Аудит информационной безопасности как системный процесс сбора достоверных данных о состоянии ИТ инфраструктуры финансовой организации тесно связан с оценкой соответствия по 382-П Банка России. Регулятор законодательно закрепил все кредитные, банковские, финансовые, клиринговые другие организации, осуществляющие платежи, проводить оценку не реже 1 раза каждые 2 года. При этом к проведению должна привлекаться независимая компания, имеющая лицензию.
Этапы оценки соответствия по 382-П
Сегодня достаточно большое количество компаний предлагает провести независимую оценку соответствия положениям Банка России. Учитывая, что сам регулятор указал в положении около 170 параметров для оценки соответствия, к независимым аудиторам предъявляются повышенные требования. Они должны подходить к оценке не только формально, но и с учетом современных трендов, технологий и применения лучших мировых практик. Такой подход позволяет соответствовать постоянно растущим требованиям регулятора.
Оценка 382-П включает, как правило, следующие этапы:
-
детальную оценку организационной документации заказчика, политик и положений о работе компании;
-
обследование информационных систем, задействованных в финансовых переводах;
-
проверку соблюдения компанией требуемых мер защиты информации;
-
опросы, интервью с сотрудниками на предмет практической реализации задекларированных в документах мер защиты;
-
составление списка мер и рекомендаций по улучшению информационной безопасности бизнеса;
-
общее заключение на предмет соответствия 382 положению Банка России;
-
подготовка итогового ответа в форме, установленной Положением.
В ходе аудита заполняется ряд форм, которые при необходимости могут быть предоставлены регулятору. В зависимости от размера и специфики деятельности компании вся процедура может быть разделена на предварительный и итоговый аудиты.
Требования Положения 382-П
Основные направления информационной безопасности, которые контролирует положение Банка России связано с проведением денежных переводов. Требования предъявляются к следующим аспектам:
-
общая практика и процесс совершенствования ИБ;
-
управление возникающими и возможными инцидентами в системе;
-
работа в области повышения осведомленности всех вовлеченных сотрудников в части безопасности;
-
реализация доступа ко всем объектам информационной инфраструктуры;
-
использование криптографических механизмов защиты;
-
организационная структура и управление обеспечением безопасности, функционал отделов и служб;
-
методы и инструменты защиты информации при использовании сети Интернет;
-
защита от вредоносного ПО.
Сроки проведения аудита 382-П
Продолжительность проверки стоит обязательно учитывать для соблюдения требований Банка России. В зависимости от масштабов организации и отраслевой специфики сроки могут вырастать до 2-3 месяцев. При серьезной оценке, включающей предварительный и выездной этапы, такой срок оптимален. Он позволяет тщательно проанализировать существующий уровень информационной безопасности, качественно устранить выявленные недостатки, подготовить итоговый отчет.
Проведение оценки соответствия положению 382-П Банка России проводится сертифицированными специалистами независимой компании. Для достижения максимально эффективного результата часто аудиторы разбивают процесс на предварительный и итоговый этапы. Для крупных организаций, осуществляющих финансовые переводы срок работы аудиторов может составлять до 2-3 месяцев. По итогам работы предоставляются заказчику документы установленного регулятором вида и рекомендации по повышению информационной безопасности.