СОИБ. Анализ. Парадокс подготовки к аудиту ИБ

Каждый раз при аудите ИБ участники на объекте аудита чтобы подготовится со своей стороны просят предоставить: регламент аудита, план аудита, предварительный опросник по аудиту ИБ, общий перечень вопросов в рамках аудита ИБ.
И каждый раз повторяется ситуация, что до начала аудита проверяемая сторона не успевает определить участников аудита в соответствии с регламентов и заполнить предварительный опросный лист. В итоге эти вопросы приходится решать на первом совещании, на объекте аудита и первые пару дней после него. И даже после этого план аудита постоянно продолжает меняться – у одного участника аудита возникает ЧП, у другого срочное совещание, у третьего наоборот свободный день появляется раньше запланированного. И что самое странное – чем крупнее и серьезнее Организация, тем меньше они делают со своей стороны на этапе подготовки к аудиту ИБ.

Это у всех такое случается или только я что-то непонимаю?

Комментарии

Artem Ageev написал(а)…
с заказчиком нужно работать. нужно уметь добиваться от него того, что он обязан предоставить по договору.

ЗЫ а как Орбита делает аудит, не имея ни одного аудитора?
12 апреля 2011 г. в 03:38
Сергей Борисов написал(а)…
Откуда у тебя такая недостоверная информация.

Целый отдел аудиторов.
12 апреля 2011 г. в 07:20
Сергей Борисов написал(а)…
На счет с Заказчиком работать - предположим что мы уже столкнулись с ситуацией что Заказчик должен был к 1 числу предоставить данные и назначить всех участников аудита, но не предоставил и не назначил.

А 5-ого числа мы уже должны были начать аудит на территории заказчика.

И чтоже - можно сидеть, звонить Заказчику и говорить что все работы переносятся пока он эти даныне не предоставит и ответственных не назначит. В это время выделенные на аудит ресурсы специалистов простаивают и сроки на проект уменьшаются. А если объектов в разных городах много. То при сдвиге сроков на одном объекте начинают сдвигаться на остальных. При этом остальные объекты могли уже успеть назначить ответственных на какую-то определенную дату.

Либо можно все-таки выехать на объект Заказчика и на месте решать оставшиеся орг. вопросы.
Как правило второй вариант не приятен но он лучше для проекта в целом.
12 апреля 2011 г. в 22:40
Artem Ageev написал(а)…
если проблема не решается на исполнительском уровне, она переносится на управленческий.

в вашей компетенции управлять сроками проектов? нет? тогда пусть голова болит у манеджера.

ЗЫ что-то я орбитовцев на курсах аудиторов ABISS не видел ;)

в ЮФО всего одна компания, которая имеет сертифицированного аудитора...
15 апреля 2011 г. в 03:30
Сергей Борисов написал(а)…
А причем здесь Abiss?
Артем - ты похоже на одной теме зациклился.

Есть ещё очень много стандартов и целей аудита. Например аудит на соответствие ISO 27001/27002, аудит на соответствие внутренним политикам организации, аудит в целях определения оценки рисков.
15 апреля 2011 г. в 06:04
shelihoff написал(а)…
Сергей, согласен, план аудита на месте всегда динамичен. Я уже по этому вопросу не переживаю. Закладывай риски. А требовать с клиента строгого выполнения плана, просто глупо. У клиента на первом месте бизнес.
14 сентября 2011 г. в 12:01
Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

КИИ. ОКВЭД vs 187-ФЗ

Все ещё одним из наиболее часто задаваемых вопросов про КИИ является: попадаем ли мы в сферы 187-ФЗ?   Например, если мы школа или учреждение соц. защиты. Чтобы ответить на этот вопрос в первую очередь рекомендуется посмотреть на коды ОКВЭД вашей организации и сравнить с кодами ОКВЭД в которые попадают сферы и отрасли из 187-ФЗ. Если по каким -то причинам вам это было сложно сделать, то специально в честь наступающего праздника я сделал это за Вас. Пользуйтесь :     Также табличка может быть полезна регуляторам чтобы оценить объем организаций подпадающих под законодательство 187-ФЗ.
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...