При слове «аудит» первое, что приходит на ум – финансовые аудиторы, которые проверяют отчетность и другую документацию в компании. Когда же мы говорим про аудит информационных технологий, информационной безопасности или кибербезопасности – то многие шутят про консультантов, которые рассказывают одно и то же, не несут практической пользы и дают размытые рекомендации, которые и сам клиент мог бы написать. Ситуация немного изменилась с появлением отраслевых стандартов вроде PCI DSS, HIPAA и других. Появилось понятие аудита на соответствие требованиям конкретного стандарта и соответствующей сертификации. Однако, такие аудиты строго ограничены областью действия (охватом) конкретного стандарта и не могут отражать полной картины защищенности компании.
Аудит кибербезопасности – проект намного шире отраслевого аудита на соответствие или проверки внедренных мер безопасности по контролям распространенных стандартов, к примеру семейства ISO27000. Это комплексная оценка защищенности компании, которая включает в себя:
-
Аудит бизнес-процессов компании и организационной структуры
-
Аудит процессов кибербезопасности
-
Оценку технической защищенности (сканирование и тестирование на проникновение)
-
Оценку устойчивости компании к социальной инженерии
-
Аудит «теневых» информационных технологий
-
Аудит безопасности процессов аутсорсинга