Количество аудитов на соответствие требованиям нормативно-правовых актов (НПА) Банка России ежегодно увеличивается. Это несет увеличение скоупа аудируемой информационной инфраструктуры финансовых организаций и рост трудозатрат на подготовку к аудиту. А приближение сроков аудита обычно вызывает головную боль у сотрудников финансовых организаций, ответственных за направление. Кирилл ЧЕРНОВ, эксперт по кибербезопасности компании Angara Security в материале специально для Национального банковского журнала (NBJ) рассказывает с какими сложностями и проблемами в этот момент сталкиваются сотрудники службы информационной безопасности финансовой организации.
В их числе:
· отсутствие информации об ответственных сотрудниках;
· непонимание, что входит в контур безопасности;
· непонимание, какие требования распространяются на тот или иной объект информационной инфраструктуры.
Что входит в максимальный чек-лист мероприятий, который рекомендуется соблюдать и выполнять перед каждым планируемым аудитом на соответствие требованиям НПА Банка России? Некоторые мероприятия должны выполняться на периодической основе, в рамках процессов, выстроенных в финансовых кредитных и некредитных организациях.
Определение и формирование перечня требований
Определение требований, которые должны быть реализованы в финансовой компании – не столько мероприятие по подготовке к аудиту, сколько периодический процесс, который должен выполняться сотрудниками служб ИБ. Они должны сформировать единый перечень требований по информационной безопасности, куда рекомендуется включать не только требования НПА прямого регулятора, а все требования по ИБ, которые распространяются на финансовую организацию (требования по защите КИИ, ПДн). Перечень требований рекомендуется составлять исходя из бизнес-процессов финансовой организации, связанных с осуществлением финансовых операций, и может включать требования Положений Банка России, национальных и международных стандартов в области информационной безопасности. Также рекомендуется учитывать технологии, применяемые в финансовой организации и исключать требования к неприменяемым технологиям (пример, в финансовой организации не используется Wi-Fi, соответственно, следует исключить требования подпроцесса «Защита беспроводных сетей» из ГОСТ 57580.1).
Перечень необходимых требований рекомендуется формировать в Excel файле или в специализированных системах.
Определение области проводимого аудита
Следующий шаг ‑ определение области проводимого аудита, тех объектов информационной инфраструктуры, для которых будет проведен аудит на соответствие требований. В большинстве случаев, проблем с этим у сотрудников финансовых организаций не возникает, поскольку практически все компании этой сферы так или иначе уже проходили аудиты на соответствие требованиям.
Однако, в некоторых случаях сложности возникают у некредитных финансовых организаций, в которых бизнес-процессы реализованы с помощью большого количества объектов информационной инфраструктуры. Также с трудностями сталкиваются новички, если аудит проводится впервые или отсутствует понимание, какие объекты информационной инфраструктуры осуществляют обработку защищаемой информации.
В таком случае специалистам по ИБ рекомендуется провести маппинг требований, определенных в рамках первого пункта, и объектов информационной инфраструктуры (автоматизированные системы, средства защиты информации и так далее).
Определение ответственных сотрудников Банка
Важным шагом подготовки к аудиту является определение ответственных сотрудников банка, отвечающих за объекты информационной инфраструктуры, которые входят в область аудита (контур безопасности). К таким специалистам относятся администраторы АС, СЗИ, АРМ, серверов, сетевого оборудования. Их рекомендуется внести в созданный ранее перечень требований по ИБ. Таким образом формируется единый реестр, который будет использоваться в процессе прохождения внешних аудитов.
Формирование архива свидетельств
После того как сформирован перечень требований, которым должна соответствовать финансовая организация, определены контур безопасности и администраторы объектов информационной инфраструктуры, рекомендуется создать актуальный архив свидетельств, подтверждающих реализацию требований. Этот архив может формироваться заранее в рамках внутренних проверок по ИБ, информация из которых собирается в отдельный архив. Его рекомендуется актуализировать на ежегодной основе, по итогам проведения внутренних аудитов. Для крупных организаций рекомендуется использовать специализированные SGRC-системы, в которых можно вести не только архив свидетельств, но и реестр требований.
