Аудит безопасности банка(фирмы,компаниихолдинга),как внутренний инструмент управления

Под этим понимается системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности предприятия в соответствии с определенными критериями и показателями безопасности на основных уровнях обеспечения безопасности: организационно-управленческом, методологическом, техническом и технологическом. Эти оценки позволятсоздать практические рекомендации по эффективному управлению фирмой, и обеспечениюинформационной безопасности предприятия, в соответствии с поставленными целями развития бизнеса.[5, 257]Аудит безопасности информационной системы включают в себя несколько этапов: 1. Инициирование процедуры аудита.2. Сбор данныхдля проведения аудита.3. Анализ данных, собранных во время аудита.4. Выработка рекомендаций по улучшению информационной безопасности.5. Подготовка аудиторского отчета.Поскольку аудит проводится по инициативе руководства компании, обязательным условием для проведения аудита является поддержка руководства компании. При этом, поскольку в аудите задействованы большинство структурных подразделений компании, действия всех участников этого процесса должны быть скоординированы.В связи с этим, на этапе инициирования процедуры аудита должны быть решены организационные вопросы, в которых будут четко определены и документально оформлены права и обязанности аудитора; необходимо подготовитьи согласовать с руководством план проведения аудиторской проверки; закрепить в положении о внутреннем аудите утверждение о том, что у сотрудников компании существуют обязательства содействовать аудитору и предоставлять ему запрашиваемую для проведения аудита информацию.Кроме того, необходимо определить границы исследования. [4, 13]Наиболее сложным этапом в проведении аудита является сбор информации. Это связано с отсутствием у аудитора необходимой уму для анализа информации на информационную систему и с необходимостью тщательного взаимодействия аудитора с ключевыми должностными лицами предприятия. Только при условии наличия у проверяющего лица всей необходимойинформации для анализа существует возможность сделать компетентные выводы о положении дел в компании. В процессе проведения аудита подготавливается основная часть документации. После подготовки документации можно переходить к анализу собранной информации. Методы анализа данных, которые использует аудитор, определяются выбранными подходами к проведению проверки.В случае проведения аудита безопасности на соответствие требованиям стандарта, аудитор оценивает применимость требований стандарта к аудируемой информационной системе. Данные о соответствии областей функционирования информационной системы требованиям стандарта представляются в форме  таблицы. Из данных в таблице видно, какие требования безопасности в системе не полностью реализованы. Исходя из этого, аудитор делают выводы о том, насколько обследуемая информационная система соответствует требованиям стандарта. Рекомендации, которые выдает аудитор, после проведения анализа состояния информационной системы, определяются используемым подходом, особенностями обследуемой в фирме информационной системы, состоянием дел с информационной безопасностью и степенью детализации, используемой при проведении аудита. [4, 18]Основным результатом проведения аудита является аудиторский отчет. Структура аудиторского отчета может отличаться в зависимости от целей и  характера проводимого аудита. Но обязательно должны присутствовать разделы, характеризующие: цели проведения аудита; характеристика обследуемой информационной системы; должны быть указаны границы проведения аудита и используемые методы исследования; обозначены результаты анализа данных аудита; даны выводы, обобщающие эти результаты, которые содержат оценку уровня защищенности информационной системы и ее соответствие требованиям стандартов; даны рекомендации аудитора по устранению выявленных недостатков и совершенствованию системы защиты. [4, 19]ЗаключениеТаким образом, компании должны убедиться в том, что имеющиеся у них способы защиты от угроз в полной мере реализуют свои возможности. С этой целью проведение аудита безопасности может быть действенным способом определить существующее состояние систем защиты предприятия. Проведенный аудит даст представление об основных рисках, которым подвергается предприятие, определит его сильные стороны, а также те направления, которые необходимо улучшить. Список литературы1.Будович Л.С. Аудит безопасности предприятия как метод оценки эффективности управления системой безопасности // Власть. 2007. № 2. С. 47-50.2. Козаченко А.В., Пономарев В.П., Ляшенко А.Н. Экономическая безопасность предприятия: сущность и механизм обеспечения: монография/ А.В.Козаченко В.П. Пономарев, А.Н. Ляшенко. - К.: Либра, 2003. – 280 с.3. Колпаков П.А. Система экономической безопасности фирмы // Экономика и менеджмент инновационных технологий. 2013. № 1 [Электронный ресурс]. URL: http://ekonomika.snauka.ru/2013/01/1567 (дата обращения: 01.10.2018).4. Лихоносов А., Денисов Д. Основы аудита информационной безопасности: учебное пособие/ А. Лихоносов, Д. Денисов. – М., 2010. - 304 с.5. Ярочкин В.И. Система безопасности фирмы: учебное пособие / В.И. Ярочкин. - М.:Ось-89, 2003. - 352 с.