Для многих аудит, как и любая проверка, ассоциируется с жесткими аудиторами и горами дополнительной работы перед их приходом. А так же еще несколькими бессонными ночами непосредственно в процессе. Я не знаю, как проходят экономические аудиты, но думаю, что особых отличий нет. В данной статье за основу взят процесс проведения аудита на соответствие PCI DSS в России и странах СНГ. Хотя страна, впрочем, для международного стандарта, тоже не важна.
Каков же данный процесс изнутри и как его облегчить?
Каков же данный процесс изнутри и как его облегчить?
Все начинается даже не с подписания договора на аудит или пред аудит. Все начинается с решения компании (читай директора) о необходимости прохождения аудита. И тут есть два варианта развития событий: аудит необходимо пройти по требованию клиентов или платежных систем, что бывает – чаще, либо аудит инициируется и отстаивается перед директором компании начальником отдела информационной безопасности(ИБ) - реже. В первом случае аудит спускается как «Божья кара» на сотрудников ИТ и ИБ подразделений, так как дополнительной работы добавится, в должностных инструкциях ее может и не быть, а зарплата остается на прежнем уровне. Тут все зависит от коллектива, руководителя ИБ и конкретной компании. Если коллектив удастся мотивировать, чем – это уже вопрос менеджмента и к данной статье не относится, то результат, безусловно, будет. Результат будет, даже в том случае если персонал будет не мотивирован, но применяться будет уже иной метод – метод кнута.
По-иному обстоят дела, если инициатором выступает руководитель отдела ИБ. В таком случае с высокой долей вероятности процессы так или иначе уже соответствуют требованиям стандарта. Документация подготовлена, архитектура в корне не противоречит требованиям стандарта, начальник ИБ понимает, зачем это нужно. А раз он инициирует, значит, понимает пользу для себя и для отдела. И сможет донести до подчиненных (скорее всего, уже донес) необходимость, а так же найти понимание (в идеале поддержку) у отдела ИТ.
Итак, решение принято – аудиту быть. Нужен ли консалтинг? Тут вопрос, безусловно, интересный. Это, несомненно, увеличивает стоимость работ, что весьма логично. По моему мнению, если права на ошибку нет, аудит нужно пройти в любом случает и это делается впервые, то консалтинг стоит брать. Так как одна и та же компания, а часто один и тот же аудитор (хотя это формально и запрещено, но мы же смотрим на все изнутри как есть) делает предварительный аудит, проводит консалтинг и проводит аудит. В таком случае рисков значительно меньше заручившись поддержкой заранее. Если же прохождение аудита внутренняя инициатива, жестких внешний требований к срокам нет, а ответственный специалист со стороны компании понимает эту «кухню» то рискнуть, думаю, стоит. Просчитав предварительно затраты и риски. То же самое относится и к подготовке подтверждения соответствия стандарту.
Далее все достаточно банально. Составление плана-графика работ, анализ документации, сети и систем, проведение интервью, анализ полученной информации, подготовка и согласование отчета.
Итак, как же подготовиться и пройти аудит? Необходимо определить ответственного за проведение аудита со стороны компании, в идеале – компетентного специалиста в сфере ИТ или ИБ проектного менеджера. Который должен отвечать за взаимодействие в рамках данного проекта, предоставление необходимой информации и не предоставление, той, что не должна попасться на глаза аудитору.
Думаю, не стоит говорить, что нет компании, в которой бы абсолютно все было без нарушений. На то есть разные причины: слишком большие затраты на выполнение требований, нарушение или разрушение реальных бизнес процессов при исполнении требований, исторические закономерности. И тут все зависит от того, что покажут аудитору или что он увидит или найдет. Опять-таки не стоит забывать о возможности применения компенсационных мер.
При подготовке к аудиту, безусловно, должен быть человек компетентный в области аудита и стандартов, или тот, кто быстро может стать таковым (специалист смежной сферы). Так как аудиторам и представителям компании крайне желательно понимать друг друга, обладать высоким уровнем компетенций в сфере подлежащей аудиту.
Перед прохождением аудита желательно самостоятельно провести внутренний аудит, дабы закрыть все найденные несоответствия до официального аудита. Это повысит шансы его прохождения Вами и сэкономит сумму денег, как на консалтинге, так и на повторном аудите, если все окажется совсем плохо.
