4 шага успешного аудита информационной безопасности

Для многих специалистов по информационной безопасности визит аудитора воспринимается как нечто ужасное. Однако опытный аудитор может привнести множество преимуществ, таких как нейтральный и честный обзор состояния безопасности организации, тщательную проверку, а также рекомендации по улучшению безопасности.

Ниже приведены четыре рекомендации, которые организации могут использовать для обеспечения успешного сотрудничества между организацией и аудитором.

Предварительная подготовка

Перед тем, как начать работу, большинство аудиторов попросят предоставить им большое количество информации — например, схемы сети, системы инвентаризации и т. д. Специалисты по информационной безопасности должны предоставить как можно больше достоверной информации. Чем больше аудитор понимает об организации сети, тем более эффективным и своевременным будет аудит. Если аудитор не получит достоверную информацию предварительно, он должен будет изучать всё на месте, что не только продлит аудит ИБ, но и может привести к недоразумениям или путанице.

Пробелы

В начале аудита настоятельно рекомендуется просить аудитора сообщать о любых существенных проблемах, как только они будут обнаружены. Это сведет к минимуму любые неожиданности для организации и позволит быстро исправить ситуацию. В зависимости от обстоятельств аудитор может помочь устранить определенные проблемы на месте (например, удалить ненужную программу с сервера или улучшить политику паролей).

Открытый разговор

Если специалист по безопасности не понимает, почему аудитор уверен в наличии проблемы, он может попросить объяснения. Возможно аудитор неправильно понял какой-то аспект. Хороший аудитор всегда обстоятельно расскажет, почему проблема является таковой и обоснует цель конкретного требования. Если существует серьезная техническая или коммерческая причина, по которой проблема не может быть устранена, организация должна спросить о возможности внедрения компенсирующего механизма контроля.

Выводы

Конечной целью аудитора является повышение безопасности организаций, которую он оценивает путем максимального взаимодействия. Для организации гораздо лучше, чтобы аудитор нашел проблему и помог её исправить, либо, по его рекомендации, провести тестирование на проникновение, чем позволить злоумышленнику «заняться этой работой».

Следуя советам, приведенным в этой статье, специалисты по информационной безопасности могут значительно помочь своим организациям провести полезный, безболезненный и эффективный аудит, ориентированный на информационную безопасность, и узнать много нового в процессе.

На правах рекламы

20.12.2019



Новости mediametrix




Видео








Индекс цитирования Яндекс.Метрика Рейтинг@Mail.ru Статистика Система Orphus
Смотреть видео