Аудит інформаційної безпеки: який, кому, навіщо?

1. Міжнародний стандарт ISO 27001
2. Комплекс документів Банку Росії СТО БР Іббсе
3. Законодавство про національну платіжну систему
4. Стандарт безпеки платіжних карт PCI DSS
5. Законодавство про персональні дані
6. ЗАКЛЮЧНІ ПОЛОЖЕННЯ
7. СТАНДАРТИ АУДИТУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Згідно з Федеральним законом від 30.12.2008 №307-ФЗ «Про аудиторську діяльність», аудит - це «незалежна перевірка бухгалтерської (фінансової) звітності аудируемого особи з метою висловлення думки про достовірність такої звітності». До інформаційної безпеки цей термін, згаданий у цьому законі, відношення не має. Однак так уже склалося, що фахівці з інформаційної безпеки досить активно його використовують в своїй промові. В цьому випадку під аудитом розуміється процес незалежної оцінки діяльності організації, системи, процесу, проекту або продукту. У той же час треба розуміти, що в різних вітчизняних нормативних актах термін «аудит інформаційної безпеки» застосовується не завжди - його часто замінюють або термін «оцінка відповідності», або трохи застарілий, але все ще вживається термін «атестація». Іноді ще застосовується термін «сертифікація», але стосовно до міжнародних закордонним нормативним актам.

Аудит інформаційної безпеки проводиться або з метою перевірки виконання нормативних актів, або з метою перевірки обґрунтованості і захищеності застосовуються решени

Але який би термін не використовувався по суті, аудит інформаційної безпеки проводиться або з метою перевірки виконання нормативних актів, або з метою перевірки обґрунтованості і захищеності застосовуваних рішень. У другому випадку аудит носить добровільний характер, і рішення про його проведення приймається самою організацією. У першому ж випадку відмовитися від проведення аудиту неможливо, та як це тягне за собою порушення встановлених нормативними актами вимог, що призводить до покарання у вигляді штрафу, призупинення діяльності або іншим формам покарання.
У разі обов'язковості аудиту він може проводитися як самою організацією, наприклад, у формі самооцінки (правда, в цьому випадку про «незалежність» вже не йдеться і термін «аудит» застосовувати тут не зовсім правильно), так і зовнішніми незалежними організаціями - аудиторами. Третій варіант проведення обов'язкового аудиту - контроль з боку регулюючих органів, наділених правом здійснювати відповідні наглядові заходи. Цей варіант частіше називається не аудитом, а інспекційною перевіркою.
Так як добровільний аудит може проводитися абсолютно з будь-якого приводу (для перевірки захищеності системи ДБО, контролю активів придбаного банку, перевірки знову відкривається філії і т.п.), то даний варіант розглядати не будемо. У цьому випадку неможливо ні чітко окреслити його межі, ні описати форми його звітності, ні говорити про регулярність - все це вирішується договором між аудитором і об'єкт аудиту. Тому розглянемо лише форми обов'язкового аудиту, властиві саме банкам.

Міжнародний стандарт ISO 27001

Іноді можна почути про проходження тим чи іншим банком аудиту на відповідність вимогам міжнародного стандарту «ISO / IEC 27001: 2005» (його повний російський аналог - «ДСТУ ISO / IEC 27001-2006 - Інформаційна технологія - Методи і засоби забезпечення безпеки. Системи менеджменту інформаційної безпеки - Вимоги »). По суті, даний стандарт - це набір кращих практик з управління інформаційною безпекою в великих організаціях (невеликі організації, в тому числі і банки, не завжди в змозі виконати вимоги цього стандарту в повному обсязі).
Як і будь-який стандарт в Росії, ISO 27001 - суто добровільний документ, приймати який чи не приймати вирішує кожен банк самостійно. Але ISO 27001 є стандартом де-факто по всьому світу, і фахівці багатьох країн використовують цей стандарт як якийсь універсальний мова, якою слід керуватися, займаючись інформаційною безпекою.

