Опубликовано Руководство GTAG «Аудит программ, связанных с внутренними угрозами»

На сайте Института внутренних аудиторов опубликовано Международное руководство по аудиту применения информационных технологий (GTAG) «Аудит программ, связанных с внутренними угрозами. 2-е издание» (Global Practice Guide. GTAG. Auditing Insider Threat Programs. 2nd Edition) от февраля 2026 года.

Данные являются одним из наиболее ценных активов организации и должны быть защищены как от внешних, неавторизованных пользователей, так и от внутренних пользователей. Защита цифровых активов организации от утечек больше не должна рассматриваться как обязанность только ИТ-руководства. Высшее руководство в конечном счете несет ответственность за управление рисками организации на уровнях, позволяющих организации достигать своих целей, а совет директоров осуществляет надзор за тем, как организация управляет этими рисками.

Злонамеренные или непреднамеренные внутренние угрозы часто не получают должного внимания, несмотря на то что представляют из себя значительные риски для организации. Основные риски, связанные с внутренними угрозами, включают саботаж, кражу данных, шпионаж, мошенничество и преступные действия.

Ландшафт внутренних угроз быстро расширяется, создавая значительные риски для безопасности, поскольку организации все больше зависят от информационных систем (ИС), автоматизированных процессов, веб-приложений, данных, передаваемых в цифровом виде, и облачных хранилищ.

Организации осознают, что инвестиции в технологии — это только часть решения проблемы; не менее важно оценить, могут ли корпоративное управления и контроли (например, политика, обучение и информационные кампании) противостоять внутренним угрозам.

Функция внутреннего аудита имеет все возможности для того, чтобы помочь высшему руководству и совету директоров осознать важность внедрения или усиления программы по борьбе с внутренними угрозами, а также помочь организациям улучшить корпоративное управление, управление рисками и контрольные процессы, связанные с внутренними угрозами. Данное руководство поможет внутренним аудиторам оценить внутренние угрозы, связанные с ними риски и потенциальное воздействие.

Это руководство дополняют два Инструмента аудита IIA (IIA Audit Tool): Передовые практики оценки внутренних угроз (Insider Threat Leading Practices) и Оценка внутренних угроз с использованием методологии кибербезопасности NIST (Insider Threat Assessment Using NIST Cybersecurity Framework).

Все документы пока доступны на английском языке.

Документы можно найти в области «Личный кабинет» сайта Института внутренних аудиторов.

Путь: Личный кабинет → Основы профессиональной практики → Практические руководства → Руководства по аудиту применения ИТ (GTAG)

Это и другие Руководства доступны членам ИВА в качестве преимущества членства.