Аудит ит-инфраструктуры
Содержание:
- Цель
- Роль и сфера деятельности ВА
- Возникающие проблемы
- Найм подрядчика
- Виды ИТ-аудита
- Зарубежныеподходы к аудиту и сертификации
- Преимущества комплексного аудита информационной безопасности
- Аудит информационной безопасности
- Порядок проведения аудита пожарной безопасности
- II этап (продолжительность: 2-4 месяца; стоимость: договорная)
- Практика проведения аудита ИС
- Таблица 4: Пример таблицы определения уровня риска информационной безопасности
- Стандарты важны
- Международный стандарт ISO 27001
Цель
ИТ-аудит отличается от аудита финансовой отчетности . В то время как цель финансового аудита состоит в том, чтобы оценить, достоверно ли во всех существенных отношениях финансовая отчетность отражает финансовое положение, результаты операций и движение денежных средств организации в соответствии со стандартной практикой бухгалтерского учета , целью ИТ-аудита является оценка состояния системы. структура и эффективность внутреннего контроля. Сюда входят, помимо прочего, протоколы эффективности и безопасности, процессы разработки, а также управление или надзор за ИТ. Установка элементов управления необходима, но недостаточна для обеспечения надлежащей безопасности. Люди, ответственные за безопасность, должны учитывать, установлены ли средства управления должным образом, являются ли они эффективными, и если да, то какие действия можно предпринять для предотвращения нарушений в будущем. На эти запросы должны отвечать независимые и беспристрастные наблюдатели. Эти наблюдатели выполняют задачу аудита информационных систем. В среде информационных систем (ИС) аудит — это проверка информационных систем, их входов, выходов и обработки.
Основные функции ИТ-аудита — оценить системы, которые используются для защиты информации организации. В частности, аудит информационных технологий используется для оценки способности организации защищать свои информационные активы и надлежащим образом передавать информацию уполномоченным сторонам. ИТ-аудит направлен на оценку следующего:
Будут ли компьютерные системы организации доступны для бизнеса в любое время, когда это необходимо? (известная как доступность) Будет ли информация в системах раскрыта только авторизованным пользователям? (известный как безопасность и конфиденциальность) Всегда ли информация, предоставляемая системой, будет точной, надежной и своевременной? (измеряет целостность) Таким образом, аудит надеется оценить риск для ценного актива компании (ее информации) и установить методы минимизации этих рисков.
Роль и сфера деятельности ВА
Во многом так же, как IA трудно определить, он может использоваться профессионалом в области информации в различных контекстах , от соблюдения законодательства о свободе информации до выявления любых существующих пробелов , дублирования, узких мест или других недостатков в информационных потоках и понять, как существующие каналы могут быть использованы для передачи знаний
В 2007 году развили свое исследование процесса ВА в 1998 году, кратко изложив его основные цели :
- Для определения информационного ресурса организации
- Для определения информационных потребностей организации
Кроме того, что IA также должно было выполнять следующие дополнительные задачи:
Определить стоимость / преимущества информационных ресурсов
Выявить возможности использования информационных ресурсов для получения стратегических конкурентных преимуществ.
Интегрировать ИТ-инвестиции со стратегическими бизнес-инициативами
Для определения информационных потоков и процессов
Разработать комплексную информационную стратегию и / или политику
Осведомить о важности управления информационными ресурсами (IRM)
Для мониторинга / оценки соответствия стандартам, законодательству, политике и руководствам, связанным с информацией.
Возникающие проблемы
Существуют также новые аудиты, вводимые различными стандартными советами, которые необходимо проводить в зависимости от проверяемой организации, что повлияет на ИТ и гарантирует, что ИТ-отделы выполняют определенные функции и средства контроля надлежащим образом, чтобы считаться соответствующими. Примерами таких аудитов являются SSAE 16 , ISAE 3402 и ISO27001: 2013 .
