>
>
>
«Быть уверенным в завтрашнем дне»: почему аудит информационной безопасности — не роскошь, а необходимость для бизнеса?

«Быть уверенным в завтрашнем дне»: почему аудит информационной безопасности — не роскошь, а необходимость для бизнеса?

08.10.2020
0

Каким компаниям необходим аудит ИБ?

Аудит необходим всем компаниям, независимо от вида и сферы деятельности, в которых существует хоть какая-то IT-инфраструктура. А тем более крупным, публичным организациям, деятельность которых сильно зависит от непрерывности бизнеса. Также это юрлица, которым по закону положено проводить аудит в соответствии с нормативно-правовыми актами.

Какие виды аудита существуют?

Аудит можно классифицировать по различным признакам: по цели, по объекту аудита, по форме проведения, по степени воздействия на объект аудита и т.д. Рассмотрим виды аудита в зависимости от местонахождения аудитора по отношению к исследуемой системе — в таком случае выделяют внешний и внутренний аудит.

Внутренний аудит ИБ (или самооценка) проводится специалистами самой организации для определения уровня защищенности информации и соответствия этого уровня требуемому в данной организации.

Внешний аудит ИБ проводится независимыми организациями, имеющими соответствующие лицензии. Главной целью внешнего аудита является определение соответствия применяемых мер защиты информации требованиям по обеспечению информационной безопасности в данной конкретной организации.

Какой вид аудита выбрать — внешний или внутренний?

В большинстве случаев более предпочтительным является внешний аудит ИБ, поскольку внешние независимые организации не заинтересованы в сокрытии недостатков в области защиты информации. Кроме того, свежий взгляд всегда позволяет выявить те недостатки, которые в процессе повседневной деятельности сотрудникам организации просто не заметны.

Как часто необходимо проводить аудит?

Аудит ИБ — не разовая процедура, его необходимо проводить на регулярной основе (пример периодичности, требуемой с точки зрения нормативной базы, приведен ниже, в таблице). При этом договор на оказание аудиторских услуг может заключаться разово, но выгоднее, если договор заключен на длительный срок, поскольку повторные аудиты, проводимые одной и той же организацией, обойдутся дешевле и будут эффективнее с учетом уже проведенных аудитов.

В таблице примеры нормативных требований к проведению аудита в финансовой организации:

Направление
НПА (нормативно-правовой акт)
Пункт
Вид
Частота
Примечание
ПДн (защита персональных данных)
Федеральный закон от 27.07.2006 № 152-ФЗ
ст. 19 п. 2
оценка эффективности
до ввода в эксплуатацию
-
ПДн
Приказ ФСТЭК России от 18.02.2013 № 21
п. 6 Состава и содержания
оценка эффективности
не реже одного раза в 3 года
Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на деятельность по технической защите конфиденциальной информации.
НПС (субъект национальной платежной системы)
Постановление Правительства РФ от 13.06.2012 № 584
п. 4 Положения
контроль и оценка выполнения требований
не реже одного раза в 2 года
Контроль (оценка) соблюдения требований к защите информации осуществляется операторами и агентами самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.
НПС
Положение Банка России от 31.05.2012 № 380-П
пп. 3.2-3.3
оценка значимых платежных систем (ЗПС)
не реже одного раза в 3 года
Осуществляется Банком России.
До начала оценки ЗПС Банк России предлагает оператору ЗПС самостоятельно провести предварительную оценку (самооценку) и направить ее результаты в Банк России.
НПС
Положение Банка России от 09.06.2012 № 382-П
п. 2.2
п. 2.15.2
п. 2.15.3
оценка выполнения требований (оценка соответствия)
не реже одного раза в 2 года
Оценка соответствия осуществляется оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры самостоятельно или с привлечением сторонних организаций.
НПС
Письмо Банка России от 05.04.2018 № 04-45/2470
п. 1.12.1 Требований к защите информации
контроль выполнения требований к защите информации
не реже одного раза в квартал
-
НПС
Положение Банка России от 09.01.2019 № 672-П
п. 20
оценка выполнения требований (оценка соответствия)
не реже одного раза в 2 года
Пункт 20 (абзацы 1-4) вступает в силу с 1 июля 2021 года.
Оценка соответствия должна проводиться по ГОСТ Р 57580.2-2018.
Результаты оценки соответствия необходимо предоставлять согласно требованиям к содержанию, форме и периодичности представления информации, установленным Указанием Банка России от 9 июня 2012 года № 2831-У.
НПС
Положение Банка России от 17.04.2019 № 683-П
п. 9
оценка соответствия уровню защиты информации
не реже одного раза в 2 года
Пункт 9 вступает в силу с 1 января 2021 года.
Оценка определенного уровня защиты информации должна осуществляться по ГОСТ Р 57580.2-2018 с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг по технического защите конфиденциальной информации.
НПС
Положение Банка России от 17.04.2019 № 684-П
п. 6
оценка соответствия уровню защиты информации
не реже одного раза в год (для усиленного уровня защиты)/не реже одного раза в три года (для стандартного уровня защиты)
Пункт 6 вступает в силу с 1 января 2021 года.
Оценка определенного уровня защиты информации должна осуществляться по ГОСТ Р 57580.2-2018 с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг по технического защите конфиденциальной информации.
БВ (участник биометрического взаимодействия)
Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 25.06.2018 № 321
п. 9
оценка соответствия требованиям
ежегодно
Оценка соответствия требованиям проводится с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг по технического защите конфиденциальной информации.
НПС/БВ
ГОСТ Р 57580.2−2018
-
оценка соответствия защиты информации
-
Оценка соответствия защиты информации должна производиться независимой организацией, обладающей лицензией на проведение работ и услуг по технического защите конфиденциальной информации.
ГОСТ Р 57580.2−2018 устанавливает требования к методике и оформлению результатов оценки соответствия защиты информации (ЗИ) финансовой организации при выборе и реализации организационных и технических мер ЗИ в соответствии с требованиями ГОСТ Р 57580.1, применяемых финансовой организацией для реализации требований к обеспечению ЗИ, установленных нормативными актами Банка России.
КИИ
Приказ ФСТЭК России от 21.12.2017 № 235
пп. 28, 35, 36 Требований
контроль состояния безопасности значимых объектов КИИ
ежегодно
Контроль проводится либо комиссией, назначаемой субъектом КИИ, либо с привлечением организации, обладающей лицензией на проведение работ и услуг по технического защите конфиденциальной информации.
КИИ (субъект критической информационной инфраструктуры)
Приказ ФСТЭК России от 25.12.2017 № 239
группа мер АУД
аудит безопасности
-
Внутренний аудит обязателен для всех трех категорий значимости. Внешний аудит не обязателен.


