Auditul securității informațiilor nu numai că poate oferi băncii dreptul de a pune în aplicare anumite tipuri de activități, dar și de a arăta deficiențe în sistemele băncii. Prin urmare, este necesar să se abordeze în mod echilibrat decizia privind desfășurarea și selectarea formularului de audit
Un audit al securității informațiilor se efectuează fie în scopul verificării implementării actelor normative, fie în scopul verificării valabilității și securității deciziilor aplicate
Dar, indiferent de termenul folosit, de fapt, auditul securității informațiilor se desfășoară fie în scopul verificării punerii în aplicare a actelor normative, fie în scopul verificării valabilității și securității deciziilor aplicate. În cel de-al doilea caz, auditul este voluntar, iar decizia de ao conduce este luată de organizația însăși. În primul caz, este imposibil să se refuze efectuarea unui audit, deoarece aceasta presupune o încălcare a cerințelor stabilite de normele de reglementare, ceea ce duce la pedepsirea sub formă de amendă, suspendarea activităților sau alte forme de pedeapsă.
În cazul auditului obligatoriu se poate face fie de către organizația în sine, de exemplu, sub forma de sine (deși în acest caz, deja nu vorbim despre „independența“ și termenul „audit“ este folosit aici nu este destul de corect), și organizații externe independente - auditori. A treia opțiune pentru efectuarea auditului obligatoriu este controlul efectuat de organismele de reglementare autorizate să desfășoare activități de supraveghere adecvate. Această opțiune este adesea numită nu un audit, ci un control de inspecție.
Deoarece un audit voluntar poate fi efectuat din orice motiv (pentru verificarea securității sistemului RB, monitorizarea activelor băncii achiziționate, verificarea sucursalei nou deschise etc.), nu vom lua în considerare această opțiune. În acest caz, este imposibil să se delimiteze clar limitele sale, să se descrie formele sale de raportare și nici să se vorbească despre regularitate - toate acestea se stabilesc prin acord între auditor și societatea audiată. Prin urmare, luați în considerare numai formele de audit obligatoriu, inerente băncilor.
Standardul internațional ISO 27001
Cu ISO 27001 există câteva momente care nu sunt foarte evidente și nu sunt adesea menționate
Cu toate acestea, cu ISO 27001 există mai multe momente care nu sunt atât de evidente și nu sunt adesea menționate. În primul rând, nu întregul sistem de securitate a informațiilor al băncii este supus auditului în conformitate cu acest standard, ci doar unul sau mai multe dintre componentele acestuia. De exemplu, sistemul de protecție a RBS, sistemul de protecție a sediului central al băncii sau sistemul de protecție a procesului de gestiune a personalului. Cu alte cuvinte, obținerea unui certificat de conformitate pentru unul dintre procesele evaluate în procesul de audit nu garantează faptul că procesele rămase sunt în aceeași situație apropiată de starea ideală. Cel de-al doilea punct este legat de faptul că ISO 27001 este un standard universal, adică aplicabil oricărei organizații și, prin urmare, nu ține cont de specificul acestei industrii. Acest lucru a condus la faptul că, în cadrul organizației internaționale de standardizare ISO, sa discutat mult despre crearea standardului ISO 27015, care este transformarea ISO 27001/27002 în industria financiară. În dezvoltarea acestui standard, Banca Rusiei participă activ. Cu toate acestea, Visa și MasterCard sunt împotriva proiectului acestui standard, care a fost deja dezvoltat. Primul consideră că proiectul de standard conține prea puține informații pentru sectorul financiar (de exemplu, pentru sistemele de plăți), iar dacă se adaugă acolo, standardul ar trebui transferat unui alt comitet ISO. MasterCard propune, de asemenea, stoparea dezvoltării standardului ISO 27015, dar motivația este o alta - spun ei, în industria financiară și reglementând astfel pe deplin subiectul securității informațiilor în documente. În al treilea rând, este necesar să se acorde atenție faptului că multe dintre propunerile de pe piața rusă nu vorbesc despre conformitatea cu auditul, ci despre pregătirea pentru un audit. Faptul este că dreptul de a certifica conformitatea cu cerințele ISO 27001 are doar câteva organizații din lume. Integratorii ajută companiile să îndeplinească cerințele standardului, care apoi vor fi verificate de către auditorii oficiale (se numesc și registratori, organisme de certificare etc.).
În timp ce litigiile continuă cu privire la implementarea sau nu a băncilor ISO 27001, unele suflete curajoase merg pentru aceasta și trec prin cele 3 etape ale auditului de conformitate:
- Examinarea preliminară non-formală de către auditor a documentelor principale (atât pe teritoriul clientului de audit, cât și în afara acestuia).
- Auditul formal și aprofundat al măsurilor de protecție implementate, evaluarea eficienței acestora și studierea documentelor necesare. Această etapă se termină de obicei cu o confirmare a conformității, iar auditorul emite un certificat corespunzător, recunoscut în întreaga lume.
- Performanța anuală a auditului de inspecție pentru confirmarea certificatului de conformitate obținut anterior.
Cine are nevoie de ISO 27001 în Rusia? Dacă luăm în considerare acest standard, nu numai ca un set de bune practici care pot fi puse în aplicare fără a trece de audit, dar, de asemenea, ca un proces de certificare, ceea ce înseamnă confirmarea conformității cu cerințele de siguranță recunoscute pe plan internațional ale băncii, ISO 27001 are sens să se introducă o bancă în cadrul grupului bancar internațional , unde standardul ISO 27001 este standardul sau băncilor care intenționează să intre pe arena internațională. În alte cazuri, în opinia mea, auditul conformității cu ISO 27001 și primirea unui certificat nu este necesar. Dar numai pentru bancă și numai în Rusia. Și toate pentru că avem propriile noastre standarde construite pe baza ISO 27001.