Аудит присутствия в Интернете
Расширение корпоративного ИТ-присутствия за пределы корпоративного межсетевого экрана (например, внедрение социальных сетей на предприятии наряду с распространением облачных инструментов, таких как системы управления социальными сетями ) повысило важность включения в ИТ / ИБ. аудит
Цели этих аудитов включают обеспечение того, чтобы компания предпринимала необходимые шаги для:
- обуздать использование неавторизованных инструментов (например, «теневой ИТ»)
- минимизировать ущерб репутации
- соблюдать нормативные требования
- предотвратить утечку информации
- снизить риск третьих лиц
- минимизировать корпоративный риск
Использование ведомственных или разработаны пользовательские инструментов была спорной темой в прошлом. Однако с повсеместной доступностью инструментов анализа данных, информационных панелей и статистических пакетов пользователям больше не нужно стоять в очереди, ожидая, пока ИТ-ресурсы выполнят, казалось бы, бесконечные запросы на отчеты. Задача ИТ-отдела — работать с бизнес-группами, чтобы максимально упростить авторизованный доступ и отчетность. Чтобы использовать простой пример, пользователям не нужно проводить собственное сопоставление данных, чтобы чистые реляционные таблицы были связаны значимым образом. ИТ-отделу необходимо сделать доступными для пользователей ненормализованные файлы типа хранилища данных, чтобы упростить их анализ. Например, некоторые организации периодически обновляют склад и создают простые в использовании «плоские» таблицы, которые можно легко загрузить с помощью такого пакета, как Tableau, и использовать для создания информационных панелей.
Аудит корпоративных коммуникаций
Рост сетей VOIP и таких проблем, как BYOD, и растущие возможности современных систем корпоративной телефонии приводят к повышенному риску неправильной конфигурации критически важной инфраструктуры телефонной связи, оставляя предприятие открытым для возможности мошенничества при обмене данными или снижения стабильности системы. Банки, финансовые учреждения и контакт-центры обычно устанавливают политики, которые должны применяться во всех своих коммуникационных системах
Задача проверки соответствия систем связи политике возлагается на специализированных телекоммуникационных аудиторов. Эти аудиты гарантируют, что коммуникационные системы компании:
- придерживаться заявленной политики
- соблюдайте правила, призванные минимизировать риск взлома или фрикинга
- соблюдать нормативные требования
- предотвратить или минимизировать мошенничество с платой за проезд
- снизить риск третьих лиц
- минимизировать корпоративный риск
Аудит корпоративных коммуникаций также называется речевым аудитом, но этот термин все чаще устаревает, поскольку коммуникационная инфраструктура все больше становится ориентированной на данные и зависимой от данных. Термин «аудит телефонии» также устарел, потому что современная инфраструктура связи, особенно при работе с клиентами, является многоканальной, когда взаимодействие происходит по нескольким каналам, а не только по телефону. Одной из ключевых проблем, с которыми сталкиваются корпоративные коммуникационные аудиты, является отсутствие отраслевых или утвержденных правительством стандартов. ИТ-аудиты строятся на основе соблюдения стандартов и политик, опубликованных такими организациями, как NIST и PCI , но отсутствие таких стандартов для корпоративных коммуникационных аудитов означает, что эти аудиты должны основываться на внутренних стандартах и политиках организации, а не на отраслевых. стандарты. В результате аудиты корпоративных коммуникаций по-прежнему проводятся вручную с проверками на случайной выборке. Инструменты автоматизации аудита политик для корпоративных коммуникаций стали доступны только недавно.
Найм подрядчика
Легче всего использовать для такой задачи своих же сотрудников. Тем не менее, мы бы не рекомендовали такой подход. Из-за сложного характера проверки операционных систем и приложений экономить на этом не стоит.
Технический аудит выявляет риски для технологической платформы путем анализа действующих политик и процедур, а также сетевых и системных конфигураций. Эта работа только для профессионалов в области безопасности.
Во время процесса или поиска аудитора учитывайте следующие факторы:
-
Посмотрите на их сертификаты и квалификацию. Убедитесь, что аудитор имеет реальный опыт работы в этой области.
-
Проверьте, есть ли у них опыт не только аудита, но и обеспечения безопасности. Спросите о рекомендациях. Реальный опыт внедрения и поддержки безопасности является важным показателем.
-
Ищите кандидатов. С коллегами и контрагентами, которым доверяете. Спросите, могут ли они порекомендовать аудиторскую организацию.
-
Ищите то, что нужно именно вам. Проведите несколько встреч с разными аудиторами. Найдите правильное решение для вашего бизнеса.
