Рубрика «аудит информационной безопасности»

Привет! Спустя 9 лет на проектах по аудитам ИБ за спиной мне нестерпимо хочется взять и написать книгу «1000 и 1 попытка обмануть аудитора». Начну, пожалуй, с первой главы — поделюсь вредными советами, как можно «успешно» пройти аудит, получив минимальное количество замечаний от аудитора.

Зачем вообще компании проводят аудит информационной безопасности? Причин может быть несколько:

  • чтобы получить объективную оценку состояния ИБ (для себя);
  • потому что аудит является обязательным (для регуляторов);
  • потому что аудит требуют партнеры или головная организация (для других).

Любой из перечисленных видов аудита преследует основную позитивную цель — сделать компанию лучше, локализовав текущие проблемы. Большинство наших заказчиков заинтересованы в эффективном проведении таких работ. Однако иногда встречаются случаи, когда критерием успешности заказанного аудита служит отсутствие выявленных проблем в аудиторском отчете (при полном их наличии). Причины бывают разные, но чаще всего встречаются следующие.

  • Аудит «навязан» вышестоящей организацией.
  • Непрохождение аудита (например, PCI DSS) влечет за собой санкции со стороны контролирующих органов
  • ИБ-служба боится получить «по шапке» от руководства.

Во всех этих случаях штатный аудит превращается в поле боя, где компания стремится по максимуму сохранить рубежи, не показав «лишнего», а работа аудитора становится больше похожа на детективный сюжет.

P.S. Перечисленное под катом не является вымыслом, все это случалось и периодически встречается на реальных проектах.
Вставляем палки в колеса на аудиторских проверках, или Как сделать аудит ИБ максимально некомфортным для аудитора - 1
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js