Когда нужен внешний аудит информационной безопасности

Если кратко, то внешний аудит информационной безопасности (ИБ) нужен, когда нельзя обойтись внутренним. Когда необходимы объективные оценки уязвимостей, текущих мер защиты и обоснованные рекомендации по построению системы информационной безопасности в компании. Но в этой статье мы не обойдемся кратким определением, а ответим и на вопрос «когда», и дополнительно затронем объекты, результаты, периодичность внешнего аудита.

Когда нужен внешний аудит ИБ

Основанием для независимой оценки информационной безопасности становятся:

  • Масштабные изменения в компании, например, организация IT-отдела, слияние/поглощение, реорганизация бизнеса, выход на инвестиционный рынок.

  • Смена ТОП менеджеров на ключевых постах.

  • Смена бизнес-модели или направления, включая кардинальное изменение позиционирования.

  • Выход на новые рынки и расширение филиальной сети.

  • Финансовая оценка бизнес-активов компании.

  • Обнаружение фактов взлома, незаконного проникновения в информационную систему, кража данных и другие инциденты.

  • Выявленные внутренним аудитом уязвимости и некорректно работающие бизнес-процессы.

Объекты и результаты 

Если объектом становится ИТ-инфраструктура, а целью — оценка защищенности от внешних/внутренних угроз, внешний аудит подробно описывает исследуемую область и найденные уязвимости, дает список рекомендаций по защите «узких мест» от основных или конкретных (утечка, потеря, искажение информации) рисков. Базисом для независимой оценки становится семейство стандартов ГОСТ Р ИСО/МЭК.

Аудит защищенности IT-инфраструктуры от внешних/внутренних угроз

Аудит защищенности IT-инфраструктуры от внешних/внутренних угроз

Аудит на соответствие требованиям Федерального закона «О персональных данных» N 152-ФЗ оценивает, насколько IT-процессы организации соответствуют нормам закона. Аудиторы изучают организационно-распорядительные документы, процессы получения, обработки и хранения ПДн, меры организационной и технической защиты  персональных данных. Опорным документом для аудита по ФЗ-152 является сам закон.

Компании, чья деятельность подпадает под действие Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 года, обследуются на предмет оценки критичных бизнес-процессов и объектов критической информационной инфраструктуры (КИИ).

Проверка на соответствие требованиям №187-ФЗ

Проверка на соответствие требованиям №187-ФЗ

К КИИ относятся информационные системы, автоматизированные системы управления технологическими процессами и информационно-телекоммуникационные сети. Бизнес-процессы и КИИ проверяются в разрезе требований 187-ФЗ, Приказов ФСТЭК России от 21 декабря 2017 г. № 235 и № 239 от 25.12.2017 г.

У организаций-субъектов национальной платежной системы (НПС) объектами внешнего аудита информационной безопасности являются организационно-распорядительные документы и информационные системы. Основанием проверки становятся: Постановление Правительства РФ от 13.06.2012 № 584, Положения Банка России, ГОСТ Р 57580.2-2018.

Периодичность внешнего аудита

Периодичность оценки IT-инфраструктуры, систем защиты персональных данных, КИИ и информационных систем участников НПС определяют те же нормативные документы, которые регламентируют процедуры и объект проверки:

  • операторы ПДн должны проводить аудит не реже одного раза в три года,

  • участники НПС оценивают выполнение нормативных требований и уровни защиты информации не реже одного раза в два года, проверяют значимые платежные системы минимум раз в три года и ежеквартально контролируют выполнение требований к защите информации.

  • контроль состояния значимых объектов критической информационной инфраструктуры проводится ежегодно.

Важно! Большинство регуляторов допускают проведение аудита силами самой организации, но для некоторых сегментов ИБ устанавливается жесткое ограничение. В этих случаях аудит может проводиться только силами сторонних организаций, имеющих лицензию на проведение работ и услуг по технической защите конфиденциальной информации.

Лицензия на проведение работ и услуг по технической защите конфиденциальной информации

Лицензия на проведение работ и услуг по технической защите конфиденциальной информации

Независимо от повода и объекта проверки, внешний аудит ИБ повышает уровень контроля за ключевыми бизнес-процессами, а также формирует базу для их модернизации по требованиям регуляторов и рынка.

Поделиться:
Читать еще
Стоит ли компаниям инвестировать в IaaS? 11.06.2021
Как рассчитать целесообразность инвестирования в IaaS в условиях российского рынка.
Читать подробнее
Внутренний аудит информационной безопасности 18.06.2021
В копилку службы ИБ: методы, подходы и чек-листы для внутреннего аудита информационной безопасности.
Читать подробнее
Как разобраться с логированием: гайд для начинающих 25.06.2021
Зачем оно нужно, это логирование и как упростить процесс сбора, анализа и хранения логов.
Читать подробнее
Что такое тикет-система и как она применяется в ЦОД 16.07.2021
Чем тикет-система лучше телефонной поддержки и как ЦОД использует тикеты для улучшения работы.
Читать подробнее
Аварии в ЦОД и как их избежать 23.07.2021
Про экстраординарные форс-мажоры ЦОД на примере аварии дата-центра «Курчатовский» и меры защиты от основных глобальных рисков
Читать подробнее
Введение нового порядка госаккредитации ИТ-компаний в РФ 30.07.2021
Как изменится госаккредитация ИТ-компаний с 1 августа 2021 года? Делаем обзор изменений и нововведений.
Читать подробнее
Оставить заявку
После отправки заявки ожидайте звонка нашего менеджера.
* Поля, обязательные к заполнению.
Спасибо!
Данные вашего заказа будут переданы в отдел продаж.
После чего ожидайте звонка вашего личного менеджера.
контакты компании
Адрес компании
124460, Москва, Зеленоград, ул. Конструктора Лукина, д. 14А, офис 501
Поддержка 24\7
8 800 350 15 00
ПОЧТИ готово!
Спасибо, данные вашего заказа будут переданы в отдел продаж.
После чего ожидайте звонка вашего личного менеджера.
* Поля, обязательные к заполнению.