Аудит безопасности позволяет выявить уязвимые места организации. Если проверку не проводить, то компания может оказаться в эпицентре серьезных проблем и потерять репутацию, финансы, работников, клиентов.
Что такое аудит безопасности
Каждое предприятие ежедневно подвержено разного рода угрозам, но не все руководители это понимают. Высокий забор, надежная охрана хоть и создают физические условия безопасности для работников компании, однако не обеспечивают полную защиту.
Бывают ситуации, когда сомнительные действия «скрываются» внутри фирмы. Например, сотрудник крадет секретные сведения, к которым фактически у него не должно быть доступа, использует полученную информацию по своему усмотрению. В результате страдает репутация бизнеса, из-за чего предприятие теряет финансы, работников, клиентов.
Виды и цели аудита
Проверка безопасности может проводиться как сотрудниками предприятия, так и сторонними специалистами. В связи с этим аудит подразделяется на два вида:
- внутренний;
- внешний.
Крупные компании регулярно проводят первый вариант проверок, чтобы оценить работу службы безопасности, а также своевременно выявить и исправить существующие ошибки. Возникновение потенциальных рисков может быть обусловлено некомпетентностью работников, неслаженной коммуникацией между отделами предприятия, наличием устаревшего оборудования.
Внутренний аудит безопасности проводят аудиторы, работающие в проверяемой компании, либо организациями, которые подведомственны учредителю.
Однако такая проверка не всегда позволяет выявить опасность:
- сказывается фактор «дружбы» аудитора с коллегами, в отношении работы которых проводят аудит;
- отсутствует оценка рисков извне по причине, что эксперт анализирует предприятие исключительно изнутри;
- процесс превращается в шаблонное действие, где специалист не обращает внимания на многие детали.
Для проведения внешней проверки привлекают сторонние аудиторские компании. Плановые мероприятия проводят не реже, чем 1 раз в 3 года. Такие действия позволяют оценить эффективность охранной системы и реакцию службы на возникновение возможных угроз.
Аудит проводят в отношении сотрудников, выявляя влияние неслужебной связи на деятельность предприятия. Также проходит проверка работы оборудований, системы по контролю доступа, навыков охранной службы по выявлению прослушивающих устройств и по предотвращению вторжения посторонних лиц на объект.
Цель аудитов – оценить уровень безопасности предприятия и выявить уязвимые места. Для максимальной эффективности целесообразно проводить комплексную проверку, которая включает как внутренний анализ фирмы, так и внешний.
Основные этапы
Правильно выстроенная система процедуры повышает вероятность обнаружения потенциальных угроз.
Поэтому сотрудники “Русской Охраны” проводят аудит в несколько этапов, каждый из которых тщательно изучают:
- определение границ оценки;
- проверка документов и технических устройств;
- анализ работы персонала;
- выявление слабых мест;
- составление отчета о результате.
На каждый уровень отводят определенное количество дней, которое регламентировано нормативно-правовыми актами, внутренними документами.
Как провести аудит безопасности
Прежде чем приступить к проверке, необходимо ограничить область работы. Инспекция всех направлений эффективна для обнаружения максимального числа угроз, но невыгодна с экономической точки зрения.
Многие руководители сужают область оценки, понимая, что в разных подразделениях внедрена одна информационная система. Например, аудит охраны труда по расценкам Москвы стоит от 9 тыс. руб., что не так затратно для крупной фирмы. Если риски обнаружили в первом филиале, то во втором проблемы выявляют уже самостоятельно на основании найденных ошибок.
Разобравшись с задачами, аудитор приступает к проверке документов, анализу записей с видеокамер, изучению лог-файлов СКУД. Проводит систематизацию информации, которую хранят внутри компании и передают внешним контрагентам. Также происходит инвентаризация технических и программных средств. Специалист исследует состояние сейфового оборудования, системы сигнализации.
Далее подробно изучает действия персонала. Процедура включает анализ того как сотрудники:
- работают с информацией и компьютерными программами;
- управляют доступом к конкретным сведениям;
- создают условия для обеспечения безопасности предприятия;
- используют электронную почту и интернет;
- обмениваются информацией с внешними контрагентами;
- отслеживают новости в сфере безопасности и т.д.
Когда анализ полностью проведен, аудитор сравнивает полученные результаты с идеальной моделью, чтобы выявить уязвимые места. После этого составляет отчет, в котором отражают проблемы предприятия, а также план первоочередных мероприятий по устранению рисков.
Как оценивать результаты
Международный стандарт ISO/IEC 17799 описывает эффективные советы по управлению ИБ. Огромное число положений сложно не только внедрить в деятельность крупнейших предприятий, но и регулярно проводить их соответствие с реальной работой. Поэтому руководство оценивает результат аудита безопасности по отчету, составленному исполнителем. Затем специалист приступает к поочередному устранению выявленных угроз, начиная с самых опасных.
Специалисты компании “Русская охрана” проводят аудит безопасности крупных предприятий, а также малого бизнеса и объектов личной собственности.
Аудит для малого бизнеса
Небольшие компании, как правило, не имеют в штате эксперта, что затрудняет проведение внутренних проверок. Внешний аудит также невозможен из-за финансовых аспектов. Начальство вынуждено самостоятельно анализировать свой бизнес.
Эксперты “Русской охраны” рекомендуют придерживаться следующих советов:
- Свод внутренних правил организации. Необходимо создать регламент информационной безопасности, согласно которому сотрудники будут знать свои обязанности. Важно не только ознакомить персонал с правилами, но и сделать это под их личную роспись.
- Санкции за распространение информации. В политике организации необходимо отразить понятие конфиденциальных сведений. Следует распределить, какие лица будут иметь доступ к этой информации. За распространение скрытых данных также должны быть введены санкции.
- Проверка использования компьютерных программ и оборудования. Нет необходимости контролировать каждый шаг своего подчиненного. Однако периодически можно посетить кабинет сотрудника и оценить рабочую деятельность.
- Установка сетевых экранов, антивирусных программ. На компьютерах важно иметь средства защиты, чтобы не допустить утечки информации из-за вирусов и хакерских атак.
- Резервные копии. В случае если произойдет какой-то сбой и вся информация будет утеряна, то при наличии физических офисов или облачного сервиса данные можно восстановить.
В малом бизнесе большинство уязвимостей возникает по причине банальной халатности персонала.