Вставляем палки в колеса на аудиторских проверках, или Как сделать аудит ИБ максимально некомфортным для аудитора
Привет, Хабр! Спустя 9 лет на проектах по аудитам ИБ за спиной мне нестерпимо хочется взять и написать книгу «1000 и 1 попытка обмануть аудитора». Начну, пожалуй, с первой главы — поделюсь вредными советами, как можно «успешно» пройти аудит, получив минимальное количество замечаний от аудитора.
Зачем вообще компании проводят аудит информационной безопасности? Причин может быть несколько:
чтобы получить объективную оценку состояния ИБ (для себя);
потому что аудит является обязательным (для регуляторов);
потому что аудит требуют партнеры или головная организация (для других).
Любой из перечисленных видов аудита преследует основную позитивную цель — сделать компанию лучше, локализовав текущие проблемы. Большинство наших заказчиков заинтересованы в эффективном проведении таких работ. Однако иногда встречаются случаи, когда критерием успешности заказанного аудита служит отсутствие выявленных проблем в аудиторском отчете (при полном их наличии). Причины бывают разные, но чаще всего встречаются следующие.
Аудит «навязан» вышестоящей организацией.
Непрохождение аудита (например, PCI DSS) влечет за собой санкции со стороны контролирующих органов
ИБ-служба боится получить «по шапке» от руководства.
Во всех этих случаях штатный аудит превращается в поле боя, где компания стремится по максимуму сохранить рубежи, не показав «лишнего», а работа аудитора становится больше похожа на детективный сюжет.
P.S. Перечисленное под катом не является вымыслом, все это случалось и периодически встречается на реальных проектах.
Читать дальше →
Зачем вообще компании проводят аудит информационной безопасности? Причин может быть несколько:
чтобы получить объективную оценку состояния ИБ (для себя);
потому что аудит является обязательным (для регуляторов);
потому что аудит требуют партнеры или головная организация (для других).
Любой из перечисленных видов аудита преследует основную позитивную цель — сделать компанию лучше, локализовав текущие проблемы. Большинство наших заказчиков заинтересованы в эффективном проведении таких работ. Однако иногда встречаются случаи, когда критерием успешности заказанного аудита служит отсутствие выявленных проблем в аудиторском отчете (при полном их наличии). Причины бывают разные, но чаще всего встречаются следующие.
Аудит «навязан» вышестоящей организацией.
Непрохождение аудита (например, PCI DSS) влечет за собой санкции со стороны контролирующих органов
ИБ-служба боится получить «по шапке» от руководства.
Во всех этих случаях штатный аудит превращается в поле боя, где компания стремится по максимуму сохранить рубежи, не показав «лишнего», а работа аудитора становится больше похожа на детективный сюжет.
P.S. Перечисленное под катом не является вымыслом, все это случалось и периодически встречается на реальных проектах.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Почему ваша LLM-платформа — следующая цель: аудит безопасности AI-сервиса изнутри
- [Перевод] Пять документов ломают ваш RAG: где реальная уязвимость и что с ней делать
- Простой гайд как на одном и том же сервере иметь и панель 3X-UI за NGINX, и свой сервис
- Спираль эволюции веб-дизайна: от десктопной версии к адаптиву и обратно к многоликости
- Окружайте, так удобнее промахиваться! Встроенные в Hugging Face проверки ML-моделей против одного сканера
- [Перевод] Проблемы санации SVG
- Яндекс Плюс AdTech: как экосистемные решения обеспечили рост продаж билетов на фильм «Горыныч»
- Молодые дизайнеры против алгоритмов: страх перед ИИ испытывает лишь каждый десятый
- Безопасность приложений на Typescript от А до Я: гайд по защите от очевидных и не очень уязвимостей
- Доля рекламных бюджетов под управлением ИИ в Яндексе достигла 85%