Виды ИТ-аудита
Различные органы создали разные таксономии, чтобы различать различные типы ИТ-аудита. Гудман и Лоулесс заявляют, что существует три конкретных систематических подхода к проведению ИТ-аудита:
-
- Аудит технологического инновационного процесса . В ходе этого аудита создается профиль риска для существующих и новых проектов. Аудит позволит оценить длительность и глубину опыта компании в использовании выбранных ею технологий, а также ее присутствие на соответствующих рынках, организацию каждого проекта и структуру той части отрасли, которая занимается этим проектом или продуктом, организацией. и отраслевая структура.
- Инновационный сравнительный аудит . Этот аудит представляет собой анализ инновационных возможностей проверяемой компании по сравнению с ее конкурентами. Это требует изучения исследовательских и опытно-конструкторских центров компании, а также ее опыта в производстве новых продуктов.
- Аудит технологической позиции : этот аудит рассматривает технологии, которые в настоящее время есть у компании и которые необходимо добавить. Технологии характеризуются как «базовые», «ключевые», «развивающиеся» или «новые».
Другие описывают спектр ИТ-аудита с помощью пяти категорий аудитов:
-
- Средства обработки информации : аудит для подтверждения того, что средство обработки контролируется для обеспечения своевременной, точной и эффективной обработки заявок в нормальных и потенциально опасных условиях.
- Разработка систем : аудит для подтверждения того, что разрабатываемые системы соответствуют целям организации, и для обеспечения того, чтобы системы были разработаны в соответствии с общепринятыми стандартами разработки систем .
- Управление ИТ и архитектурой предприятия : аудит для подтверждения того, что руководство ИТ разработало организационную структуру и процедуры для обеспечения контролируемой и эффективной среды для обработки информации .
- Клиент / сервер, телекоммуникации, интрасети и экстрасети : аудит для проверки наличия средств управления телекоммуникациями на клиенте (компьютер, получающий услуги), сервере и в сети, соединяющей клиентов и серверы.
А некоторые относят все ИТ-аудиты к одному из двух типов: аудиты « общий контроль » или «проверка приложений ».
Ряд профессионалов ИТ-аудита из области обеспечения информации считают, что существует три основных типа контроля, независимо от типа выполняемого аудита, особенно в сфере ИТ. Многие структуры и стандарты пытаются разбить элементы управления на разные дисциплины или области, называя их «элементы управления безопасностью», «элементы управления доступом», «элементы управления IA», чтобы определить типы задействованных элементов управления. На более фундаментальном уровне можно показать, что эти средства контроля состоят из трех типов основных средств контроля: защитный / превентивный контроль, детективный контроль и реактивный / корректирующий контроль.
В ИБ существует два типа аудиторов и аудитов: внутренний и внешний. Аудит ИБ обычно является частью внутреннего аудита бухгалтерского учета и часто выполняется внутренними аудиторами компании. Внешний аудитор проверяет результаты внутреннего аудита, а также входные данные, обработку и выходы информационных систем. Внешний аудит информационных систем в основном проводится сертифицированными аудиторами информационных систем, такими как CISA, сертифицированными ISACA, Ассоциацией аудита и контроля информационных систем, США, аудитором информационных систем (ISA), сертифицированным ICAI (Институт дипломированных бухгалтеров Индии), и другие, сертифицированные авторитетной организацией для аудита ИБ. Удалить -> ( часто является частью общего внешнего аудита, проводимого сертифицированным общественным бухгалтером (CPA)).
Аудит ИБ учитывает все потенциальные опасности и средства контроля в информационных системах
Основное внимание уделяется таким вопросам, как операции, данные, целостность, программные приложения, безопасность, конфиденциальность, бюджеты и расходы, контроль затрат и производительность. Существуют руководящие принципы, помогающие аудиторам в их работе, например, от Ассоциации аудита и контроля информационных систем.
Зарубежныеподходы к аудиту и сертификации
2.1. Аудиторы в ожидании бума сертификации подсистем ИБ
Некоторые специалисты предсказывают наступление в скором времени бума добровольной сертификации, полагая, что это позволит резко улучшить положение в области ИБ работающих систем.
