Внутрішні аудитори, проводячи оцінку кібербезпеки компанії, повинні звертати увагу на комплекс обставин і факторів, які визначають діяльність компанії.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Про це зазначають у ПАБУ.
Читайте також: "Правила банківської стабільності стають дедалі суворішими".
Так, важливим є, щоб питаннями кібербезпеки займалися аудитори, які добре розуміються на комп’ютерних технологіях і знайомі з основними ризиками в цій галузі. Крім цього, внутрішні аудитори повинні оцінювати всю систему протидії кібератакам загалом, а не перевіряти лише окремі зони. Важливо сформувати загальне розуміння щодо системи захисту організації від кібератак, а також порівняти отримані результати з мінімальними очікуваннями щодо кібербезпеки в цій галузі чи бізнес-секторі.
Водночас початкова загальна оцінка ризиків щодо кібербезпеки організації повинна бути доповнена вичерпним аналізом і тестуванням окремих контролів.
Як зазначається, внутрішні аудитори не повинні самі виступати загрозою кібербезпеці організації. Для цього необхідно, як мінімум, чітко дотримуватися всіх процедур і політик компанії щодо безпеки інформаційних технологій, наприклад:
- не відкривати листів від підозрілих відправників;
- не переходити за незнайомими посиланнями;
- працювати лише на дозволених пристроях;
- не виносити ноутбук з даними за межі території, якщо це забороняється політиками організації.
Нагадаємо, у США можна відображати в обліку ділову співпрацю.