологии становятся основным фундаментом для эффективного функционирования бизнеса, вопрос сопровождения программного…
В этой статье исследуем, что такое «теневые ИТ», какие угрозы они несут для бизнеса, и…
Удалённая работа – это вид организации труда, при котором персонал работает дома, числится в штате…