Для начала - разберемся что такое аудит. Прежде всего, не стоит его путать с анализом защищенности и Pentest. Аудит – это не поиск уязвимостей и не получение несанкционированного доступа, это проверка того, насколько информационная система (или ее компоненты) и процессы соответствуют требованиям нормативных актов, стандартов и документации производителей оборудования и ПО.
Специалисты советуют не переживать и при взаимодействии с аудитором помнить, что:
- аудитор тоже человек, и у него можно уточнить информацию, если Вам что-то непонятно;
- не стоит игнорировать и затягивать аудит, его все равно придется проходить;
- если у Вас нет какого-то документа, то можно прислать технические свидетельства необходимого процесса с устным описанием, если этого недостаточно, то аудитор предложит альтернативные решения, например, попросит прислать «Политику ИБ»;
- если у Вас нет доступа к необходимой инфраструктуре, то нужно решать вопрос с руководством;
- если запрашивают логи, то важна их репрезентативность;
- на вопросы лучше отвечать развернуто, ссылаясь на документы;
- можно попросить аудитора прислать собранную информацию на согласование, чтобы понимать правильно ли были интерпретированы ваши слова;
- можно узнать, какая оценка нужна и как ее улучшить.
Аудиты проводят различные регуляторы, но иногда они целенаправленно заказываются руководством, потому что необходим взгляд извне. Такие решения обычно принимают зрелые компании, которые понимают важность безопасности. При этом внутренний (не внешний!) аудит, компания может проводить самостоятельно, выделив важные для себя аспекты в безопасности.
Пример чек-листа, по которому можно проводить самостоятельный аудит представлен в описании записи «Безопасная среда | Аудит ИБ», в которой, кстати, вы сможете получить более подробную информацию об аудите в целом.
Помните, что аудит это не «злая собака», а помощник, который даст понять соответствует ли ваша компания необходимым требованиям!