З ISO 27001 пов'язані і кілька не самих очевидних і не часто згадуваних моментів

Однак з ISO 27001 пов'язані і кілька не самих очевидних і не часто згадуваних моментів. По-перше, аудиту з даного стандарту підлягає не вся система забезпечення інформаційної безпеки банку, а тільки одна або декілька з її складових частин. Наприклад, система захисту ДБО, система захисту головного офісу банку або система захисту процесу управління персоналом. Іншими словами, отримання сертифікату відповідності на один з оцінюваних в рамках аудиту процесів не дає гарантії, що інші процеси знаходяться в такому ж близькому до ідеального стану. Другий момент пов'язаний з тим, що ISO 27001 є стандартом універсальним, тобто придатним до будь-якої організації, а значить, не враховує специфіку тієї чи іншої галузі. Це призвело до того, що в рамках міжнародної організації по стандартизації ISO вже давно ведуться розмови про створення стандарту ISO 27015, який є перекладанням ISO 27001/27002 на фінансову галузь. У розробці цього стандарту активну участь бере і Банк Росії. Однак Visa і MasterCard проти проекту цього стандарту, який вже розроблений. Перша вважає, що проект стандарту містить занадто мало потрібної для фінансової галузі інформації (наприклад, по платіжним системам), а якщо її туди додати, то стандарт треба переносити в інший комітет ISO. MasterCard також пропонує припинити розробку ISO 27015, але мотивація інша - мовляв, у фінансовій галузі і так повно регулюють тему інформаційної безпеки документів. По-третє, необхідно звертати увагу, що багато пропозицій, що зустрічаються на російському ринку, говорять не про аудит відповідності, а про підготовку до аудиту. Справа в тому, що право проводити сертифікацію відповідності вимогам ISO 27001 має всього кілька організацій в світі. Інтегратори ж всього лише допомагають компаніям виконати вимоги стандарту, які потім будуть перевірені офіційними аудиторами (їх ще називають реєстраторами, органами з сертифікації і т.д.).
Поки тривають суперечки про те, впроваджувати банкам ISO 27001 чи ні, окремі сміливці йдуть на це і проходять 3 стадії аудиту відповідності:

• Попереднє неформальне вивчення аудитором основних документів (як на території замовника аудиту, так і поза нею).
• Формальний і глибший аудит впроваджених захисних заходів, оцінка їх ефективності і вивчення розроблених необхідних документів. Цим етапом зазвичай закінчується підтвердження відповідності, і аудитор видає відповідний сертифікат, який визнають у всьому світі.
• Щорічне виконання інспекційного аудиту для підтвердження раніше отриманого сертифіката відповідності.

Кому ж потрібен ISO 27001 в Росії? Якщо розглядати цей стандарт не тільки як набір кращих практик, які можна впроваджувати і без проходження аудиту, але і як процес сертифікації, що знаменує собою підтвердження відповідності банку міжнародним визнаним вимогам з безпеки, то ISO 27001 має сенс впроваджувати або банкам, що входять в міжнародні банківські групи , де ISO 27001 є стандартом, або банкам, які планують вихід на міжнародну арену. В інших випадках аудит відповідності ISO 27001 та отримання сертифікату, на мій погляд, не потрібно. Але тільки для банку і тільки в Росії. А все тому, що у нас є свої стандарти, побудовані на базі ISO 27001.

Де-факто інспекційні перевірки Банку Росії проводилися до недавнього часу саме відповідно до вимог СТО БР Іббсе

