Аудит ИБ финансовых организаций

В последнее время появился ряд сообщений о том, что Банк России озабочен вопросом повышения качества сторонних оценок уровня обеспечения информационной безопасности (ИБ) финансовых организаций, в первую очередь в части «белых хакеров» ( ссылка , ссылка ).
При этом стоит отметить, что значительный пул оценок соответствия в первую очередь проводится в формате внешнего аудита ИБ финансовых организаций:
- «Оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию …» (683-П);
- «Оценка определенного уровня защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию …» (684-П);
- «Оценка соответствия должна осуществляться оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры с привлечением организаций, имеющих лицензию …» (382-П).

По этому вопросу 23 октября на базе АИС и АБИСС прошла встреча-дискуссия представителей Банка России и аудиторов ИБ финансовых организаций, соответственно я представлял последних.
Мероприятие не было публичным, поэтому активно не обсуждается и не освещается. В связи с этим я хотел бы поделиться рядом интересных моментов.
Во-первых, Банк России отметил, что уход от самооценок обусловлен их низким качеством, при этом просто декларации «внешней оценки» на текущий момент недостаточно, т.к. вопрос качества проведенной оценки «Компанией-аудитором А» и «Компанией-аудитором Б» имеет место быть. И Банк России не ставит себе цели перепроверять эти оценки, а хочет обеспечить условия для гарантированного доверия этим оценкам как финансовой организации, так и Банку России.
На этот счет звучали со стороны отрасли различные предложения от ограничения рынка «базовым прайсом» до «сертификации компаний/аудиторов», а также формирования «единой базы знаний аудиторов».
Безусловно, серьезной проблемой в этом вопросе выступает то, что компании-аудиторы (лицензиаты ФСТЭК России) не имеют никакого отношения в части подчиненности Банку России, и Банк России не готов их принять «под контроль» в этом вопросе.
Как следствие, речь как всегда пойдет о самоорганизации отрасли …
Есть позитивный опыт в части PCI DSS – Совет по стандартам безопасности данных индустрии платежных карт, но трансляция этого опыта в Россию требует проработки. «Кем?», «когда?», «как?» - вопросы, на которые не только нет ответов, они даже никому явно не заданы.

Что я бы хотел отметить со своей стороны:
1. Аудит ИБ финансовых организаций – это не:
   - Тестирование на проникновение (pentest);
   - Измерение (measurement);
   - Обследование (survey);
   - Аттестация объектов информатизации.
Хотя первые три элемента могут быть частью аудита ИБ, но не заменяют его.
Как следствие, как всегда нужно начать с терминологии (да, да, уже слышу недовольство читателей), желательно не вводить новых терминов и определений (как это было, например, с ГОСТ Р 57580 – ссылка ).
2. Не стоит «изобретать велосипед», уже есть немало подходов к аудиту и аудиту ИБ/ИТ:
   - ISO 19011:2018;
   - ISO/IEC 27007:2017;
   - СТО БР ИББС-1.1-2007;
   - Global Technology Audit Guide (GTAC) Information Security Governance;
   - Information Technology Assurance Framework (ITAF) for IS Audit,
лучше оттолкнуться от них.
3. Не стоит уходить в вопрос высокоуровневых методологий и принципов, уже не раз это было введено:
   - Целостность (integrity);
   - Беспристрастность (fair presentation);
   - Профессиональная осмотрительность (due professional care);
   - Конфиденциальность (confidentiality);
   - Независимость (independence);
   - Подход, основанный на свидетельстве (evidence-based approach);
   - Риск-ориентированный подход (risk-based approach).
4. «А о чем тогда нужно говорить?», скажите Вы. Я считаю (и это было озвучено мною как предложение коллегам и представителям Банка России), что сейчас у нас достаточно много об аудите ИБ в общем, и нет ничего об оценке в контексте, первое – в контексте ГОСТ Р 57580 (начиная от прочтения и понимания требований стандарта, закачивания форматом получаемого свидетельства), а второе – в контексте финансовой организации (для банка – это одна область охвата и специфика, для страховщика – другая, для депозитария – третья и т.д.).

В заключении я хотел бы поблагодарить коллег из Банка России за уделенное нам время и отдельно АИС и АБИСС за данное мероприятие, т.к. это действительно уникальная возможность.

Успехов при проведении аудитов и аудиторам, и проверяемым организациям!