Как еще классифицируется аудит?

Аудит ИБ — основной инструмент контроля состояния защищенности информационных активов компаний/организаций — включает в себя технический аудит и организационно-методический аудит. В свою очередь, технический аудит обычно разделяется на общий аудит и инструментальный аудит.

Например, инструментальный аудит включает в себя следующие направления:

  • аудит защищенности IТ-инфраструктуры и информационных систем;
  • тест на проникновение (pentest);
  • аудит информационных потоков в компании/организации;
  • контроль исходного кода приложений на уязвимости/закладки.

Также существует аудит на соответствие требованиям в одной или нескольких предметных областях:

  • законодательство и требования по защите персональных данных (ФЗ-152, 21-й приказ ФСТЭК и др.);
  • требования по защите информации в государственных информационных системах (17-й приказ ФСТЭК и др.);
  • законодательство и требования в области защиты информации в национальной платежной системе (ФЗ-161 и др.);
  • отраслевые требования, стандарты и рекомендации по защите информации в финансовых организациях, фин.процессинге (СТО БР ИББС-1.0, 382-П и др.);
  • аудит в области процессов (ISO 27001 и др.).

Какой результат компания получает по итогу?

Результатом является заключение о степени соответствия компании/организации критериям аудита ИБ, а также рекомендации по совершенствованию IT-инфраструктуры, защиты информации, процессов обеспечения и управления ИБ и документационного обеспечения заказчика.

Кроме того, логическим продолжением аудита является разработка корпоративных документов верхнего уровня по вопросам безопасности информации в компании/организации, среди которых:

  • корпоративная политика ИБ;
  • концепция обеспечения ИБ;
  • корпоративная модель угроз безопасности информации.

Эти верхнеуровневые документы обеспечивают базис для выстраивания всего комплекса работ по приведению процессов и технологий обеспечения и управления ИБ в компании в соответствие требованиям законодательства, нормативным документам, лучшим практикам ИБ.

Результат аудита — это уверенность в надежности и стабильности работы компании

Иначе говоря, в результате выполнения аудита ИБ, в зависимости от его масштаба и границ, заказчик получит независимую оценку состояния обеспечения ИБ в своей организации, степень его соответствия обязательным законодательным, нормативным и отраслевым требованиям по вопросам защиты информации, степени уязвимости его ИТ- и ИБ-инфраструктуры и информационных систем к современным угрозам. Кроме того, могут быть выявлены свидетельства противоправной деятельности в его информационном пространстве различной природы.

К кому следует обращаться за аудитом ИБ?

Аудит следует доверять опытным специалистам и экспертам, способным индивидуально подходить к решению задач заказчика и проводить комплексные работы: от аудита инфраструктуры до испытаний систем защиты.

Аудит и оценка соответствия требованиям по защите информации являются одними из ключевых компетенций команды группы компаний Softmall. На основе результатов комплексного аудита сотрудники ГК СОФТМОЛЛ помогают выстраивать оптимальный план внедрения или совершенствования системы информационной безопасности, составлять дорожную карту. Результаты аналитической работы специалистов ГК СОФТМОЛЛ по сопоставлению требований нормативных и методических документов систематизированы и готовы к применению в комплексных проектах по защите информации с учетом индивидуальных особенностей каждой организации.

Специалисты ГК СОФТМОЛЛ готовы произвести оценку состояния информационной безопасности в вашей организации. Помните, что аудит необходимо проводить регулярно, а особенно в следующих случаях:

  • Увеличение количества сервисов и участников сети;
  • Инцидент утечки конфиденциальной информации;
  • Отсутствуют специалисты, ответственные за информационную безопасность.

В процессе аудита будут проведены:

  • Анализ защищенности информации;
  • Проверка соответствия требованиям регуляторов;
  • Поиска уязвимых сегментов системы защиты;
  • Анализа состава ПО и подбором аналогов из реестра отечественного ПО.
ГК СОФТМОЛЛ
Адрес: 630005, г. Новосибирск, ул. Достоевского, д.58, офис 404
Сайт: softmall.ru
E-mail: info@softmall.ru
Телефон: +7 (383) 304 99-73

Результатом аудита станет отчет, содержащий оценку соответствия текущего уровня информационной безопасности на предприятии нормативным документам. А также перечень рекомендаций по приведению информационной системы предприятия в соответствие требованиям и нормам в области информационной безопасности.

Партнеры компании — лидирующие российские и зарубежные разработчики и производители технологических решений.

Интернет-газета Newslab, фотографии pixabay.com

На правах рекламы

Рекомендуем почитать