Комплекс документів Банку Росії СТО БР Іббсе

Таким стандартом, а точніше набором стандартів, є комплекс документів Банку Росії, що описує єдиний підхід до побудови системи забезпечення ІБ організацій банківської сфери з урахуванням вимог російського законодавства. В основі даного набору документів (далі СТО БР Іббсе), що містить три стандарти і п'ять рекомендацій по стандартизації, лежить і ISO 27001 та ряд інших міжнародних стандартів з управління інформаційними технологіями та інформаційною безпекою.
Питання аудиту і оцінки відповідності вимогам стандарту, як і для ISO 27001, прописані в окремих документах - «СТО БР Іббсе-1.1-2007. Аудит інформаційної безпеки »,« СТО БР Іббсе-1.2-2010. Методика оцінки відповідності інформаційної безпеки організацій банківської системи Російської Федерації вимогам СТО БР Іббсе-1.0-2010 »і« РС БР Іббсе-2.1-2007. Керівництво по самооцінці відповідності інформаційної безпеки організацій банківської системи Російської Федерації вимогам СТО БР Іббсе-1.0 ».
Під час оцінки відповідності по СТО БР Іббсе перевіряється виконання 423 приватних показників ІБ, згрупованих в 34 групових показника. Результатом оцінки є підсумковий показник, який повинен знаходитися на 4-му або 5-му рівні за п'ятибальною шкалою, встановленої Банком Росії. Це, до речі, дуже сильно відрізняє аудит по СТО БР Іббсе від аудиту по іншим нормативним актам в області ІБ. В СТО БР Іббсе не буває невідповідності, просто рівень відповідності може бути різний: від нуля до п'яти. І тільки рівні вище 4-го вважаються позитивними.
Станом на кінець 2011 року близько 70-75% банків впровадили або знаходяться в процесі впровадження цього набору стандартів. Незважаючи ні на що вони де-юре носять рекомендаційний характер, але де-факто інспекційні перевірки Банку Росії проводилися до недавнього часу саме відповідно до вимог СТО БР Іббсе (хоча явно це ніколи і ніде не звучало).
Ситуація змінилася з 1 липня 2012 року, коли на повну силу вступив закон «Про національну платіжну систему» ​​і розроблені для його виконання нормативні документи Уряду Росії і Банку Росії. З цього моменту питання необхідності проведення аудиту відповідності вимогам СТО БР Іббсе знову встав на порядку денному. Справа в тому, що методика оцінки відповідності, запропонована в рамках законодавства про національну платіжну систему (НПС), і методика оцінки відповідності СТО БР Іббсе можуть дуже сильно розходитися в підсумкових значеннях. При цьому оцінка по першій методиці (для НПС) стала обов'язковою, в той час як оцінка по СТО БР Іббсе як і раніше де-юре має рекомендаційний характер. Та й в самому Банку Росії на момент написання статті ще не було прийнято рішення про подальшу долю цієї оцінки. Якщо раніше всі нитки сходилися до Головного управління безпеки і захисту інформації Банку Росії (ГУБЗІ), то з розподілом повноважень між ГУБЗІ і Департаментом регулювання розрахунків (LHH) питання поки залишається відкритим.

Вже зараз ясно, що законодавчі акти про НПС вимагають обов'язкової оцінки відповідності, тобто аудиту

Законодавство про національну платіжну систему

Законодавство про НПС знаходиться тільки на зорі свого становлення, і нас чекає чимало нових документів, в тому числі і з питань забезпечення інформаційної безпеки. Але вже зараз ясно, що випущене і затверджене 9-го червня 2012 року ПОЛОЖЕННЯ 382-П «Про вимоги до забезпечення захисту інформації при здійсненні переказів грошових коштів і про порядок здійснення Банком Росії контролю за дотриманням вимог до забезпечення захисту інформації при здійсненні переказів грошових коштів »вимагає в п.2.15 обов'язкової оцінки відповідності, тобто аудиту. Така оцінка здійснюється або самостійно, або із залученням сторонніх організацій. Як уже сказано вище, що проводиться в рамках 382-П оцінка відповідності схожа за своєю суттю на те, що описано в методиці оцінки відповідності СТО БР Іббсе, але видає зовсім інші результати, що пов'язано з введенням спеціальних коригувальних коефіцієнтів, які і визначають різні результати.
Ніяких особливих вимог до залучаються для аудиту організаціям положення 382-П не встановлює, що вступає в деяке протиріччя з Постановою Уряду від 13 червня 2012 року №584 «Про захист інформації в платіжній системі», яке також вимагає організації і проведення контролю та оцінки виконання вимог до захисту інформації один раз на 2 роки. Однак Постанова Уряду, розроблене ФСТЕК, вимагає, щоб зовнішній аудит проводився тільки організаціями, що має ліцензію на діяльність з технічного захисту конфіденційної інформації.
Додаткові вимоги, які складно віднести до однієї з форм аудиту, але які накладають на банки нові обов'язки, перераховані в розділі 2.16 Положення 382-П. Згідно з цими вимогами оператор платіжних систем зобов'язаний розробити, а банки, які приєдналися до цієї платіжної системи, зобов'язані виконувати, вимоги щодо регулярного звітування оператора платіжної системи про різні питаннях інформаційної безпеки в банку: про виконання вимог щодо захисту інформації, про виявлені інциденти, про проведені самооцінці , про виявлені загрози і вразливості.
Додатково до аудиту, що проводиться на договірній основі, ФЗ-161 про НПС також встановлює, що контроль і нагляд за виконанням вимог, встановлених Кабінетом Міністрів України в 584-м Постанові і Банком Росії в 382-м Положенні, здійснюються ФСБ ФСТЕК і Банком Росії відповідно . На момент написання статті ні ФСТЕК, ні ФСБ не мали розробленого порядку проведення такого нагляду, на відміну від Банку Росії, який випустив Положення 31 травня 2012 року №380-П «Про порядок здійснення спостереження в національну платіжну систему» ​​(для кредитних організацій) і Положення від 9 червня 2012 року №381-П «Про порядок здійснення нагляду за дотриманням які не є кредитними організаціями операторами платіжних систем, операторами послуг платіжної інфраструктури вимог Федерального Закону від 27 червня 2011 року № 161-ФЗ« Про націонал ьной платіжній системі », прийнятих відповідно до нього нормативних актів Банку Росії».
Нормативні акти у сфері захисту інформації в національну платіжну систему знаходяться тільки на початку докладної розробки. З 1 липня 2012 року Банк Росії почав їх апробацію та збір фактів по правозастосовчій практиці. Тому сьогодні передчасно говорити про те, як будуть застосовуватися ці нормативні акти, як буде проводитися нагляд за 380-П, які висновки будуть робитися за підсумками самооцінки, яке проводиться раз на 2 роки і відправляється в Банк Росії.

