Поэтому говорить нужно об аудите ИБ внешнем. Особенно в условиях серьезного усложнения задачи обеспечения корпоративной ИБ. К примеру, в средней компании, одних только инструментов защиты информации насчитывается сегодня десятки. И все их нужно обслуживать, причем при жестком дефиците специалистов и усложнении ИБ-угроз.
Не стоит верить тем, кто заявляет, что вообще не допускает вмешательства внешних аудиторов. С чего, например, начинается любой проект развертывания какого-либо ИБ-средства, как ни с внешнего ИБ-аудита, проводимого с помощью независимых аудиторов, ИБ-интеграторов или ИБ-вендоров? Если ваш бизнес завязан на международные платёжные системы, то вам хорошо знакомы ежегодные аудиторские проверки компаний Visa и MasterCard на соответствие стандарту PCI DSS. Ну а Роскомнадзор к вам с "аудитом" еще не заглядывал? Если нет, то лучше провести аудит "на соответствие" заблаговременно.
Реально ИБ-аудит уже распространен и будет распространяться все шире и глубже. Другого пути как в руки ИБ-аудиторов у нас нет. И относиться к этому нужно без паранойи. Можно, разве что, пожелать снижения стоимости аудита, да стандартизации пакетов услуг ИБ-аудиторов с учетом бизнес-профилей клиентов.
Внутренний аудит решения ИБ может быть реализован в рамках общего проекта по созданию корпоративной системы ИБ как один из этапов этой работы. Например, через год (два) после окончания внедрения. Такой аудит целесообразен только в русле деятельности службы собственной безопасности на предмет проверки исполнения проектных решений по ИБ. Известны многочисленные случаи случайного и намеренного пренебрежения исполнением требований по ИБ. Это и понятно, любая система ИБ накладывает на пользователя ограничения в плане использования ИТ-решений. Иногда ограничения эти весьма серьезны. Поэтому пользователь зачастую саботирует установленные регламенты в силу сложности, неудобства, возникновения препятствий в исполнении прямых служебных обязанностей. Для выявления этого и нужен внутренний аудит.
Аудит внешний иной. Часто он ограничивается формальным изучением документов — ИБ - проекта, инструкций, регламентов, политик — на соответствие требованиям регулятора (СТР-К). Кроме того, он фиксирует недостатки, связанные с невыполнением требований НОВЫХ нормативных документов регуляторов, принятых за отчетный период, о которых во внедренном решении нет даже упоминания. Иногда это может приводить к доработке самого проектного решения по ИБ в части развертывания новых средств защиты информации, не внедренных прежде. В любом случае, внешний аудит ИБ — это плановое мероприятие, которое необходимо проводить хотя бы раз в три года. В условиях жесткой российской действительности эта плановость часто реализуется при смене команды управленцев, или при переходе собственности, или еще в каком-либо из случаев пробуждения"жареного петуха". Скоротечность и непродуманность таких проектов приводит к нагромождению средств ИБ, к трудностям внедрения и использования и, в конечном итоге, к разгромным аудитам по истечению спокойного периода. Круг замыкается…
Поэтому плановость аудита — как внешнего, так и внутреннего — это его неотъемлемое свойство. Этим он и ценен. Просто внешний аудит может проводиться значительно реже, чем внутренний.