Гострі актуальні питання про аудит та аудиторів інформаційної безпеки
Як уникнути штрафів за невідповідність вимогам безпеки? Що відбувається у ваших ІТ-системах і всій організації? Чи безпечний віддалений доступ в епоху карантину? Як дізнатися, чи можна зламати вашу організацію зовні або зсередини? А може, вона вже зламана? Як визначити слабкі місця та способи їх зміцнення?
Якщо законодавство різних країн у сфері ІТ поки не встигає адаптуватися до нових реалій віддаленої роботи, то галузеві норми вже реагують на зміни нашого життя.
Так, наприклад, 16 січня 2021 року Національний банк України прийняв постанову №4 «Про затвердження Положення про здійснення контролю за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та електронних довірчих послуг». Ця постанова формалізує підхід Нацбанку до перевірки якості дотримання банками вимог інформаційної безпеки.
Наслідки недотримання таких норм можуть бути досить неприємними – від штрафів до припинення роботи банку або іншої організації, особливо якщо ці порушення поєднуються з іншими порушеннями або реальними інцидентами безпеки.
Знаходження та найм ІТ-аудитора або аудитора інформаційної безпеки в штат може бути дуже непростим завданням, оскільки сертифікованих аудиторів дуже мало, і всі вони сильно завантажені.
Вигідна альтернатива найму аудитора в штат – аутсорсинг. До карантину банки неохоче віддавали роботи з безпеки на аутсорсинг. Із приходом віддаленого режиму роботи та локдауна застаріле поняття “периметр захисту” ще більше втратило сенс. Зовнішній аудитор, який підписав всі документи банку, перестав відрізнятися від співробітника банку. Він так само, як і співробітник, працює віддалено та несе юридичну відповідальність.
Ми допоможемо вам впровадити вимоги регуляторів у стислі терміни. Наші аудитори, що мають міжнародні сертифікати ISACA CISA, PECB, ISO 27001 та інші, мають великий досвід у фінсекторі, та забезпечують швидку і якісну оцінку технічної та організаційної інформаційної безпеки, включаючи тестування на проникнення і відповідність міжнародним стандартам, наприклад, ISO 27001, PCI DSS або SOC 2.
Почитайте більше про наші пропозиції для банків і фінансового сектора.