Аудит информационной безопасности финансовых организаций: не только затраты

Ведущий эксперт Департамента комплаенса кредитно-финансовой сферы Группы компаний «ЦИБИТ» Косичкин Роман Олегович делится своими мыслями о том, какую пользу могут извлечь финансовые организации из грамотно проведенного у них аудита информационной безопасности. Приятного чтения!


В последнее время Банк России как мегарегулятор в финансовой сфере принял ряд документов, определяющих критерии правильности построения систем защиты информации и управления ими. Для проверки соответствия этим критериям требуется привлечение внешних фирм–аудиторов.

Однако, по мнению многих финансовых организаций, аудит является очень затратным мероприятием, как с ценовой стороны вопроса, так и по использованию других ресурсов. А есть ли для компании польза от аудита помимо формального соответствия требованиям Банка России? Ответ на этот вопрос дадим в этой статье.

Значимость информации для финансовой организации

Банки, страховые, инвестиционные компании, биржи являются основой денежной системы государства и важнейшими финансовыми институтами современного общества. В связи с этим к ним предъявляются особые требования по обеспечению информационной безопасности (ИБ).

Автоматизированные банковские системы, системы дистанционного обслуживания, программные решения по переводу денежных средств содержат конфиденциальную информацию о клиентах компании, состоянии их счетов и проведении ими финансовых операций. В процессе хранения и обработки информации в этих информационных системах, ее передачи по линиям связи в процессе дистанционного обслуживания и при переводах важно, чтобы информация не попала в руки злоумышленников, не была изменена или оказалась недоступной пользователям. При этом следует соблюсти баланс между интересами бизнеса и требованиями ИБ. С одной стороны, нужно обеспечить безопасность данных, но, в то же время, без быстрого и своевременного обмена и обработки информации любая финансовая система не может функционировать корректно.

Угрозы информации финансовых организаций

Основной и главной угрозой информации по-прежнему остается человеческий фактор. Согласно статистике, больше половины правонарушений приходится на сотрудников организации, то есть на тех, кто непосредственно имеет доступ к данным. Новости об утечках конфиденциальной информации регулярно появляются как в зарубежных, так и в отечественных СМИ.

Кроме этого, существуют и технические угрозы для информации, к которым относятся взломы информационных систем лицами, не имеющими к ним прямого доступа, такими как криминальные сообщества или конкуренты.

Опасность и угрозу для программного обеспечения могут представлять также различные компьютерные вирусы, программные закладки, уязвимости, возникшие из-за несвоевременного обновления программ, которые способны нарушить доступность и целостность данных, а также привести к потере конфиденциальности.

Документы для оценки состояния ИБ финансовых организаций

До момента появления отечественных стандартов в области ИБ банки и другие финансовые организации управляли безопасностью, основываясь на положениях внутренних нормативных документов. Начиная с середины двухтысячных годов Банк России начал разрабатывать документы, определяющие меры по безопасности информационных систем финансовых организаций. В настоящее время требования к ИБ организаций финансовой сферы установлены, в том числе, следующими документами Банка России или созданными при его участии:

  • ГОСТ Р 57580.12017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер.
  • Положение Банка России от 9 января 2019 г. № 672-П “О требованиях к защите информации в платежной системе Банка России”.
  • Положение Банка России от 17 апреля 2019 г. N 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
  • Положение Банка России от 17 апреля 2019 г. N 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
  • Положение Банка России от 4 июня 2020 года N 719-П О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств.

В целом данные документы можно рассматривать как руководства, позволяющие финансовой организации понять, насколько полно мероприятия по обеспечению ИБ охватывают различные аспекты деятельности компании.

Что такое аудит и в чем его трудность

Чтобы понять насколько полно выполняются требования руководящих документов, финансовой организации следует провести оценку соответствия, называемую также аудитом (в нашем случае аудит ИБ). Основная задача аудита – объективно оценить текущее состояние ИБ финансовой компании, а также ее соответствие установленным критериям.

Аудит проводится командой специалистов независимой компании. Аудиторы могут использовать опыт и знания, полученные во время проведения предыдущих оценок соответствия, и поэтому выполнят работу эффективно и быстро.

К недостаткам аудита относятся денежные траты, а также чрезмерно большие расходы ресурсов на сопровождение аудиторской группы и помощь при сборе дополнительных свидетельств.

В большинстве случаев финансовые организации не понимают реальной необходимости аудита. Большинство компаний не готовы отдавать немалые деньги за «всего лишь» проверку на соответствие требованиям.

В чем же польза от аудита

Несмотря на все трудности и опасения по поводу проведения внешней оценки соответствия результаты квалифицированно выполненного аудита ИБ позволяют построить оптимальную по эффективности и затратам корпоративную систему защиты, адекватную текущим задачам и целям бизнеса.

Отзывы финансовых компаний, прошедших процедуру аудита на соответствие положениям Банка России, говорят о том, что после проведения данных работ не только повышается уровень доверия и лояльности со стороны регулятора, клиентов и партнеров, но и формируются ответы на самые важные для обеспечения безопасности деятельности организации вопросы:

  • насколько хорошо построена служба ИБ, достаточно ли ее ресурсное обеспечение;
  • где находятся слабые места в существующей системе защиты;
  • что нужно сделать, чтобы подразделение ИБ финансовой организации своевременно реагировало на инциденты и возможные угрозы;
  • какие управленческие шаги необходимо предпринять, чтобы оптимально спланировать, правильно реализовать, вовремя контролировать и совершенствовать систему защиты информации.

Результаты аудита, документально зафиксированные в отчете, являются катализатором для принятия кадровых, организационных или технических решений в отношении ИБ.

Грамотно проведенный аудит может помочь уменьшить и финансовые потери, которые могли бы быть следствием инцидентов ИБ – простой оборудования, потерю информации, восстановление работоспособности выведенных из строя узлов, репутационные потери;

Резюмируя изложенное, можно сказать, что аудит ИБ является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищенности финансовой организации от различных угроз информации. Результаты аудита позволяют сформировать системный подход к реализации стратегии развития системы обеспечения информационной безопасности финансовой организации. Таким образом, оценка соответствия ИБ является не пустой тратой денег, а вложением в стабильность и будущее развитие.

Помощь экспертов

Как уже отмечалось, по итогам аудита документально фиксируются полученные результаты соответствия заданным критериям. Формально на этом работа аудиторов заканчивается. Но для любой финансовой организации очень важно не просто оценить степень соответствия требованиям, но и понять какие действия в управленческом, нормативном и техническом плане следует предпринять, чтобы улучшить как свою оценку, так и общее состояние системы ИБ.

Эксперты компании «ЦИБИТ» по окончании процедуры аудита помогут финансовой компании определить, в каком направлении следует приложить усилия, чтобы исправить текущие несоответствия. Специалисты «ЦИБИТ», по договоренности с компанией, могут поспособствовать и в подготовке системы организационно-распорядительной документации, и в организации системы защиты. Недаром девиз компании «ЦИБИТ» — «Мы помогаем соответствовать требованиям!».

Оставить заявку или задать вопрос

Узнать подробнее о порядке оказания услуги, стоимости и действующих скидках можно по телефону +7 (495) 792-80-80, электронной почте info@cibit.ru