Но не следует забывать, что аудитор для того и нужен что бы проверить уровень соответствия, а на практике – просто найти несоответствия. По большему счету, в том числе и за это платят деньги, да и спортивный интерес аудитора толкает его вперед. Как говорится, аудитор должен быть всегда голодным.
Я бы рекомендовал относиться к найденным несоответствиям спокойно, если это не основательные несоответствия в архитектуре системы, недостатке оборудования, ПО или критичных для компании процессов, которые ни коим образом не могут быть изменены. Во всех остальных случаях от аудитора можно получить разъяснение, а часто и совет как это исправить самым простым образом. Но тут не нужно забывать о человеческих качествах и отношениях между людьми. Хотя может случиться по-всякому…
Непосредственно перед проведением аудита обязательно необходимо собрать всех сотрудников, которые будут участвовать в интервьюировании и провести совещание где уточнить основные моменты предстоящего аудита и особенно обратить внимание на нюансы. Например, что администратору запрещается покидать рабочее место, не заблокировав компьютер при посторонних. На каждом аудите находится администратор, который выбегает, куда-то оставив при этом аудитора один на один с открытыми соединениями к подлежащим аудиту критичным серверам. Данное замечание не критично, и использовано как пример, но таких мелочей может накопиться достаточно много. Кроме того, обязательно согласуйте с коллегами, какую информацию не стоит разглашать аудитору ни в коем случае – об этом выше. Так как, услышав хоть какое-то несоответствие, аудитор обязательно распутает клубок – можете не сомневаться.
Перед аудитом будьте готовы к тому, что как бы вы все не планировали, вы не успеете устранить все несоответствия и выполнить все задачи которые хотели. Так как в компании происходят непрерывные внесения изменений в системы, процессы, случаются авралы (обязательно в самый неподходящий момент), а сотрудникам кроме подготовки к аудиту нужно выполнять свои функциональные задачи. Рекомендую обязательно при планировании в зависимости от уровня зрелости процессов, загрузки сотрудников и своей сферы влияния закладывать от 10 до 35% дополнительного времени на риски.
Вполне вероятно, что прочитав часть текста, относящуюся к самостоятельной подготовке к прохождению аудита, возникнет вопрос, как же подготовится, не переплачивая за консалтинг? На самом деле варианты есть. В интернет достаточно много специализированных ресурсов по вопросам соответствия тем или иным стандартам. Форумов, где специалисты обмениваются реальным опытом и можно спросить совета. Достаточно часто сами аудиторы консультируют на ресурсах компании по вопросам трактовки формулировок стандартов или их особенностей применения. Но нужно понимать, что времени на это уйдет гораздо больше, чем если бы Вам сразу выдали список готовых решений. Но именно за это и платят.
Да вот еще, что касается решений, которые рекомендуют компании по результатам аудита. Нужно понимать что, как правило, компании, которые проводят аудит имеют подразделения, которые занимаются внедрением определенных решений и систем. И можете не сомневаться, что не зависимо от их соответствия в полной мере вашим требованиям, рекомендовать к внедрению будут именно их. Просто имейте это виду. Ничего страшного в этом нет. Если подразделение компании обладает реально выполненными успешными проектами, а данное решение и цена за услуги вас устраивает – смело берите. Просто имейте виду, что не стоит слепо полагаться на рекомендации и внедрять дорогостоящие системы, что бы пройти аудит и забыть о них до следующего.
И еще. Не воспринимайте аудитора как врага. Воспринимайте его как союзника. Часто, результаты аудита могут показать руководству, что у вас действительно не хватает ресурсов, технологий или бюджета, и что это не вы сами придумали необходимость наличия бесполезных «игрушек» для ИТ или ИБ. Смело говорите об этом аудитору, пусть пишет в отчете. Но помните, такое можно говорить при предварительном аудите или экспертном аудите, но уж ни как не сертификационном. Так как в противном случае сертификата соответствия, вы можете и не увидеть. А руководство вместо дополнительных ресурсов и бюджета может наградить вас выговором, за плохую работу подразделения.
