Британская “аудиторская палата” представила руководство по киберрискам для аудиторских комиссий

Национальное управление по контролю за расходами (National Audit Office - NAO) Великобритании выпустило на днях руководство по оценке рисков информационной безопасности для руководителей аудиторских комиссий.

В сентябре прошлого года регулятор представил свой отчет по теме защиты информации в правительственных организациях, в котором с сожалением признал отсутствие согласованности действий структур, ответственных за управление, мониторинг и реагирование на случаи компрометации данных. В своих последующих работах по теме онлайн-хищений эксперты NAO признавали сохраняющиеся пока что существенные трудности для организаций общественного сектора в привлечении и удержании у себя персонала с надлежащим опытом в этой области, что далее осложняется отсутствием координации правительственных структур и правоохранительных органов в случаях проявления киберпреступности.

По мнению “аудиторской палаты”, ее финансовые проверки регулярно находят уязвимости в системах финансового контроля. В этом году она провела детальный системный аудит 30 государственных структур, из которых у 24 обнаружились существенные недочеты. Решение, по мнение NAO, в том, чтобы заставить аудиторские комиссии отвечать за обеспечение кибербезопасности. Для них это будет означать, в частности, необходимость понимать, какие меры принимает менеджмент, соответствуют ли они стандартам и правилам, и адекватные ли ресурсы выделяются на обеспечение безопасности информационных систем.

Чтобы избежать дублирования обязанностей, новое руководство от NAO отражает собой уже действующее руководство от Национального центра кибербезопасности (NCSC) “10 шагов к кибербезопасности”, но вместе с тем содержит дополнительный ряд вопросов более высокого уровня, ответы на которые помогут аудиторским комиссиям с решением стратегических проблем. Кроме того, в руководстве также описываются некоторые технологии, которые в предыдущем документе не обсуждались – например, использование облачных сервисов.

Руководство от NAO содержит контрольный список вопросов и тем, покрывающих общий подход к кибербезопасности и управлению рисками, ресурсы, необходимые для управления кибербезопасностью, специфические аспекты (такие как управление информационным риском), сетевую безопасность, образовательную подготовку пользователей информационных систем, действия в случае взлома, защиту от вредоносного ПО, мобильные сети и другие связанные области, в частности, развитие новых услуг и технологий.

Подробнее

По материалам: CCH-Daily