На этом этапе ИБ-команда собирает исходную картину защиты информации. Нужно понять, какие активы важны для компании, какие риски уже видны и какие меры защиты работают сейчас.
Начать лучше с критичных для бизнеса участков. Например, обработка платежей показывает, где ошибка может повлиять на деньги, обязательства перед клиентами и непрерывность работы.
Дальше стоит проверить, какие требования уже действуют в компании. В одном процессе это может быть порядок выдачи доступов, в другом — инструкция по передаче файлов. Так становится понятно, какие правила закреплены в документах и чем они поддержаны на практике.
На аудите стоит проверить:
- какие данные относятся к критичным для компании;
- в каких системах они хранятся и обрабатываются;
- кто имеет доступ к этим системам;
- какие политики, инструкции и регламенты уже действуют;
- какие средства защиты подключены;
- какие инциденты повторялись за последние месяцы.
По итогам аудита у команды должен появиться рабочий набор для следующего этапа: карта критичных данных, список процессов с повышенным риском, перечень действующих мер и зоны, где нужен отдельный контроль.
Отдельно стоит закрепить ответственных за ключевые направления: доступы, документы, обучение и сообщения о подозрительных событиях. Так у каждой меры появляется владелец, который понимает задачу и может довести ее до результата.
Если организация строит СУИБ, результаты аудита становятся основой для границ системы, зон ответственности и плана дальнейших работ. Внедрение системы обеспечения информационной безопасности начинается с фактов, которые можно проверить и затем использовать для оценки результата.