"Стандарты аудита информационной безопасности в России" (23.10.22)
Аудит информационной безопасности
Аудит системы безопасности - это комплекс мероприятий по выявлению, анализу и оценке угроз информационной безопасности инфраструктуры предприятия.
Основные цели аудита информационной безопасности заключаются в: ● оценка состава ключевых внутренних нормативных документов (ВНД) на предмет соответствия требованиям регулятора; ● выявлении слабых мест в системе обеспечения информационной безопасности; ● оценка уровня защищенности информационных систем.
Стандарты аудита информационной безопасности для банков
1. Комплекс стандартов Банка России СТО БР ИББС-1
Финансовые организации и банки в частности реализуют один из наивысших уровней обеспечения информационной безопасности, поэтому Банк России, как основной банковский регулятор, разработал для этих организаций Стандарт Банка России СТО БР ИББС-1. Данный стандарт в комплексе всех документов, входящих в него, регламентирует ряд наиболее значимых вопросов в сфере информационной безопасности банковских организаций:
● СТО БР ИББС-1.0-2014. «Общие положения (5 редакция)». ● СТО БР ИББС-1.1-2007. «Аудит информационной безопасности». ● СТО БР ИББС-1.2-2014. «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014 (4 редакция)». ● СТО БР ИББС-1.3-2016 «Сбор и анализ технических данных при выявлении и расследовании инцидентов информационной безопасности при осуществлении переводов денежных средств». ● СТО БР ИББС-1.4-2018 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге». ● СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации».
С точки зрения СТО БР ИББС-1.1-2007. «Аудит информационной безопасности» основными целями аудита ИБ организаций являются: ● Повышение доверия к банку. ● Оценка соответствия ИБ банковской организации критериям аудита ИБ, установленным согласно требованиям Банка России.
2. Национальный стандарт информационной безопасности для финансовых организаций ГОСТ Р 57580.1
Наиболее значимым для всех финансовых организаций являются национальные стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 также разработанные Банком России.
Именно на этот документ ссылаются основные Положения Банка России, которые и устанавливают к отдельным видам финансовых организаций требования, соответствующие специфике деятельности той или иной организации:
● Положении Банка России от 17.04.2019 N 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента». ● Положение Банка России от 04.06.2020 N 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». ● Положение Банка России от 20.04.2021 г. № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций». ● Положение Банка России от 23.12.2020 г. N 747-П «О требованиях к защите информации в платежной системе Банка России».
ГОСТ Р 57580.1 определяет три уровня ЗИ: минимальный, стандартный и усиленный. Они отличаются друг от друга набором защитных мер, которые финансовая организация должна применять.
Международные стандарты аудита информационной безопасности
Наиболее распространенным в России международным стандартом аудита информационной безопасности является ISO/IEC 27001:
В стандарте собраны описания лучших мировых практик в области управления информационной безопасностью.
Также ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.
Стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности.
Данный стандарт применяется организациями в добровольном порядке. Если для финансовых организаций существует национальный стандарт ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018, оценка соответствия которым является обязательной для кредитных и некредитных финансовых организаций (как минимум необходимо определять необходимость применения к организации того или иного уровня защиты информации от минимального до максимального), то для других организаций подобных единых стандартов не существует. Стандарт ISO/IEC 27001 применим с точки зрения базовых потребностей обеспечения информационной безопасности и оценки качества реализации мер обеспечения информационной безопасности любыми организациями.