Документ описывает процесс подготовки к аудиту IT от компаний 'большой четверки' для руководителей служб информационной безопасности. В нем определяются ключевые этапы и действия, необходимые для эффективного прохождения аудита, включая подготовку документации, проверку доступов и коммуникацию с аудиторами. Также обсуждаются возможные проблемы и рекомендации по их предотвращению.

1. ”Как подготовиться к аудиту от “большой четверки” руководителю службы информационной безопасности?” Александр Дорофеев,CISSP, CISA

2. СодержаниеИТ-аудит в рамках финансового аудитаАудиторский подходПодготовка к аудиту2

3. Аудит ИТ в рамках финансового аудитаПроверка эффективности мер на уровне ИТ, минимизирующих риски искажения финансовой отчетности компаний.3

4. Что, как и кем проверяется?Что: общие и прикладные контроли (контрмеры) в финансовых системахКак: используется подмножество контролей из Cobit + методология аудитораКем: в основном, компаниями “большой четверки4

5. Общие ИТ- и прикладные контролиОбщие ИТ-контроли: контрмеры в ИТ-процессах. Наиболее проверяемые: процесс управления доступом, процесс внесения изменений, обеспечение своевременного восстановления после сбоев и т.п. Прикладные контроли: контрмеры в процессах ввода\обработки данных.5

6. Подход к тестированиюСбор доказательств (скриншоты, копии заявок);Walkthrough (прохождение по процессу);Тестирование со случайной выборкой;Профессиональное суждение и предыдущий опыт аудитора;6

7. Какие бывают ИТ-аудиторы?Специалист (staff/adv. staff/assistant):Студент-старшекурсник либо недавний выпускник ВУЗа;Работает по методологии, которую не всегда хорошо знает.Синиор/Менеджер (senior/manager):2- 5 лет опыта;Управляет проектом, знает нюансы.Еще есть партнер7

8. Интересы сторон8

9. Возможные проблемы для руководителя ИБОбнаружены недостатки в системе обеспечения информационной безопасностиПоследствия:Недовольство руководства;Затраты на исправления недостатков.9

10. Причины проблемПлохо выстроенные коммуникации с аудиторамиНаличие реальных серьезных недостатков 10

11. Ключевые моменты успешного прохождения аудита11

12. До аудитаПолучите план аудита, перечень необходимой документации, перечень необходимых специалистов;Заблокируйте учетные записи уволенных сотрудников и тестовые учетные записи (“test”, “user1” и т.п.);Проведите проверку уровней доступа для существующих пользователей, согласуйте уровень доступа с владельцами систем;Разработайте/согласуйте запросы на существенные изменения систем;Приведите парольные настройки в системах к разумному виду.12

13. В ходе аудитаРасскажите/покажите, чем занимается компания;Организуйте передачу информации (свидетельств аудита) через одного человека;Предоставьте аудиторам политики/процедуры для того, чтобы они поняликак у вас все работает заранее;Настаивайте на согласовании предварительных результатов проверки до включения их в отчет;Приставьте к аудиторам координатора (вы получите человека, понимающего их подход);Если у вас нашли какой-то недостаток, настаивайте на том, что угроза не реализовалась (если это так).13

14. АНО “Учебный центр “Эшелон”www: www.uc-echelon.ruE-mail: a.dorofeev@npo-echelon.ruТел.: +7(495) 645-38-09Александр ДорофеевCISSP, CISA Директор