Основанием для такого вывода являются данные, представленные на рис. 6. Британский стандарт со спецификациями системы управления ИБ , являющийся основой для проведения аудита ИБ, вышел в 1998 году, рис. 6 отражает положение дел в 1999 году (по данным Британского института стандартов (BSI)). Всего за год существования стандарта и, соответственно, начала действия системы сертификации на его основе, около 3% фирм уже прошли сертификацию, около трети имеют твердые планы сделать это в ближайшее время и находятся на различных стадиях подготовки к сертификации. Более трети собирает дополнительную информацию, рассматривает такую возможность. Сознательно не собираются проводить сертификацию только 21% фирм.
Преимущества комплексного аудита информационной безопасности
Такая проверка позволяет получить самую полную и разностороннюю оценку степени защищенности информационной системы, локализовать присутствующие проблемы и разработать оптимальную программу организации системы информационной безопасности (ИБ) в организации. В нее входит анализ механизмов безопасности на организационном уровне, политики безопасности и организационно-распорядительного регламента, а также оценка их соответствия требованиям действующих норм и адекватности вероятным рискам.
В составе комплексного аудита ИТ безопасности присутствует активный аудит, подразумевающий осуществление инструментального анализа защищенности и заключающийся в сборе данных о корпоративной сети путем использования специализированных программных продуктов, во время которого проводится проверка уровня защищенности как внешнего периметра, так и внутренней ИТ структуры компании.
Этапы проведения комплексного аудита информационной безопасности:
- организационный и инструментарный;
- исследование уровня защиты ИС;
- определение степени соответствия ИБ стандартам и нормам.
А теперь рассмотрим данные этапы подробнее.
Проведение аудита ИТ безопасности подразумевает:
- определение наиболее важных для обеспечения работы бизнес-процессов компонентов и узлов ИС;
- исследование ИС и бизнес-процессов предприятия в качестве объектов защиты, осуществление анализа полученных данных и создание модели взаимодействия составляющих ИС, необходимых для обеспечения непрерывности бизнес-процессов;
- определение требований к действующей системе ИБ, анализ ее структуры, выполняемых функций и особенностей, оценка настроек используемых средств защиты, ОС сервера и телекоммуникационного оборудования;
- тестирование на предмет проникновения в информационную среду организации;
- проведение оценки рисков, обусловленных реализацией информационных угроз, направленных на самые важные активы компании;
- анализ действующей на предприятии системы обеспечения ИБ требованиям и создание заключения;
- формирование рекомендаций для повышения уровня ИБ в соответствии с определенными требованиями и предложений по минимизации информационных рисков.
Результат аудита ИТ безопасности — получение полной, независимой и объективной оценки текущей ситуации в данной сфере.
В комплексном аудите информационной безопасности объединены остальные виды диагностики ИБ, что помогает руководству аудируемой организации оценить ее состояние и предпринять соответствующие меры, если это необходимо.
В комплексный аудит ИБ входит:
- экспертный аудит
- проверка web-безопасности
- тест на проникновение
- аудит ИС
Состав и условия проводимых в процессе комплексного аудита работ должны быть заранее согласованы и утверждены руководителями компании-клиента. Конечно, аудит ИТ безопасности можно проводить и силами собственного ИТ отдела компании, но лучше привлечь к решению этой ответственной задачи внешних консультантов, например, сотрудников ALP Group. Ведь проведение проверки сотрудниками организации не всегда позволяет получить объективную и независимую оценку. Поэтому лучше доверить тестирование ИБ команде компании ALP, имеющей обширный опыт в данной сфере. В последние годы все больше организаций прибегают к услугам независимых консультантов по вопросам информационной защиты.
Аудит информационной безопасности
Анализ, позволяющий выявить угрозы информационной безопасности, бывает двух видов:
- внешний;
- внутренний.
Первый предполагает единовременную процедуру. Организует ее руководитель компании. Рекомендовано регулярно практиковать такую меру, чтобы держать ситуацию под контролем. Ряд АО, финансовых организаций ввели требование внешнего аудита ИТ-безопасности обязательным к выполнению.
