среда, 4 ноября 2015 г.

Экспресс-аудит информационных рисков

    Время от времени у каждого офицера ИБ возникает необходимость провести экспресс-аудит информационных рисков. Будь-то сделка слияния, новый подрядчик или ИТ-проект времени обычно мало а стандартные требования кажутся недостаточными.


    Для таких случаев я использую ряд вопросов, направленных на понимание изменений в бизнесе, ведь значимые риски можно идентифицировать только в значимых компонентах бизнеса. Все вопросы можно разделись 3 категории (для простоты сведем все вопросы к "компании"):

  1. Как бизнес зарабатывает деньги.
  2. Как бизнес тратит деньги.
  3. Как бизнес управляется и регулируется.

    Вопросы по доходной части

  1. Что является продуктом деятельности компании? Например, проектная документация.
  2. Как клиенты получают доступ к услугам компании? Например, через ДБО.
  3. Как осуществляются заказ товаров компании? Например, через партнерский портал.
  4. Как рассчитываются и где хранятся цены и драйверы цен? Например, в системе управления АЗК
  5. Какие клиентские данные и в каком количестве компания собирает? Например, кредитные карты.
  6. Что повлечет урон бренду компании? Например, снижение продаж (компания FMCG).

    Вопросы по затратной части

  1. На что компания тратит деньги? Например, на насосно-компрессорные трубы.
  2. Какие были потери\инциденты в компании? Например, хищения нефти из нефтепроводов, пропажа ценных документов на файловом хранилище.
  3. Сотрудники в основном работают в офисе? Например, есть месторождения.
  4. Каким образом поставщики получают доступ к тендерам? Например, портал закупок.
  5. Каким образом кандидаты получают доступ к вакансиям? Например, кадровый портал.
  6. Где хранятся закупочные цены? Например, в системе управления закупками

    Вопросы по части управления и регулирования
  1. Какие нормативные акты в части ИБ выполняются? Например, 8-ФЗ.
  2. Какие выполняются мероприятия для обеспечения достоверности финотчетности? Например, внедряется IDM, проводятся регулярные аудиты.
  3. Где обрабатываются и хранятся данные о активах бизнеса? Например, в учетной системе.
  4. Что повлечет наложение административного штрафа на первое лицо? Например, политические проблемы у губернатора.

    Конечно, список не исчерпывающий, и во многом отражает мой опыт, преимущественно в безопасности коммерческой деятельности и закупок.

Комментариев нет:

Отправить комментарий