Острые актуальные вопросы об аудите и аудиторах информационной безопасности
Как избежать штрафов за несоответствие требованиям безопасности? Что происходит в ваших ИТ-системах и всей организации? Так ли безопасен удалённый доступ в эпоху карантина? Как узнать, можно ли взломать вашу организацию снаружи или изнутри? А может, она уже взломана? Как определить слабые места и способы их укрепления?
Если законодательство разных стран в сфере ИТ пока не успевает адаптироваться к новым реалиям удалённой работы, то отраслевые нормы уже реагируют на изменения нашей жизни.
Так, например, 16 января 2021 года Национальный банк Украины принял постановление №4 «Об утверждении Положения об осуществлении контроля за соблюдением банками требований законодательства по вопросам информационной безопасности, киберзащиты и электронных доверительных услуг». Это постановление формализует подход Нацбанка к проверке качества соблюдения банками требований информационной безопасности.
Последствия несоблюдения таких норм могут быть довольно неприятными – от штрафов до прекращения работы банка или другой организации, особенно если эти нарушения сочетаются с другими нарушениями или реальными инцидентами безопасности.
Нахождение и найм ИТ-аудитора или аудитора информационной безопасности в штат может быть очень непростой задачей, поскольку сертифицированных аудиторов очень мало, и все они сильно загружены.
Выгодная альтернатива найму аудитора в штат – аутсорсинг. До карантина банки неохотно отдавали работы по безопасности на аутсорсинг. С приходом удалённого режима работы и локдауна устаревшее понятие “периметр защиты” ещё больше потеряло смысл. Внешний аудитор, подписавший все документы банка, перестал отличаться от сотрудника банка. Он точно так же, как и сотрудник, работает удалённо и несёт юридическую ответственность.
Мы поможем вам внедрить требования регуляторов в сжатые сроки. Наши аудиторы, имеющие международные сертификаты ISACA CISA, PECB, ISO 27001 и другие, имеют большой опыт в финсекторе, и обеспечивают быструю и качественную оценку технической и организационной информационной безопасности, включая тестирование на проникновение и соответствие международным стандартам, например, ISO 27001, PCI DSS или SOC 2.
Почитайте больше о наших предложениях для банков и финансового сектора.