При этом стоит отметить, что значительный пул оценок соответствия в первую очередь проводится в формате внешнего аудита ИБ финансовых организаций:
- «Оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию …» (683-П);
- «Оценка определенного уровня защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию …» (684-П);
- «Оценка соответствия должна осуществляться оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры с привлечением организаций, имеющих лицензию …» (382-П).
По этому вопросу 23 октября на базе АИС и АБИСС прошла встреча-дискуссия представителей Банка России и аудиторов ИБ финансовых организаций, соответственно я представлял последних.
Мероприятие не было публичным, поэтому активно не обсуждается и не освещается. В связи с этим я хотел бы поделиться рядом интересных моментов.
Во-первых, Банк России отметил, что уход от самооценок обусловлен их низким качеством, при этом просто декларации «внешней оценки» на текущий момент недостаточно, т.к. вопрос качества проведенной оценки «Компанией-аудитором А» и «Компанией-аудитором Б» имеет место быть. И Банк России не ставит себе цели перепроверять эти оценки, а хочет обеспечить условия для гарантированного доверия этим оценкам как финансовой организации, так и Банку России.
На этот счет звучали со стороны отрасли различные предложения от ограничения рынка «базовым прайсом» до «сертификации компаний/аудиторов», а также формирования «единой базы знаний аудиторов».
Безусловно, серьезной проблемой в этом вопросе выступает то, что компании-аудиторы (лицензиаты ФСТЭК России) не имеют никакого отношения в части подчиненности Банку России, и Банк России не готов их принять «под контроль» в этом вопросе.
Как следствие, речь как всегда пойдет о самоорганизации отрасли …
Есть позитивный опыт в части PCI DSS – Совет по стандартам безопасности данных индустрии платежных карт, но трансляция этого опыта в Россию требует проработки. «Кем?», «когда?», «как?» - вопросы, на которые не только нет ответов, они даже никому явно не заданы.
Что я бы хотел отметить со своей стороны:
1. Аудит ИБ финансовых организаций – это не:
- Тестирование на проникновение (pentest);
- Измерение (measurement);
- Обследование (survey);
- Аттестация объектов информатизации.
Хотя первые три элемента могут быть частью аудита ИБ, но не заменяют его.
Как следствие, как всегда нужно начать с терминологии (да, да, уже слышу недовольство читателей), желательно не вводить новых терминов и определений (как это было, например, с ГОСТ Р 57580 –
2. Не стоит «изобретать велосипед», уже есть немало подходов к аудиту и аудиту ИБ/ИТ:
- ISO 19011:2018;
- ISO/IEC 27007:2017;
- СТО БР ИББС-1.1-2007;
- Global Technology Audit Guide (GTAC) Information Security Governance;
- Information Technology Assurance Framework (ITAF) for IS Audit,
лучше оттолкнуться от них.
3. Не стоит уходить в вопрос высокоуровневых методологий и принципов, уже не раз это было введено:
- Целостность (integrity);
- Беспристрастность (fair presentation);
- Профессиональная осмотрительность (due professional care);
- Конфиденциальность (confidentiality);
- Независимость (independence);
- Подход, основанный на свидетельстве (evidence-based approach);
- Риск-ориентированный подход (risk-based approach).
4. «А о чем тогда нужно говорить?», скажите Вы. Я считаю (и это было озвучено мною как предложение коллегам и представителям Банка России), что сейчас у нас достаточно много об аудите ИБ в общем, и нет ничего об оценке в контексте, первое – в контексте ГОСТ Р 57580 (начиная от прочтения и понимания требований стандарта, закачивания форматом получаемого свидетельства), а второе – в контексте финансовой организации (для банка – это одна область охвата и специфика, для страховщика – другая, для депозитария – третья и т.д.).
В заключении я хотел бы поблагодарить коллег из Банка России за уделенное нам время и отдельно АИС и АБИСС за данное мероприятие, т.к. это действительно уникальная возможность.
Успехов при проведении аудитов и аудиторам, и проверяемым организациям!