22Июн, 2023

Внутренний аудит информационной безопасности

Статьи

В современном мире информация является очень важным ресурсом, который нужно усиленно защищать. Если утечка или искажение информации приведут к масштабным финансовым и репутационным неприятностям, то аудит переходит из статуса рекомендуемого мероприятия в статус обязательного. Аудит необходим для того, чтобы полностью понимать картину внешних и внутренних угроз безопасности, а также иметь возможность своевременно минимизировать эти риски, чтобы снизить вероятность утечки и искажения данных. Так как угрозы и риски не имеют статичный характер, а с течением времени появляются новые и более опасные угрозы и риски, аудит необходимо проводить регулярно.

 

Внутренний аудит отличается от внешнего тем, что он проверяет деятельность и риски компании, связанные лишь с внутренними процессами, не затрагивая внешние факторы.

Этапы проведения внутреннего аудита

Внутренний аудит ИБ – ответственный и трудоёмкий процесс, для успешного проведения которого необходимо чётко структурировать каждое действие:

  • Необходимо прописать какая именно информация хранится и обрабатывается в системе. Ответить на следующие вопросы: «Имеется ли информация, которая представляет коммерческую тайну?», «Промаркирована ли эта информация?», «Как промаркирована эта информация?», «Как простроена система обработки информации?» и т.д.;
  • Определить и составить описание каналов, по которым данные поступают в компанию и уходят из компании;
  • Провести инвентаризацию программного обеспечения;
  • Определить технические и юридические основания ПО и обрабатываемой информации;
  • Создать список носителей информации с их полными характеристиками.
  • Также важно определить круг лиц, которые имеют права на проведение аудита, а также их уровни доступа, методы и инструменты проведения аудита.

Выполнив все вышеперечисленные действия, фиксируя результаты каждого из пунктов, на основании их можно будет сформировать отчет, включающий в себя потенциальные риски и угрозы информационной системе. Также по данному отчету необходимо определить каких элементов не хватает, а какие элементы требуют исправления и доработок.

 

Если вам требуется консультация в проведении внутреннего аудита информационной безопасности, вы можете связаться с нашими специалистами, мы обязательно вам поможем.