6 июля 2022
На сайте Института внутренних аудиторов опубликовано обновленное Дополнительное руководство по аудиту применения информационных технологий (GTAG) «Оценка рисков кибербезопасности. Модель трех линий» (GTAG: Assessing Cybersecurity Risk. The Three Lines Model) от сентября 2020 года. Руководство пока доступно только на английском языке.
Организации всех типов становятся все более уязвимыми к киберугрозам из-за растущей зависимости от компьютеров, сетей, программ и приложений, социальных сетей и данных. Нарушения безопасности могут негативно сказаться на организациях и их клиентах, как в финансовом, так и в репутационном плане. Глобальная связь и доступность информации для пользователей за пределами организации повышают риск, выходящий за рамки того, что исторически решалось с помощью общего ИТ-контроля и контроля приложений. Зависимость организаций от информационных систем и развитие новых технологий делают традиционные оценки общего и прикладного контроля ИТ недостаточными для предоставления гарантий в части кибербезопасности.
Кибербезопасность относится к технологиям, процессам и методам, предназначенным для защиты информационных активов организации — компьютеров, сетей, программ и данных — от несанкционированного доступа. В связи с ростом частоты и серьезности кибератак возникает острая необходимость в совершенствовании управления рисками в области кибербезопасности.
Функция внутреннего аудита играет решающую роль в оценке рисков кибербезопасности организации путем рассмотрения следующих аспектов:
· Кто имеет доступ к наиболее ценной информации организации?
· Какие активы являются наиболее вероятными целями для кибератак?
· Какие системы могут вызвать наиболее значительные сбои в случае их взлома?
· Какие данные, если они будут получены неуполномоченными лицами, могут привести к финансовым или конкурентным потерям, юридическим последствиям или репутационному ущербу для организации?
· Готово ли руководство быстро отреагировать, если произошел инцидент по части кибербезопасности?
Обновленное Практическое руководство рассматривается роль внутреннего аудита в обеспечении кибербезопасности, в том числе:
· Роль главного внутреннего аудитора, связанную с предоставлением гарантий, корпоративным управлением, рисками и киберугрозами.
· Оценку неотъемлемых рисков и угроз.
· Роли и обязанности первой, второй и третьей линий, связанные с риск-менеджментом, контролем и корпоративным управлением.
· Где могут возникнуть пробелы в гарантиях.
· Обязанности по представлению отчетности в рамках внутреннего аудита.
Кроме того, в Руководстве рассматриваются возникающие риски и общие угрозы и представлен простой подход к оценке рисков и контролей в области кибербезопасности.
Данное Руководство можно найти в области «Личный кабинет» сайта Института внутренних аудиторов.
Путь: Личный кабинет → Основы профессиональной практики → Практические руководства (Practice Guides), третья таблица.
Это и другие Руководства доступны членам ИВА в качестве преимущества членства.