Стандарт безпеки платіжних карт PCI DSS

Payment Card Industry Data Security Standard (PCI DSS) - стандарт безпеки даних платіжних карт, розроблений Радою за стандартами безпеки індустрії платіжних карт (Payment Card Industry Security Standards Council, PCI SSC), який був заснований міжнародними платіжними системами Visa, MasterCard, American Express, JCB і Discover. Стандарт PCI DSS являє собою сукупність 12 високорівневих і понад 200 детальних вимог щодо забезпечення безпеки даних про власників платіжних карт, які передаються, зберігаються і обробляються в інформаційних системах організацій.

Вимоги стандарту поширюються на всі компанії, що працюють з міжнародними платіжними системами Visa та MasterCard. Залежно від кількості оброблюваних транзакцій, кожної компанії присвоюється певний рівень з відповідним набором вимог, які ці компанії повинні виконувати. Ці рівні відрізняються в залежності від платіжної системи.

Успішне проходження аудиту ще не означає, що з безпекою в банку все добре - існує безліч прийомів, що дозволяють аудиту приховати якісь недоліки у своїй системі захисту

Перевірка виконання вимог стандарту PCI DSS здійснюється в рамках обов'язкової сертифікації, вимоги до якої відрізняються в залежності від типу компанії, що перевіряється - торгово-сервісне підприємство, що приймає платіжні картки за оплату товарів і послуг, або постачальник послуг, який надає послуги торгово-сервісним підприємствам, банкам- еквайєром, емітентам і т.п. (Процесингові центри, платіжні шлюзи і т.п.). Така оцінка може здійснюватися в різних формах:

• щорічні аудиторські Перевірки с помощью акредитований компаний, что ма ють статус Qualified Security Assessors (QSA);
• щорічне проведення самооцінкі;
• Щоквартально сканування мереж с помощью уповноважених ОРГАНІЗАЦІЙ, что ма ють статус Approved Scanning Vendor (ASV).

Законодавство про персональні дані

Останній нормативний документ, Який кож має відношення до банківської индустрии та встановлює вимоги относительно ОЦІНКИ відповідності, - Федеральний закон «Про персональні дані». Однако ні форма такого аудиту, ні его періодічність, ні вимоги до организации, яка проводити такий аудит, поки НЕ Встановлені. Можливо, це питання буде Знято восени 2012 року, коли Вийди чергова Порція документів Уряду РФ, ФСТЕК и ФСБ, что що вводять Нові нормативи у сфері захисту персональних даних. Поки ж банки могут спати спокійно и самостійно візначаті Особливості аудиту вопросам захисту персональних даних.
Контроль і нагляд за виконання організаційніх и технічних ЗАХОДІВ относительно забезпечення безпеки персональних даних, встановлення 19-ю статтю 152-ФЗ, здійснюються ФСБ и ФСТЕК, но только для державних інформаційних систем персональних даних. Контроль КОМЕРЦІЙНИХ ОРГАНІЗАЦІЙ в області забезпечення інформаційної безпеки персональних даних поки Здійснювати за законом нікому. Чого не скажеш про питання захисту прав суб'єктів персональних даних, тобто клієнтів, контрагентів і просто відвідувачів банку. Це завдання взяв на себе Роскомнадзор, який дуже активно здійснює свої наглядові функції і вважає банки одними з злісних порушників закону про персональні дані.