Verificările de facto ale Băncii Rusiei au fost efectuate până în prezent, în conformitate cu cerințele SRT BR IBBS
Un set de documente ale Băncii Rusiei SRT BR IBBS
Este deja clar că actele legislative privind SEN necesită o evaluare obligatorie a conformității, adică un audit
Legislație privind sistemul național de plăți
Standardul de securitate pentru cardurile de plată PCI DSS
Payment Card Industry Standard de securitate a datelor (PCI DSS) - securitatea standardelor de siguranță standard de plată a datelor de card elaborat de Consiliul Payment Card Industry (Payment Card Industry Security Standards Council, PCI SSC), care a fost stabilit de către sistemul internațional de plăți Visa, MasterCard, American Express, JCB și Discover. PCI DSS este un set de 12 la nivel înalt și peste 200 de cerințe detaliate pentru datele de siguranță de pe titularul cardului, care este transmis, stocate și procesate în organizațiile sistemelor informatice.
Cerințele standardului se aplică tuturor companiilor care lucrează cu sistemele de plăți internaționale Visa și MasterCard. În funcție de numărul de tranzacții care sunt procesate, fiecare companie are un anumit nivel cu un set corespunzător de cerințe pe care aceste companii trebuie să le îndeplinească. Aceste niveluri diferă în funcție de sistemul de plăți.
Transmiterea cu succes a auditului nu înseamnă că securitatea este în regulă cu banca - există multe trucuri care permit organizației auditate să ascundă unele deficiențe în sistemul său de securitate
Pentru a verifica conformitatea cu cerințele PCI DSS se realizează în cadrul cerințelor de certificare obligatorii care diferă în funcție de tipul societății auditate - întreprinderi comerciale și de servicii care acceptă carduri de plată pentru plata de bunuri și servicii, sau un furnizor de servicii, furnizarea de servicii și întreprinderi de comerț-servicii, bănci cu cumpărătorii, emitenții etc. (centre de procesare, gateway-uri de plată etc.). O astfel de evaluare poate fi efectuată în diferite forme:
- audituri anuale cu ajutorul companiilor acreditate care au calitatea de evaluatori de securitate calificați (QSA);
- autoevaluarea anuală;
- scanarea trimestrială a rețelelor utilizând organizații autorizate care au statutul de Furnizor de scanare aprobat (ASV).
Legislația privind datele cu caracter personal
Dispoziții finale
Cele de mai sus sunt principalele acte de reglementare în domeniul securității informațiilor legate de instituțiile de credit. Aceste instrumente sunt multe, și fiecare stabilește propriile sale cerințe pentru evaluarea conformității într-o formă sau alta - de auto-evaluare sub formă de completare a chestionarelor (PCI DSS), înainte de a trece auditul obligatoriu la fiecare doi ani (382-P) sau o dată pe an (ISO 27001). Între cele mai comune forme de evaluare a conformității există și altele - notificări ale operatorului sistemului de plăți, scanări trimestriale etc.
STANDARDE DE AUDIT AL SECURITĂȚII INFORMAȚIILOR
În asemenea condiții, din păcate, trebuie să recunoaștem că scopul principal al auditului securității informațiilor al băncii este de a spori încrederea în activitățile sale - în Rusia este imposibil de atins. Avem puțini dintre clienții băncii care acordă atenție nivelului său de securitate sau rezultatelor auditului efectuat în bancă. Prin audit, vom căuta fie în cazul unui incident foarte grav care a dus la aplicarea unor pagube materiale grave la banca (sau acționarii și proprietarii acestora), sau în cazul cerințelor legale, care au fost prezentate mai sus, o mulțime. Și pentru următoarele șase luni, cerința nr. 1, pentru care merită acordată atenție auditului de securitate, este poziția Băncii Rusiei 382-P. Deja există precedente pentru prima solicitare de la birourile teritoriale ale datelor Băncii Centrale privind nivelul de securitate al băncilor și care îndeplinesc cerințele de 382-P, iar aceste informații sunt obținute în urma unui audit extern sau de auto-evaluare. În al doilea rând, aș verifica îndeplinirea cerințelor legii "Cu privire la datele cu caracter personal". Dar, pentru a efectua un astfel de audit nu trebuie să aibă loc până în primăvară, când au lansat toate documentele FSTEC FSB promis și atunci când devine clar soarta STO BR IBBS. În același timp, va fi posibilă ridicarea problemei auditării conformității cu cerințele SRT BR IBBS. A devenit deja clar, nu numai viitorul complex al Băncii documentelor Rusia, dar, de asemenea, statutul său în raport cu o structură similară, dar încă excelent 382-P, precum și să fie în continuare STO BR IBBS acopere problemele legate de protecția datelor cu caracter personal.
trecerea cu succes a auditului nu înseamnă că situația de securitate în bancă bine - există multe trucuri care permit organizației auditate pentru a ascunde unele defecte în sistemul său de apărare. Da, și multe depind de calificarea și independența auditorilor. Experiența ultimilor ani arată că, chiar și în organizațiile care au trecut cu succes auditul de conformitate cu standardele PCI DSS, ISO 27001 sau STO BR IBBS, există incidente și incidente grave.