Новости «Базы знаний»
23 октября 2023
Опубликован перевод GTAG «Аудит управления сетями и коммуникациями»
На сайте Института внутренних аудиторов опубликован перевод на русский язык Дополнительного руководства по аудиту применения информационных технологий (GTAG) «Аудит управления сетями и коммуникациями» (GTAG: Auditing Network and Communications Management) от января 2023 года.
Корпоративная сеть передачи данных организации обеспечивает связь с клиентами, поставщиками и другими заинтересованными сторонами, что дает ряд преимуществ, а также способствует развитию электронной коммерции и предоставлению услуг. Из-за присущих рисков безопасности, связанных с эксплуатацией сети передачи данных, руководители часто используют принципы проектирования «с нулевым доверием» («никому не доверяй»), которые предусматривают выделение идентификации личности в отдельную группу контролей.
При оценке организационных рисков внутренние аудиторы, скорее всего, отнесут доступность и безопасность корпоративной сети передачи данных, включая ее подключения к внешним системам, к существенным присущим рискам. Поэтому, чтобы предоставлять убедительные и полезные гарантии и консультации, важно понимать некоторые основные методы и термины в управлении сетью.
Планирование аудиторских заданий обычно фокусируется на процессах корпоративного управления, риск-менеджмента и контроля в части распространенных технологий и подключений/ соединений для предоставления гарантий достижения различных целей. Цели контроля над управлением сетями и коммуникациями могут быть сгруппированы в следующие высокоуровневые категории:
1. Корпоративное управление, управление рисками и администрирование.
2. Управление доменами.
3. Управление коммуникациями.
4. Защита периметра.
5. Операции с сетью.
Другие важные категории контролей, такие как управление идентификацией и доступом, кибербезопасность и безопасный удаленный доступ, в этом Руководстве рассматриваются коротко. Более подробное их рассмотрение приведено в других руководствах (GTAGs). Широко применяемые группы рисков и контролей рассматриваются в данном Руководстве применительно к управлению сетями и коммуникациями.
Институт благодарит волонтеров ИВА – Юрия Николаева, CISA, ISO27001 LA, и Александра Пéтровича – за перевод!
Данное Руководство можно найти в области «Личный кабинет» сайта Института внутренних аудиторов.
Путь: Личный кабинет → Основы профессиональной практики → Практические руководства (Practice Guides), третья таблица.
Это и другие Руководства доступны членам ИВА в качестве преимущества членства.