Аудит на соответствие требованиям Банка России
Аудит на соответствие требованиям Банка России

Аудит на соответствие требованиям Банка России

Одним из условий реализации целей деятельности организаций банковской системы Российской Федерации (БС РФ) является обеспечение необходимого и достаточного уровня их информационной безопасности. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (СТО БР ИББС-1.0-2014) является одним из наиболее эффективных инструментов повышения информационной безопасности банковских технологических процессов и определяет требования к структуре и основным элементам системы обеспечения ИБ. На сегодняшний день, СТО БР ИББС-1.0 служит основой нормативно-методической базы систем обеспечения ИБ (СОИБ), в том числе систем защиты персональных данных и автоматизированных банковских систем.

Мировая практика в области обеспечения ИБ определяет контроль эффективности ИБ как важнейший процесс в непрерывном цикле процессов менеджмента ИБ организации (в соответствии с «Циклом Демминга», PDCA). Стандарт Банка России СТО БР ИББС-1.0, учитывающий как российский, так и международный опыт построения систем защиты информации, содержит требования о  периодическом выполнении деятельности по самооценке соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0 (самооценка ИБ) и проведению внешней оценки соответствия требованиям СТО БР ИББС-1.0 (аудитов ИБ), целью которых является обеспечение достаточной уверенности в том, что СОИБ, включая защитные меры, функционирует надлежащим образом и адекватна существующим угрозам ИБ, а также внутренним и (или) внешним условиям функционирования организации БС РФ, связанным с ИБ.

КонсалтИнфоМенеджмент является организацией - консультантом и членом комитета по страхованию рисков информационной безопасности НП АБИСС. Наши специалисты обладают сертификатами аудиторов информационной безопасности организаций БС РФ, а также необходимым опытом проведения аудитов на соответствие требованиям СТО БР ИББС, законодательства РФ и международных стандартов в области информационной безопасности.

КонсалтИнфоМенеджмент предлагает следующие услуги

  • проведение предпроектного обследования на начальном этапе внедрения СТО БР ИББС-1.0 в виде «экспресс-оценки»;
  • проведение внешней оценки соответствия (аудита ИБ) требованиям СТО БР ИББС-1.0;
  • сопровождение самооценок ИБ.

«Экспресс-оценка»

«Экспресс-оценка» проводится на начальном этапе внедрения СТО БР ИББС-1.0 в случае, если СОИБ организации БС РФ находится в процессе становления и подразумевает меньшую глубину анализа, трудозатраты и стоимость проведения. Результаты «экспресс-оценки» используются в процессе разработки концепции ИБ на дальнейших этапах внедрения СТО БР ИББС-1.0 и позволяют определить приоритетные мероприятия, направленные на развитие СОИБ и оценить затраты на их реализацию.

По результатам «экспресс-оценки» формируется заключение, содержащее актуальную информацию о текущем состоянии СОИБ организации БС РФ и планы приоритетных и перспективных мероприятий по внедрению СТО БР ИББС-1.0 и созданию/модернизации СОИБ.

Внешняя оценка соответствия

В процессе проведения внешней оценки соответствия осуществляется сбор и анализ информации о текущем состоянии СОИБ организации БС РФ: изучение разработанных документов (частных политик, регламентов, инструкций и пр.) в области информационной безопасности, интервьюирование работников кредитной организации и сбор свидетельств аудита, в том числе конфигураций оборудования, обеспечивающего функционирование различных подсистем защиты информации.

Внешняя оценка соответствия требованиям СТО БР ИББС-1.0 проводится в полном соответствии с СТО БР ИББС-1.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» и СТО БР ИББС-1.2 «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх» и с соблюдением требований по раздельному анализу реализованных мероприятий по обеспечению ИБ банковских информационных и платежных технологических процессов Банка, а также процессов, связанных с обработкой персональных данных.

Анализ реализованных в организации БС РФ мер по защите информации осуществляется с учетом лучших практик, международных стандартов, рекомендаций производителей оборудования и программного обеспечения в области информационной безопасности.

По результатам внешней оценки соответствия формируется подробный отчет, содержащий:

  • наиболее полную, объективную и актуальную информацию о текущем состоянии СОИБ организации БС РФ;
  • детальный анализ выполнения отдельных требований СТО БР ИББС-1.0 на основе собранных свидетельств аудита;
  • свидетельства аудита, повлиявшие на результат оценки частных показателей;
  • оценку соответствия требованиям СТО БР ИББС-1.0;
  • рекомендации по модернизации СОИБ и повышению уровня соответствия требованиям СТО БР ИББС-1.0.

Результаты внешней оценки соответствия могут быть использованы в процессе подготовки отчетности в Банк России и Операторам платежных систем о реализации обязательных требований к защите информации при осуществлении переводов денежных средств в силу соответствия частных показателей СТО БР ИББС-1.0-2014 и требований Положения Банка России от 09.06.2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Сопровождение самооценки ИБ

В ходе сопровождения самооценок ИБ работниками КонсалтИнфоМенеджмент предоставляется консультативная и методическая помощь в процессе проведения организацией БС РФ самооценки соответствия ИБ, разработки программы проведения самооценки, сбора и анализа свидетельств аудита, выставления оценок и формирования отчетности в Банк России, что позволяет избежать ошибок и получить объективную информацию о текущем уровне ИБ.

Форма обратной связи