СОИБ. Анализ. Аудит ИБ Банков
Только что вернулся с обучения по курсу «аудит информационной безопасности организаций банковской системы Российской Федерации».
По сравнению с предыдущей версией учебного курса, преподавательский состав был очень сильный:
· Дроздов Андрей – партнер компании «4x4» (ранее ведущий менеджер компании «КПМГ»), эксперт ABISS, CISM, CISA, CGEIT.
· Булгаков Андрей - директор департамента ИБ «Метробанк» с огромным практическим опытом внедрения Стандарта Банка России и проведения Самооценки.
· Велигура Александр - председатель комитета по ИБ Ассоциации Российских банков, заместитель директора «Аднэк консалтинг», CISA.
На курсе в качестве наблюдателя присутствовал секретарь ABISS Павел Гениевский. В качеству участников курса подобралась отличная команда из представителей интеграторов (Микротест, Deiteriy, Информзащита, ReignVox, Орбита и др.) и нескольких банков (ЦБ РФ и др).
Сразу скажу, что на курсе почерпнул много полезной информации, а по его итогам сдал экзамен на сертифицированного аудитора ABISS. Но остался ряд нерешенных моментов и вопросов:
· Не было достигнуто окончательной договоренности, о том какую шкалу оценки выбирать по ряду вопросов из методики оценки. Были вопросы, по которым мнение преподавателей расходились. Для устранения спорных моментов центральному банку было предложено добавить в новой версии стандарта оценки столбец с указанием шкалы оценки.
· Не было достигнуто окончательной договоренности о подходе к исключению показателей из оценки. Одно из озвученных мнений – банк и аудитор вольны исключать любые пункты по своему усмотрению и договоренности на предварительном этапе аудита (например, выполнение мероприятий, срок которых ещё не наступил – корректирование СОИБ по результатам оценки СОИБ). Другое мнение (и я его поддерживаю) – исключать нужно очень осторожно только те показатели, которые в принципе не применимы для данного банка (например, пока не пройдет полностью цикл PDCA для СОИБ и СМИБ – нельзя говорить полном о соответствии СТО БР).
· По ряду рассматриваемых на курсе показателей мы обсуждали, что необходимо в идеальном случае для соответствия показателю. Но этот аспект актуален скорее при внедрении СТО БР. При аудите более логичным было бы обсуждать минимальный набор документов или мероприятий, которые позволят положительно оценить показатель.
Среди новой и наиболее полезной информации для меня лично перечислю следующее:
· То что мы называем «аудитом ИБ» – это не аудит, а «оценка соответствия». В законодательстве термин аудит подразумевает «финансовый аудит».
· Как следствие компании проводящие «финансовый аудит» - несут финансовую ответственность за результаты аудита, компании проводящие «аудит ИБ» фактически не несут ответственности по законодательству. Но тут и возникает ABISS, который может вести черные списки, оценивать репутацию, проводит экспертную оценку результатов аудита.
· ABISS планирует вести учет всех специалистов, сертифицированных для аудита ИБ СТО БР ИББС, планирует внедрить требования по ежегодному повышению квалификации (минимальное количество учебных часов или семинаров).
· Пока требования ABISS для компаний-аудиторов - это иметь 5 сертифицированных специалистов. В дальнейшем планируется увеличение требований в соответствии с ГОСТ Р ИСО/МЭК 27006-2008, а так-же требованиями регуляторов (необходимость лицензии ФСТЭК РФ, ФСБ РФ). Например планируется, чтобы руководитель группы аудиторов имел опыт проведения аудита в качестве рядового участника.
· Так как возможна экспертиза результатов аудита, необходимо обязательно документировать свидетельства (перечень документов, результаты опроса, наблюдения) по каждому оцениваемому показателю. Подписывать всё собранные свидетельства у представителей банка.
· На вступительном совещании надо обговорить все исключаемые из аудита показатели. Например, для экономии трудозатрат можно сразу исключить все рекомендованные показатели. На этом же совещании определяются репрезентативная выборка ИС (например, можно выбрать 4 системы из 10).
· Может оказаться, что в результате проекта возникли «неразрешенные разногласия». То есть аудитор настаивает на одной оценке по показателю, а банк на другой. В таком случае аудитор принимает свой вариант, а вариант банка описывает в разделе «неразрешенные разногласия» отчета об аудите. Там же аудитор аргументирует свою позицию.
· При аутсорсинге ИБ, как правило, банк получает низкие показатели. Потому что аутсорсинговая компания должна фактически внедрить у себя часть СТО БР ИББС.
· Оценка уровня соответствия R = равна минимуму из (EV1, EV2, EV3). EV1 = минимуму из (EVБИТП, EVБПТП, EV2ОЗПД, EVООПД). EVООПД = EVM9. EVM9 = минимальному из частных показателей М9. Таким образом, любая отрицательная оценка частного показателя М9 приводит к 0-ому уровню соответствия в целом.
· Теоретически каждый частный показатель должен оцениваться в 3-х вариантах: 1. Для банковского платежного ТП 2. Банковского информационного ТП 3. Банковского ТП, в рамках которого обрабатываются ПДн.
· Уточняющие вопросы по ПДн обязательно применять только для расчета EV1ОЗПД, который состоит из показателей (EVM1, …, EVM5, EVM8, EVM10). То есть для расчета остальных показателей эти вопросы применять не обязательно. Но ЦБ и ABISS считает, что эти вопросы можно применять для оценки остальных показателей (по договоренности между банком и аудитором)
· Минимально рекомендуемый состав аудиторской группы (3+1/4): руководитель группы, 2 аудитора и частично занятый управляющий проектом аудита.
· Минимально рекомендуемое время аудита ИБ: две недели на предварительные работы по аудиту, месяц аудита на месте, месяц подготовки отчета.
· Типовая стоимость аудита ИБ: 2 млн. руб. Был случай когда для одного из территориальных органов ЦБ стоимость аудита по конкурсу опустилась до 0,5 млн. руб. ЦБ РФ вынужден был отменить конкурс, потому что проведение аудита в необходимом объеме и с необходимым качеством невозможно за такую стоимость.
Комментарии
Насчет "Теоретически каждый ЧП должен оцениваться в 3-х вариантах: 1. Для банковского платежного ТП 2. Банковского информационного ТП 3. Банковского ТП, в рамках которого обрабатываются ПДн." - здесь все-таки каждый или только по М1-М6, как сказано в п. 7.4 СТО БР ИББС-1.2 ???
Хотя бы банк, аудитор и ABISS перестанут спорить по этому поводу.
На счет 3-х вариантов вы верно отметили. Так оценивать необходимо только частные показатели М1-М6.
Для остальных это не применимо.
А в связи с чем вопрос?
Но допустим Банк до заключения договора может спросить у ABISS - какого аудитора они могут порекомендовать или просто посмотрит на перечень аудиторов рекомендуемых ABISS на сайте.
Или Банк может обратиться в ABISS с просьбой провести экспертную оценку результатов аудита.
Или ЦБ может обратиться в ABISS с просьбой провести экспертную оценку результатов аудита.
Или ABISS может вывесить черный список аудиторов, которые проводят аудит ИБ не соответствующий определенному уровню качества.