Сталий потік заголовків новин про витоки персональних даних та реалізовних загроз кібербезпеки в підприємствах всіх форм власності, природнім шляхом внесли префікс “кібер-” в порядок денний регуляторів, політиків та представників бізнесу.
Регулятори в Україні досить давно готують правовий грунт для регулювання питань захищеності критичних інформаційних інфраструктур, критеріїв для справедливого категорування таких інфраструктур, і можливо прямо зараз наповнюють змістом та підзаконними актами ті рамкові закони щодо кіберзахисту та кібербезпеки.
Аудит систем управління інформаційною безпекою є складовою діяльності підприємств у всьому світі, де регулятори щорічно підвищують міру відповідальності та знижують поріг обов’язковості проведення таких аудитів. Це викликає супротив, з огляду на те що працівники відповідальні за інформаційну безпеку разом з інвестиціями в заходи та інструменти кібер безпеки є найбільшими статтями видатків з відносно низьким показником повернення таких іниестицій.
Опитування керівників та директорів з інформаційних технологій, дані рейтингових агенств і навіть наші внутрішні відчуття, одноголосно стверджують що кількість та потужність інцидентів кібербезпеки зросли та зростатитимуть надалі.
Інформаційна безпека - це одне з найбільш складних та актуальних питань, що стоять перед компаніями. Керівники та працівники, відповідальні за внутрішній аудит систем управління інформаційною безпекою та ми, незалежні аудитори з іншого боку, мають відігравати важливу роль.
Важливо розуміти, що аудит інформаційної безпеки - ключ, фундамент, чи інше слово, що підкреслить надважливість, до ефективної інформаційної безпеки.
Не викликає сумнівів те, що зростаюча обізнаність щодо ризиків, спричинених кіберзлочинністю, надходить до рад директорів чи органів управління більшості підприємств. Органи управління, без сумніву, відповідають за управління інформаційною безпекою стосовно захисту активів, чи то фідуціарних відносин з третіми сторонами або управління ризиками та дотримання законів та стандартів. Але як директори можуть забезпечити ефективну програму управління кібербезпекою та мати зворотній зв’язок?
Зазвичай вони запитують їх головного офіцера безпеки або керівника з інформаційної безпеки або, можливо, просто ІТ-менеджера, який потім говорить: "Не хвилюйтеся, ми маємо інструментарій та фреймворки які ефективно імплементуємо”.
Потім директори запитують: "Як ми знаємо, що це працює, і що наші важливі інвестиції ефективно збережені?"
В країнах з високим ступенем зрілості процесів та підходів щодо інформаційної безпеки працює відповідальність аудиторів, етика та кодекси поведінки, але варто зазначити що до цього були гучні процеси над аудиторами, була криміналізована відповідальність за результати. З одного боку це звісно приводить до здорожчання заходів та процесів кібербезпеки.
Аудитори з безпеки можуть нести професійну відповідальність за їх перевірку інформаційної безпеки компанії, так само, як бухгалтери можуть понести відповідальність за «низьку якість» аудитів фінансової звітності компанії. Аудитор інформаційної безпеки, що працює в компанії або за її периметром, має суттєвий перелік відповідальностей, в залежності від юрисдикції, включаючи серед інших - професійну та кримінальну. Що в свою чергу сприймається як ризик який включений у вартість такої діяльності.
Нажаль, дуже важко пройти через громадський спротив, щодо кримінальної відповідальності офіцерів безпеки як найостаннішої міри покарання за інциденти кібербезпеки. Міжнародна практика свідчить про те, що такий офіцер є дорогим ресурсом але з колосальною відповідальністю, в тому числі класифікованою як кримінальна.
Аудит інформаційної безпеки забезпечує розуміння або навіть гарантію, яку вимагають менеджери інформаційної безпеки та керівники компаній. Аудит зі створенням чітких звітів про результати аудиту є ключовими для забезпечення ефективного управління інформаційними системами та інформаційною безпекою. Складним є першийй аудит з точки зору інвестицій ресурсів людських та часу. Вони також є обов'язковими в багатьох стандартах та згідно найкращих практик, включаючи ITIL®, PRINCE2®, COBIT® 5, PCI DSS та ISO 27001.
Більшість з вищезгаданих застосовуються зі “зміною обкладинки” в Україні, але є небезпідставна надія що ми матимемо найближчим часом, прогресивний, досяжний, дієвий національний стандарт, чіткі та зрозумілі критерії для категорування критичної інформаційної інфраструктури, доступних, численних, ефективних та сертифікованих аудиторів інформаційної безпеки.
Для того, щоб організація досягла сертифікації відповідно до стандарту ISO 27001, регулярно проводяться внутрішні аудити, а також зовнішня аудиторська перевірка, яка проводиться незалежним аудитором. Внутрішній аудитор ISO 27001 або загалом 27к відповідає за формування звітності та постійний моніторинг ефективності системи управління інформаційною безпекою (ISMS) та комунікацію з керівництвом чи власниками бізнесу. Але найголовніше, вони аналізують, формалізують та допомагають вищому керівництву зрозуміти та запевнитись, що цілі інформаційної безпеки лежать в одній площині, та формують єдиний вектор з бізнес-цілями компанії.