Внутренний – это регулярно проводимые мероприятия, регламентированные локальным нормативным актом «Положение о внутреннем аудите». Для проведения формируют годовой план (его готовит отдел, ответственный за аудит), утверждает генеральный директор, другой руководитель. ИТ-аудит – несколько категорий мероприятий, аудит безопасности занимает не последнее место по значимости.
Порядок проведения аудита пожарной безопасности
Процесс независимой оценки пожарных рисков описан в Постановлении № 304. Для начала проверки заключается договор с экспертной организацией, передается оговоренный комплект документов. По согласованию с заказчиком определяются сроки проведения проверок, порядок допуска экспертов на объекты и предприятие, цена пожарного аудита. Аудит пожарной безопасности ООО Смарт Вэй станет гарантией, что ваш объект соответствует всем нормам защиты.
Изучение документов в сфере пожарной безопасности
Обязательной стадией, который включает пожарный аудит в Москве, является изучение внутренней документации заказчика. В этот перечень может входить:
- конструкторская, проектная, техническая и эксплуатационная документация на объект, оборудование, системы, механизмы;
- схемы планировки, эвакуации, мест размещения средств пожаротушения и индивидуальной защиты;
- приказы, должностные инструкции на ответственных лиц, руководства, регламенты;
- документы об инструктажах персонала и руководства, о повышении квалификации, об обучении сотрудников по нормам ПБ.
Для оборудования и средств, которые должны проходить периодическую поверку, будут изучаться паспорта, договоры, пломбы, наклейки. Аудит пожарной безопасности ООО Смарт Вэй всегда осуществляется только с аттестованным и сертифицированным оборудованием.
Пожарно-техническое обследование объекта и предприятия
Выездная проверка проводится непосредственно на объекте или предприятии. Соответственно, цена пожарного аудита будет выше, если объект защиты располагается далеко за городов, в труднодоступной местности. Специалисты изучают:
- фактическое состояние конструкций – дверей, эвакуационных выходов, мест складирования горючих материалов, пожарных лестниц;
- работоспособность систем оповещения, пожаротушения, вентиляции, тревожных кнопок, других средств защиты и предупреждения;
- надлежащие огнезащитные характеристики отделочных и строительных материалов, электропроводки, кабелей и сетей;
- фактическое наличие средств пожаротушения и индивидуальной защиты (из расчета по количеству персонала и посетителей).
В ходе обследований составляются акты с указанием всех замечаний и нарушений. Многие недостатки можно устранить сразу в ходе аудита. Например, при выявлении преград на путях эвакуации может оказаться достаточно убрать препятствия. В этом случае нарушение не попадет в итоговое заключение.
При мероприятиях пожарной безопасности проверяется работоспособность гидрантов
Расчеты, испытания, исследования
Необходимость проведения дополнительных проверок определяется планом аудита, особенностями деятельности предприятия, выявленными замечаниями. В зависимости от показателей защиты, цена пожарного аудита может включать:
- испытания работоспособности оборудования (например, системы оповещения);
- расчеты пожарных рисков, иных показателей;
- экспертизы (например, для определения состава строительных и отделочных материалов, их показателей горючести и воспламеняемости).
По результатам таких проверок оформляются протоколы, экспертные заключения, акты, расчеты. Итоги испытаний, экспертиз и расчетов будут применяться при подготовке заключения. Отметим, что пожарный аудит в Москве позволит избежать плановых проверок МЧС, если вы закажете заключение НОР.
II этап (продолжительность: 2-4 месяца; стоимость: договорная)
- Дооборудование и настройка технических систем контроля и безопасности.
- Проверка всех сотрудников вышеперечисленных (см. п. 2) служб, а также руководителей всех структурных подразделений и материально ответственных лиц предприятия на выявление важных для работодателя биографических событий ранее скрытых при трудоустройстве (уголовное прошлое, искажение биографических данных, участие в запрещённых формированиях, наркотические пристрастия, связи с конкурентами и др.). Используя:
- Закрытые источники информации;
- Открытые интернет ресурсы;
- Специализированные базы данных;
- Психофизиологические опросы на полиграфе «Детекторе лжи»;
- Системы технического мониторинга и накопления информации;
- Обработка и анализ информации полученной с использованием технических средств (видео контроля, аудио контроля, систем контроля доступа, систем контроля передвижения и др.)
