Опубликовано обновленное Руководство GTAG «Оценка рисков кибербезопасности. Модель трех линий»

На сайте Института внутренних аудиторов опубликовано обновленное Дополнительное руководство по аудиту применения информационных технологий (GTAG) «Оценка рисков кибербезопасности. Модель трех линий» (GTAG: Assessing Cybersecurity Risk. The Three Lines Model) от сентября 2020 года. Руководство пока доступно только на английском языке.

Организации всех типов становятся все более уязвимыми к киберугрозам из-за растущей зависимости от компьютеров, сетей, программ и приложений, социальных сетей и данных. Нарушения безопасности могут негативно сказаться на организациях и их клиентах, как в финансовом, так и в репутационном плане. Глобальная связь и доступность информации для пользователей за пределами организации повышают риск, выходящий за рамки того, что исторически решалось с помощью общего ИТ-контроля и контроля приложений. Зависимость организаций от информационных систем и развитие новых технологий делают традиционные оценки общего и прикладного контроля ИТ недостаточными для предоставления гарантий в части кибербезопасности.

Кибербезопасность относится к технологиям, процессам и методам, предназначенным для защиты информационных активов организации — компьютеров, сетей, программ и данных — от несанкционированного доступа. В связи с ростом частоты и серьезности кибератак возникает острая необходимость в совершенствовании управления рисками в области кибербезопасности.

Функция внутреннего аудита играет решающую роль в оценке рисков кибербезопасности организации путем рассмотрения следующих аспектов:

·         Кто имеет доступ к наиболее ценной информации организации?

·         Какие активы являются наиболее вероятными целями для кибератак?

·         Какие системы могут вызвать наиболее значительные сбои в случае их взлома?

·         Какие данные, если они будут получены неуполномоченными лицами, могут привести к финансовым или конкурентным потерям, юридическим последствиям или репутационному ущербу для организации?

·         Готово ли руководство быстро отреагировать, если произошел инцидент по части кибербезопасности?

Обновленное Практическое руководство рассматривается роль внутреннего аудита в обеспечении кибербезопасности, в том числе:

·         Роль главного внутреннего аудитора, связанную с предоставлением гарантий, корпоративным управлением, рисками и киберугрозами.

·         Оценку неотъемлемых рисков и угроз.

·         Роли и обязанности первой, второй и третьей линий, связанные с риск-менеджментом, контролем и корпоративным управлением.

·         Где могут возникнуть пробелы в гарантиях.

·         Обязанности по представлению отчетности в рамках внутреннего аудита.

Кроме того, в Руководстве рассматриваются возникающие риски и общие угрозы и представлен простой подход к оценке рисков и контролей в области кибербезопасности.

Данное Руководство можно найти в области «Личный кабинет» сайта Института внутренних аудиторов.

Путь: Личный кабинет → Основы профессиональной практики → Практические руководства (Practice Guides), третья таблица.

Это и другие Руководства доступны членам ИВА в качестве преимущества членства.