Опубликован перевод GTAG «Аудит управления сетями и коммуникациями»

На сайте Института внутренних аудиторов опубликован перевод на русский язык Дополнительного руководства по аудиту применения информационных технологий (GTAG) «Аудит управления сетями и коммуникациями» (GTAG: Auditing Network and Communications Management) от января 2023 года.

Корпоративная сеть передачи данных организации обеспечивает связь с клиентами, поставщиками и другими заинтересованными сторонами, что дает ряд преимуществ, а также способствует развитию электронной коммерции и предоставлению услуг. Из-за присущих рисков безопасности, связанных с эксплуатацией сети передачи данных, руководители часто используют принципы проектирования «с нулевым доверием» («никому не доверяй»), которые предусматривают выделение идентификации личности в отдельную группу контролей.

При оценке организационных рисков внутренние аудиторы, скорее всего, отнесут доступность и безопасность корпоративной сети передачи данных, включая ее подключения к внешним системам, к существенным присущим рискам. Поэтому, чтобы предоставлять убедительные и полезные гарантии и консультации, важно понимать некоторые основные методы и термины в управлении сетью.

Планирование аудиторских заданий обычно фокусируется на процессах корпоративного управления, риск-менеджмента и контроля в части распространенных технологий и подключений/ соединений для предоставления гарантий достижения различных целей. Цели контроля над управлением сетями и коммуникациями могут быть сгруппированы в следующие высокоуровневые категории:

1.            Корпоративное управление, управление рисками и администрирование.

2.            Управление доменами.

3.            Управление коммуникациями.

4.            Защита периметра.

5.            Операции с сетью.

Другие важные категории контролей, такие как управление идентификацией и доступом, кибербезопасность и безопасный удаленный доступ, в этом Руководстве рассматриваются коротко. Более подробное их рассмотрение приведено в других руководствах (GTAGs). Широко применяемые группы рисков и контролей рассматриваются в данном Руководстве применительно к управлению сетями и коммуникациями.

Институт благодарит волонтеров ИВА – Юрия Николаева, CISA, ISO27001 LA, и Александра Пéтровича – за перевод!

Данное Руководство можно найти в области «Личный кабинет» сайта Института внутренних аудиторов.

Путь: Личный кабинет → Основы профессиональной практики → Практические руководства (Practice Guides), третья таблица.

Это и другие Руководства доступны членам ИВА в качестве преимущества членства.