ЗАКЛЮЧНІ ПОЛОЖЕННЯ

Вище розглянуті основні нормативні акти в області інформаційної безпеки, що стосуються кредитних організацій. Цих нормативних актів чимало, і кожен з них встановлює свої вимоги з проведення оцінки відповідності в тій чи іншій формі - від самооцінки у вигляді заповнення опитувальних листів (PCI DSS) до проходження обов'язкового аудиту один раз в два роки (382-П) або один раз в рік (ISO 27001). Між цими найпоширенішими формами оцінки відповідності існують і інші - повідомлення оператора платіжної системи, щоквартальні сканування і т.п.

Варто також пам'ятати і розуміти, що в країні досі відсутня єдина система поглядів не тільки на державне регулювання процесів аудиту інформаційної безпеки організацій і систем інформаційних технологій, а й взагалі саму тему аудиту інформаційної безпеки. У Російській Федерації існує цілий ряд відомств і організацій (ФСТЕК, ФСБ, Банк Росії, Роскомнадзор, PCI SSC і т.п.), відповідальних за інформаційну безпеку. І всі вони діють на підставі своїх власних нормативних документів і посібників. Різні підходи, різні стандарти, різні рівні зрілості ... Все це заважає встановленню єдиних правил гри. Картину псує і поява фірм-одноденок, які в гонитві за прибутком пропонують дуже неякісні послуги в області оцінки відповідності вимогам з інформаційної безпеки. І на краще ситуація навряд чи зміниться. Раз є потреба, то будуть і бажаючі її задовольнити, в той час як на всіх кваліфікованих аудиторів просто не вистачить. При невеликому їх числі (показано в таблиці) і тривалості аудиту від декількох тижнів до декількох місяців очевидно, що потреби в аудиті серйозно перевищують можливості аудиторів.
У так і не прийнятої ФСТЕК «Концепції аудиту інформаційної безпеки систем інформаційних технологій і організацій» була така фраза: «в той же час за відсутності необхідних національних регуляторів така діяльність / за нерегульованим законодавством аудиту з боку приватних фірм / може завдати непоправної шкоди організаціям». На закінчення, автори Концепції пропонували уніфікувати підходи до аудиту і законодавчо встановити правила гри, включаючи правила акредитації аудиторів, вимоги до їх кваліфікації, процедурі проведення аудиту і т.п., але віз і нині там. Хоча, з огляду на ту увагу, яку вітчизняні регулятори в області інформаційної безпеки (а у нас їх 9) приділяють питанням захисту інформації (тільки за минулий календарний рік було прийнято або розроблено 52 нормативних акта з питань інформаційної безпеки - один нормативний акт в тиждень!), не виключаю, що до цієї теми незабаром знову повернуться.

СТАНДАРТИ АУДИТУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

В таких умовах, на жаль, доводиться визнавати, що основна мета аудиту інформаційної безпеки банку - підвищення довіри до його діяльності - в Росії недосяжна. У нас мало хто з клієнтів банку звертає увагу на рівень його безпеки або на результати проведеного в банку аудиту. До аудиту у нас звертаються або в разі виявлення дуже серйозного інциденту, що призвів до нанесення серйозного матеріального збитку банку (або його акціонерам і власникам), або в разі законодавчих вимог, яких у нас, як було показано вище, чимало. І на найближчі півроку вимогою №1, заради якого варто звернути свою увагу на аудит безпеки, є положення Банку Росії 382-П. Уже є перші прецеденти запиту з боку територіальних управлінь ЦБ відомостей про рівень захищеності банків і виконанні вимог 382-П, а виходять ці відомості саме в результаті зовнішнього аудиту або проведеної самооцінки. На друге місце я б поставив аудит виконання вимог закону «Про персональні дані». Але проводити такий аудит коштує не раніше весни, коли будуть випущені всі обіцяні ФСТЕК і ФСБ документи і коли стане зрозуміла доля СТО БР Іббсе. Тоді ж можна буде підняти і питання проведення аудиту відповідності вимогам СТО БР Іббсе. Уже стане зрозумілим не тільки майбутнє комплексу документів Банку Росії, але і його статус по відношенню до схожого, але все-таки відмінному 382-П, а також як і раніше чи буде СТО БР Іббсе покривати питання захисту персональних даних.
Успішне проходження аудиту ще не означає, що з безпекою в банку все добре - існує безліч прийомів, що дозволяють аудиту приховати якісь недоліки у своїй системі захисту. Та й від кваліфікації та незалежності аудиторів залежить дуже багато чого. Досвід минулих років показує, що навіть в організаціях, які успішно пройшли аудит відповідності стандартам PCI DSS, ISO 27001 або СТО БР Іббсе, бувають інциденти, і інциденти серйозні.