Главная/Статьи/Ревизия информационной безопасности

Ревизия информационной безопасности

← Предыдущая Следующая →
Ревизия информационной безопасности

Аудит информационной безопасности - главный инструмент ревизора для контроля уровня защиты информационных активов организации.

Г03.

Ревизоры выделяют следующие цели аудита информационной безопасности:

  • Оценка степени защиты инфраструктуры ИТ
  • Расчет оценки соответствия
  • Оптимизация защитных мер и бизнес-процессов
  • Получение рекомендаций по повышению уровня защиты
  • Устранение существенных недостатков
  • Соблюдение регуляторных требований

 

Регулирование информационной безопасности в финансовой сфере

  • ГОСТ Р 57580.1-2017 (1.01.2018г.) «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»
  • Положение Банка России № 683-П
  • Положение Банка России № 719-П
  • Положение Банка России № 747-П
  • Положение Банка России № 75/-П
  • Приказ Минцифры России № 321 (ЕБС) от 25.06.2018г.

 

Регулирование персональных данных в финансовой сфере

  • 152 - ФЗ «О персональных данных» от 27.07.2006

 

Факторы, влияющие на проведение аудита

  • Бюджет
  • Время
  • Люди
  • Политика компании

Г07.

Если ревизор имеет недостаточный багаж знаний при проведении ревизии информационной безопасности, то существуют критерии, на которые должен опираться ревизор, при выборе аудиторских организаций:

  • Репутация
  • Качество
  • Бюджетность
  • Универсальность
  • Принципиальность
  • Наличие лицензий
  • Возможность устранения недостатков

 

Хотим привести Вам примеры позитивных и негативных итогов, когда ревизор воспользовался помощью аудиторской компании в сфере информационной безопасности.

 

Итоги позитивные

  • Отличный индивидуальный отчет, отражающий объективную картину эффективности защитных мер
  • Качественно и понятно описанные рекомендации
  • Тщательно проработанная и предоставленная документация

Что было в ходе аудита

  • Много запросов
  • Запросы окунали нас на несколько часов в ИС
  • Аудиторы погружаются в процессы
  • Постоянные инициативы
  • Не нужно никого пинать
  • Не меняют аудиторов
  • Толковая обратная связь
  • Недостатки отражаются в отчете, если они реально есть
  • Аудиторы обращают внимание на ранее известные нам недостатки

Итоги негативные

  • Сырой шаблонный отчет не отражающий объективной картины
  • Потеря времени
  • Оттягивание ресурсов

Что было в ходе аудита

  • Минимум запросов
  • Нет подобных запросов
  • Нет инициативы от аудиторов
  • Не погружаются в процессы
  • Нужно постоянно пинать
  • Меняют кураторов
  • Не дают толковой обратной связи
  • Позитив на протяжении всего аудита
  • Не обращают внимание на ранее известные нам недостатки

 

Причины низких результатов

  • Неправильное планирование бюджета
  • Недостаточное количество отзывов, их невнимательное изучение
  • Незнание рыночной культуры продавать ‹«шашечки»
  • Незнание того, что демпингна рынке аудита в 2 раза - признак низкого качества

 

На что необходимо обращать внимание ревизору при подготовке совместной работы с аудиторскими компаниями по информационной безопасности:

  • Качественная проверка подрядчиков и работ в рамках договора
  • Готовность нести расходы — формирование правильного рыночного бюджета
  • Тщательные переговоры с подрядчиком
  • Заключение эксперта, в том числе внешнего
  • Предварительный внутренний аудит

 

agruntov@eqvanta.com

Комментарии

Комментариев пока нет

заказать услугу ревизора
Оставьте заявку
и мы Вам перезвоним в удобное для Вас время
это поле обязательно для заполнения
E-mail:*
это поле обязательно для заполнения
Телефон:*
это поле обязательно для заполнения
Галочка*
Спасибо! Форма отправлена
vq2
Оставьте заявку
и мы Вам перезвоним в удобное для Вас время
это поле обязательно для заполнения
E-mail:*
это поле обязательно для заполнения
Телефон:*
это поле обязательно для заполнения
Галочка*
Спасибо! Форма отправлена