(343)286-12-03
Новости
Статьи
8 способов улучшения процесса внутреннего аудита информационной безопасности
Дата: 12.12.2017

В стандарте ISO 27001:2013 говорится, что целью внутреннего аудита является проверка соответствия «как собственным требованиям организации..., так и требованиям настоящего международного стандарта». Помимо требований стандарта внутренние аудиты важны по следующим причинам: они позволяют определить и наметить план для устранения любых выявленных несоответствий до проведения внешнего сертификационного аудита. Также данный процесс управления ИБ позволяет находить возможности для совершенствования СУИБ. Регулярное выполнение внутренних аудитов позволяет организации и органу по сертификации удостовериться, что защитные меры СУИБ постоянно пересматриваются и улучшаются в соответствии с процессным подходом к обеспечению ИБ. Также внутренние аудиты позволяют повысить осведомленность пользователей в вопросах защиты информации и поддерживать корпоративную культуру ИБ на высоком уровне.   

Вот 8 способов, которые смогут повысить эффективность проведения внутренних аудитов:

  1. Организации необходимо быть готовой к существенным временным затратам на проведение внутреннего аудита. В Приложении А стандарта ISO 27001:2013 имеется 114 защитных мер, правильная проверка которых не может быть проведена очень быстро. С учетом зрелости СУИБ, размера организации и результатов предыдущих внутренних аудитов, внутренним аудиторам необходимо дать достаточное количество времени для проведения проверок в соответствии с разработанным План проведения аудита.
  2. Необходимо разделять обязанности между внутренними аудиторами. При контроле соответствия защитных мер установленным требованиям необходимо учитывать навыки аудиторов и распределять проводимые проверки между ними с учетом их сильных сторон.
  3. Организации необходимо основательно подойти к вопросу подготовки к внутреннему аудиту и заранее подготовить все необходимые документы для его проведения. Перед проведением аудита в соответствии с ISO 27007:2014 «СУИБ. Руководство по аудиту систем управления информационной безопасности» необходимо подготовить План проведения внутреннего аудита, результаты предыдущих аудитов, регламенты, политики и инструкции на СУИБ, включая Положение о применимости (SOA). Необходимо также запланировать время на проведение проверок, включая опрос сотрудников бизнес-подразделений организации, а также подготовку Отчета по результатам внутреннего аудита. Важной составляющей успешного проведения проверки является также наличие глубокого понимания перечня проверяемых защитных мер из Приложения А к стандарту ISO 27001:2013 и способов их проверки со сбором необходимых свидетельств проведения внутреннего аудита. 
  4. Во внутренний аудит должны быть вовлечены все подразделения организации, работающие в корпоративных информационных системах и владеющие защищаемыми ИТ-активами. В обеспечении ИБ задействованы все работники организации, поэтому при проведении аудита важно охватить проверками максимально возможное количество структурных подразделений.  
  5. В процессе аудита должно быть проконтролировано понимание работниками организации внедренных в рамках СУИБ защитных мер, а также общих целей обеспечения ИБ. При проведении проверки аудиторы должны обращать внимание на уровень осведомленности пользователей и администраторов корпоративных информационных систем в вопросах защиты ИТ-активов, а также на имеющийся уровень корпоративной культуры по ИБ. В рамках внутреннего аудита при необходимости возможно проведение дополнительного инструктажа работников организации по вопросам ИБ со стороны проверяющих. 
  6. Необходимо обеспечить конструктивную обратную связь по результатам внутреннего аудита. Аудит не ставит своей основной целью поиск виновных в несоблюдении установленных требований по ИБ, поэтому важно, чтобы все результаты были конструктивны в вопросе совершенствования СУИБ. Обратная связь может представляться заинтересованным сторонам на всем протяжении проводимой проверки, например, непосредственно в ходе самого аудита, а также на заключительном заседании группы внутренних аудиторов. Важным способом предоставления обратной связи является подготовка и обсуждение с подразделениями, подвергнувшимися проверке, Отчета по результатам внутреннего аудита.
  7. Необходимо использовать средства автоматизации процесса проведения аудита. Проведение внутреннего аудита в организации, относящейся к крупному и среднему бизнесу, является непростой задачей в связи с большим объемом проводимых проверок и ограниченностью штата внутренних аудиторов. Существенно упростить и ускорить проведение внутреннего аудита способны средства автоматизации, которые принято относить к классу Security GRC систем. Так в системе ePlat4m Security GRC за автоматизацию внутренних проверок отвечает модуль «Управление соответствием требованиям по ИБ», который обеспечивает автоматизацию процессов внутреннего аудита и оценки соответствия СУИБ организации требованиям по ИБ.
  8. По результатам внутреннего аудита необходимо предпринимать соответствующие корректирующие и предупреждающие действия в отношении СУИБ. Также должны быть идентифицированы все выявленные несоответствия и запланированы меры по их устранению.

Внутренние аудиты имеют важное значение как для поддержания соответствию требованиям стандарта ISO 27001, так и для улучшения действующих процессов СУИБ. Внутренние аудиты являются одним из ключевых компонентов в успешном внедрении стандарта ISO 27001, в связи с чем крайне важно, чтобы они осуществлялись на регулярной основе и эффективно, при необходимости с использованием систем класса Security GRC, например, ePlat4m Security GRC.