- Временное внедрение в штат предприятия профильных специалистов (гражданско-трудовой договор на определённый срок) для следующих целей:
- выстраивания механизмов комплексного обеспечения режимов безопасности;
- выявления «прослоечных» предприятий, аффилированных действующими и уволенными сотрудниками;
- отслеживание коррупционных схем с контрагентами;
- проверки действующего персонала на лояльность к руководству, компетентность и соответствие занимаемым должностям.
Практика проведения аудита ИС
Представленная на рис. 2 блок-схема отражает, хотя и не в деталях, ключевые точки проведения аудита ИС. Рассмотрим их подробнее.
На этапе подготовки и подписания исходноразрешительной документации определяются границы проведения аудита:
1. Границы аудита определяются критическими точками ИС (элементами ИС), в которых наиболее часто возникают проблемные ситуации.
2. На основании результатов предварительного аудита всей ИС (в первом приближении) проводится углубленный аудит выявленных проблем.
В это же время создается команда проведения аудита, определяются ответственные лица со стороны Заказчика. Создается и согласовывается необходимая документация.
Далее проводится сбор информации о текущем состоянии ИС с применением стандарта CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования ИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации
Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее важностью и актуальностью
Проведение анализа – наиболее ответственная часть проведения аудита ИС. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации существуют в стандарте CoBiT, но если их не хватает не возбраняется использовать разрешенные ISACA разработки других компаний.
Результаты проведенного анализа являются базой для выработки рекомендаций, которые после предварительного согласования с Заказчиком должны быть проверены на выполнимость и актуальность с учётом рисков внедрения.
Контроль выполнения рекомендаций – немаловажный этап, требующий непрерывного отслеживания представителями консалтинговой компании хода выполнения рекомендаций.
На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты в которых могут вызвать сбои в работе ИС. Например, отдельное углубленное рассмотрение вопросов обеспечения безопасности ИС.
Постоянное проведение аудита гарантирует стабильность функционирования ИС, поэтому создание план-графика проведения последующих проверок является одним из результатов профессионального аудита.
Таблица 4: Пример таблицы определения уровня риска информационной безопасности
|
При расчете значений вероятности проведения атаки, а также уровня возможного ущерба могут использоваться статистические методы, методы экспертных оценок или элементы теории принятия решений. Статистические методы предполагают анализ уже накопленных данных о реально случавшихся инцидентах, связанных с нарушением информационной безопасности. На основе результатов такого анализа строятся предположения о вероятности проведения атак и уровнях ущерба от них в других АС. Однако применение статистических методов не всегда возможно из-за отсутствия в полном объёме статистических данных о ранее проведённых атаках на информационные ресурсы АС, аналогичной той, которая выступает в качестве объекта оценки.
При использовании аппарата экспертных оценок проводится анализ результатов работы группы экспертов, компетентных в области информационной безопасности, которые на основе имеющегося у них опыта определяют количественные или качественные уровни риска. Элементы теории принятия решений позволяют применять для вычисления значения риска безопасности более сложные алгоритмы обработки результатов работы группы экспертов.
В процессе проведения аудита безопасности могут использоваться специализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных и расчёта значений рисков. Примерами таких комплексов являются «Гриф» и «Кондор» (компании «Digital Security»), а также «АванГард» (Института Системного Анализа РАН).
Стандарты важны
Для управления ИТ-услугами существует ряд стандартов и рекомендаций, наиболее популярными из которых являются библиотека
ITIL
, методика
COBIT
, стандарты
ИСО 20000
по менеджменту ИТ-сервисов. Жизненный цикл процесса создания автоматизированной системы регламентирован
ГОСТ 34.601-90
. Каждая стадия создания
АСУ
и перечень документов, фиксирующих результаты работ, сформулированы в
ГОСТ 34.201-89
. ИТ-процессы целесообразно реализовывать в соответствии с требованиями стандартов, так как они разрабатываются с целью упорядочения и унификации деятельности.
Например,
ГОСТ 34.603-92
регламентирует опытную эксплуатацию АСУ
Но даже на стадии внедрения АСУ не все организации уделяют должное внимание опытной эксплуатации, что потом может негативно сказаться на качестве функционирования систем в ходе постоянной эксплуатации. Не говоря о других нормативных требованиях к ИТ, соблюдение которых позволит повысить управляемость ИТ и снизит затраты.