На данном этапе могут возникнуть вопросы о целесообразности проведения внешнего аудита. Однако организация внутренних аудитов и архивирование информации, в первую очередь, уменьшает время предоставления свидетельств, и позволяет представить аудиторам полную картину реализации требований регуляторов. Таким образом, можно оперативно выявить нарушения или сформировать запрос дополнительных сведений. Также созданный архив позволяет не отвлекать других сотрудников компании от производственных задач.
Стоит отметить, что указанные выше процессы необходимо выполнять на постоянной основе, так как регуляторы постоянно выпускают новые НПА, что обязывает финансовые организации реализовывать еще больше требований. К тому же в каждой финансовой организации происходят процессы модернизации информационной инфраструктуры: внедряются новые или модернизируются старые АС, средства защиты информации и иные объекты информационной инфраструктуры, для которых необходимо реализовывать требования по ИБ.
Формирование плана мероприятий непосредственно перед аудитом
По мере приближения сроков внешнего аудита необходимо проработать внутренний план действий, согласно которому и будет проводится сам аудит. В его состав рекомендуется включить следующие мероприятия:
1. определить сотрудника финансовой организации, ответственного за взаимодействие с внешней организацией;
2. актуализировать требования, применимые к финансовой организации и описанные выше;
3. определить или актуализировать область аудита, если в организации определен контур безопасности;
4. подготовить к процедуре сотрудников компании, ответственных за объекты информационной инфраструктуры и за бизнес-процессы организации, в том числе за процессы в области ИБ и ИТ. Им будет необходимо участвовать в интервью и проводить сбор свидетельств, что отвлечет сотрудников от рабочих задач;
5. при необходимости актуализировать архив свидетельств, если он сформирован;
6. заранее определиться со способами взаимодействия с внешней организацией (порядке интервью и обмена информацией);
7. определить внутренние сроки предоставления информации аудиторам с учетом временного лага;
8. запросить примерные перечни вопросов по каждой теме интервью, чтобы иметь возможность максимально подготовиться к встречам.
Сформированный план действий необходимо согласовать со всеми сотрудниками компании, участие которых необходимо в аудите.
Что будет, если…
Постоянная реализация мероприятий по внутреннему аудиту позволит пройти внешний аудит без особых шероховатостей, за исключением форс-мажора. Если же компания не готова к проверкам, как внутреннем, так и внешним, она столкнется с многочисленными проблемами.
Первая и основная проблема – отсутствие времени. Это связано с текущей загрузкой сотрудников подразделений, которые должны участвовать в аудите, и не могут в полной мере принимать участие в мероприятиях. Это приведет либо к неудовлетворительной итоговой оценке за аудит, либо растягивание аудита на длительный срок, что также негативно отразится на итогах проверки.
Вторая проблема, которая часто возникает в финансовых организациях средних и крупных размеров, ‑ поиск ответственного за направление деятельности или объект информационной инфраструктуры/бизнес-процесс. Отсутствие информации также увеличивает срок проведения интервью, растет риск привлечения не тех сотрудников и получения некомпетентных ответов на вопросы аудиторов. Все это также сказывается на результатах аудита.
Третья проблема, которая больше относится к некредитным финансовым организациям, –непонимание, какие объекты информационной инфраструктуры входят в область аудита. Эта некритичная проблема, которая решается в процессе проверки, однако на определение области защиты уходит время.
Отсутствие перечня требований и архива свидетельств также является недочетом, однако на поиск этой информации и составление отчетов также уходят время и человеческие ресурсы.
Вывод
Реализация мер по контролю и актуализации всех требований по ИБ, реализация описанных выше мероприятий существенно упростит жизнь сотрудникам ИБ-службы и облегчит прохождение внешних аудитов. Предварительная подготовка к аудиту позволит проводить внешний аудит по заранее сформированному сценарию. Заранее подготовленные перечни требований, объектов информационной инфраструктуры и ответственных сотрудников, архив свидетельств дадут компании запас времени на случай форс-мажоров. Все это позволит аудиторам высоко оценить выполнение всех требований НПА и дать полноценную оценку соответствия. Стоит отметить, что выполнение указанных мероприятий не требует больших трудозатрат со стороны сотрудников службы ИБ, при этом экономит силы, нервы и время всей организации.
01.04.2025 16:51:00
