Аудит на соответствие требованиям Стандарта Банка России

Мировая практика в области обеспечения ИБ определяет контроль эффективности ИБ как важнейший процесс в непрерывном цикле процессов менеджмента ИБ организации (в соответствии с «Циклом Демминга», PDCA). Стандарт Банка России СТО БР ИББС-1.0, учитывающий как российский, так и международный опыт построения систем защиты информации, содержит требования о периодическом выполнении деятельности по самооценке соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0 (самооценка ИБ) и проведению внешней оценки соответствия требованиям СТО БР ИББС-1.0 (аудитов ИБ), целью которых является обеспечение достаточной уверенности в том, что СОИБ, включая защитные меры, функционирует надлежащим образом и адекватна существующим угрозам ИБ, а также внутренним и (или) внешним условиям функционирования организации БС РФ, связанным с ИБ.

Наши специалисты компании «Лаборатория ВС» обладают сертификатами аудиторов информационной безопасности организаций БС РФ, а также необходимым опытом проведения аудитов на соответствие требованиям СТО БР ИББС, законодательства РФ и международных стандартов в области информационной безопасности.

«Лаборатория ВС» предлагает следующие услуги

  • проведение предпроектного обследования на начальном этапе внедрения СТО БР ИББС-1.0 в виде «экспресс-оценки»;
  • проведение внешней оценки соответствия (аудита ИБ) требованиям СТО БР ИББС-1.0;
  • сопровождение самооценок ИБ.

«Экспресс-оценка»

«Экспресс-оценка» проводится на начальном этапе внедрения СТО БР ИББС-1.0 в случае, если СОИБ организации БС РФ находится в процессе становления и подразумевает меньшую глубину анализа, трудозатраты и стоимость проведения. Результаты «экспресс-оценки» используются в процессе разработки концепции ИБ на дальнейших этапах внедрения СТО БР ИББС-1.0 и позволяют определить приоритетные мероприятия, направленные на развитие СОИБ и оценить затраты на их реализацию.

По результатам «экспресс-оценки» формируется заключение, содержащее актуальную информацию о текущем состоянии СОИБ организации БС РФ и планы приоритетных и перспективных мероприятий по внедрению СТО БР ИББС-1.0 и созданию/модернизации СОИБ.

Внешняя оценка соответствия

В процессе проведения внешней оценки соответствия осуществляется сбор и анализ информации о текущем состоянии СОИБ организации БС РФ: изучение разработанных документов (частных политик, регламентов, инструкций и пр.) в области информационной безопасности, интервьюирование работников кредитной организации и сбор свидетельств аудита, в том числе конфигураций оборудования, обеспечивающего функционирование различных подсистем защиты информации.

Внешняя оценка соответствия требованиям СТО БР ИББС-1.0 проводится в полном соответствии с СТО БР ИББС-1.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» и СТО БР ИББС-1.2 «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх» и с соблюдением требований по раздельному анализу реализованных мероприятий по обеспечению ИБ банковских информационных и платежных технологических процессов Банка, а также процессов, связанных с обработкой персональных данных.

Анализ реализованных в организации БС РФ мер по защите информации осуществляется с учетом лучших практик, международных стандартов, рекомендаций производителей оборудования и программного обеспечения в области информационной безопасности.

По результатам внешней оценки соответствия формируется подробный отчет, содержащий:

  • наиболее полную, объективную и актуальную информацию о текущем состоянии СОИБ организации БС РФ;
  • детальный анализ выполнения отдельных требований СТО БР ИББС-1.0 на основе собранных свидетельств аудита;
  • свидетельства аудита, повлиявшие на результат оценки частных показателей;
  • оценку соответствия требованиям СТО БР ИББС-1.0;
  • рекомендации по модернизации СОИБ и повышению уровня соответствия требованиям СТО БР ИББС-1.0.

Результаты внешней оценки соответствия могут быть использованы в процессе подготовки отчетности в Банк России и Операторам платежных систем о реализации обязательных требований к защите информации при осуществлении переводов денежных средств в силу соответствия частных показателей СТО БР ИББС-1.0-2014 и требований Положения Банка России от 09.06.2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Сопровождение самооценки ИБ

В ходе сопровождения самооценок ИБ работниками «Лаборатории ВС» предоставляется консультативная и методическая помощь в процессе проведения организацией БС РФ самооценки соответствия ИБ, разработки программы проведения самооценки, сбора и анализа свидетельств аудита, выставления оценок и формирования отчетности в Банк России, что позволяет избежать ошибок и получить объективную информацию о текущем уровне ИБ.