Международный стандарт ISO 27001
Иногда можно услышать о прохождении тем или иным банком аудита на соответствие требованиям международного стандарта «ISO/IEC 27001:2005» (его полный российский аналог — «ГОСТ Р ИСО/МЭК 27001-2006 — Информационная технология — Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности — Требования»). По сути, данный стандарт — это набор лучших практик по управлению информационной безопасностью в крупных организациях (небольшие организации, в том числе и банки, не всегда в состоянии выполнить требования этого стандарта в полном объеме). Как и любой стандарт в России, ISO 27001 — сугубо добровольный документ, принимать который или не принимать решает каждый банк самостоятельно. Но ISO 27001 является стандартом де-факто по всему миру, и специалисты многих стран используют этот стандарт как некий универсальный язык, которым следует руководствоваться, занимаясь информационной безопасностью.
С ISO 27001 связаны и несколько не самых очевидных и не часто упоминаемых моментов
Однако с ISO 27001 связаны и несколько не самых очевидных и не часто упоминаемых моментов. Во-первых, аудиту по данному стандарту подлежит не вся система обеспечения информационной безопасности банка, а только одна или несколько из ее составных частей. Например, система защиты ДБО, система защиты головного офиса банка или система защиты процесса управления персоналом. Иными словами, получение сертификата соответствия на один из оцениваемых в рамках аудита процессов не дает гарантии, что остальные процессы находятся в таком же близком к идеальному состоянию. Второй момент связан с тем, что ISO 27001 является стандартом универсальным, то есть применимым к любой организации, а значит, не учитывающим специфику той или иной отрасли. Это привело к тому, что в рамках международной организации по стандартизации ISO уже давно ведутся разговоры о создании стандарта ISO 27015, который является переложением ISO 27001/27002 на финансовую отрасль. В разработке этого стандарта активное участие принимает и Банк России. Однако Visa и MasterCard против проекта этого стандарта, который уже разработан. Первая считает, что проект стандарта содержит слишком мало нужной для финансовой отрасли информации (например, по платежным системам), а если ее туда добавить, то стандарт надо переносить в другой комитет ISO. MasterCard также предлагает прекратить разработку ISO 27015, но мотивация другая — мол, в финансовой отрасли и так полно регулирующих тему информационной безопасности документов
В-третьих, необходимо обращать внимание, что многие предложения, встречающиеся на российском рынке, говорят не об аудите соответствия, а о подготовке к аудиту. Дело в том, что право проводить сертификацию соответствия требованиям ISO 27001 имеет всего несколько организаций в мире
Интеграторы же всего лишь помогают компаниям выполнить требования стандарта, которые затем будут проверены официальными аудиторами (их еще называют регистраторами, органами по сертификации и т.д.). Пока продолжаются споры о том, внедрять банкам ISO 27001 или нет, отдельные смельчаки идут на это и проходят 3 стадии аудита соответствия:
- Предварительное неформальное изучение аудитором основных документов (как на территории заказчика аудита, так и вне нее).
- Формальный и более глубокий аудит внедренных защитных мер, оценка их эффективности и изучение разработанных необходимых документов. Этим этапом обычно заканчивается подтверждение соответствия, и аудитор выдает соответствующий сертификат, признаваемый во всем мире.
- Ежегодное выполнение инспекционного аудита для подтверждения ранее полученного сертификата соответствия.
Кому же нужен ISO 27001 в России? Если рассматривать этот стандарт не только как набор лучших практик, которые можно внедрять и без прохождения аудита, но и как процесс сертификации, знаменующий собой подтверждение соответствия банка международным признанным требованиям по безопасности, то ISO 27001 имеет смысл внедрять либо банкам, входящим в международные банковские группы, где ISO 27001 является стандартом, либо банкам, планирующим выход на международную арену. В остальных случаях аудит соответствия ISO 27001 и получение сертификата, на мой взгляд, не нужно. Но только для банка и только в России. А все потому, что у нас есть свои стандарты, построенные на базе ISO 27001.
Де-факто инспекционные проверки Банка России проводились до недавнего времени именно в соответствии с требованиями СТО БР ИББС