Аудит інформаційної безпеки – системний процес отримання об’єктивних якісних і / або кількісних оцінок про поточний стан інформаційної безпеки компанії відповідно до визначених критеріїв та показників безпеки.
Аудит дозволяє оцінити поточний стан безпеки функціонування інформаційної системи (ІС), оцінити і зпрогнозувати ризики, управляти їх впливом на бізнес-процеси компанії, коректно і обґрунтовано підійти до питання забезпечення безпеки інформаційних активів, стратегічних планів розвитку, маркетингових програм, вмісту корпоративних баз даних .
Види і цілі аудиту:
Розрізняють зовнішній і внутрішній аудит.
Зовнішній аудит – це, як правило, разовий захід, що проводиться за ініціативою керівництва компанії або акціонерів. Зовнішній аудит рекомендується (а для ряду фінансових установ і акціонерних товариств необхідний) проводити регулярно.
Внутрішній аудит являє собою безперервну діяльність, яка здійснюється відповідно до плану, підготовка якого здійснюється підрозділом внутрішнього аудиту та затверджується керівництвом компанії. Аудит безпеки інформаційних систем є однією зі складових ІТ-аудиту.
Цілями проведення аудиту інформаційної безпеки є:
- аналіз ризиків, пов’язаних з можливістю здійснення загроз безпеки щодо ресурсів ІС;
- оцінка поточного рівня захищеності ІС;
- локалізація вузьких місць в системі захисту ІС;
- оцінка відповідності ІС існуючим стандартам в області інформаційної безпеки;
- вироблення рекомендацій щодо впровадження нових та підвищення ефективності існуючих механізмів безпеки ІС.
Основні етапи аудиту безпеки
Роботи з аудиту безпеки ІС включають в себе ряд послідовних етапів, які в цілому відповідають етапам проведення комплексного ІТ-аудиту ІС, що включає в себе:
- ініціювання процедури аудиту;
- збір інформації аудиту;
- аналіз даних аудиту;
- вироблення рекомендацій;
- підготовку аудиторського звіту.
На етапі ініціювання процедури аудиту повинні бути вирішені наступні організаційні питання:
- права і обов’язки аудитора повинні бути чітко визначені і документально закріплені в його посадових інструкціях, а також в положенні про внутрішній (зовнішній) аудит;
- аудитором повинен бути підготовлений і узгоджений із керівництвом план проведення аудиту;
- в положенні про внутрішній аудит має бути закріплено, зокрема, що співробітники компанії зобов’язані сприяти аудитору і надавати всю необхідну для проведення аудиту інформацію.
На етапі ініціювання процедури аудиту повинні бути визначені межі проведення обстеження. План і кордони проведення аудиту обговорюються на робочих зборах, в якому беруть участь аудитори, керівництво компанії і керівники структурних підрозділів.