Автор: Алексей Алексеев, руководитель департамента ИТ- и технических аудитов дирекции внутреннего аудита ПАО «Вымпелком», член Ассоциации «Институт внутренних аудиторов»1
Информационная безопасность занимает важную позицию в системе координат вселенной ИТ-аудитов современных компаний. В целом, это направление имеет устойчивую тенденцию к росту критичности. Среди ключевых рисков ИБ, на которые должен быть направлен аудит, можно назвать следующие:
-
риск неполного выявления информационных активов, подлежащих защите;
-
риск некорректного определения ценности информационных активов;
-
риск неполного/ некорректного выявления угроз и уязвимостей, которым подвержены активы, подлежащие защите;
-
риск некорректного расчета вероятности реализации угроз и их влияния на бизнес;
-
риск выбора методов реагирования на риски ИБ, которые неадекватны выявленным угрозам (в т.ч. необоснованное принятие менеджментом рисков).
Методический подход к проведению данного аудита стоит выстраивать в контексте системы внутреннего контроля, основанной на Модели трех линий [защиты]2. Внутренний аудитор в рамках своей проверки может задействовать одновременно несколько распространенных в мире методик по управлению рисками ИБ: например, NIST Management Framework, ISO/IEC 27005, FRAP, OCTAVE, FAIR и др.
Механизм реализации рисков ИБ:
Прояснение внутреннего и внешнего комплаенс-контекста компании в области ИБ:
-
Положение Банка России «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (382-П)
-
Федеральный закон «О внесении изменений в отдельные законодательные акты РФ в части противодействия хищению денежных средств» (167-ФЗ)
-
Федеральный закон «О персональных данных» (152-ФЗ)
-
Федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (115-ФЗ)
-
Федеральный закон «О связи» (126-ФЗ)
-
Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (187-ФЗ)
-
General Data Protection Regulation (GDPR)
-
Payment Card Industry Data Security Standard (PCI DSS)
Как показал опыт, для проведения эффективного аудита следует придерживаться следующих основных этапов:
-
Проверка порядка формирования информационных активов, имеющих ценность для компании.
-
Проверка порядка выявления угроз (в т. ч. векторов и площадей атак), которым подвержены информационные активы.
-
Проверка порядка выявления уязвимостей в составе информационных активов (в т.ч. с помощью методов программно-аппаратного, инструментального анализа).
-
Проверка порядка формулирования сценариев риска, подходов к количественной оценке их вероятности и ущерба.
-
Проверка рисков ИБ, исходящих из взаимодействия с третьими сторонами (поставщиками, подрядчиками, бизнес-партнерами и пр.).
-
Оценка применения страхования от кибер-рисков.
-
Интеграция мероприятий по управлению рисками ИБ в процессы обеспечения реагирования на инциденты, аварийного восстановления и непрерывности деятельности (в т.ч. кризисного управления).
Представленная методика проведения аудита является достаточно гибкой, предполагающей реализацию в форме как самостоятельной проверки, так и комплексного аудита ИБ (в т.ч. с участием сторонних специалистов по тестированию безопасности).
Процесс управления рисками ИБ в контексте Модели трех линий [защиты]:
1 Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 г., является профессиональным объединением более чем 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций. Подробности на сайте www.iia-ru.ru
2 В Модели трех линий [защиты] четко очерчены роли различных руководителей в организации, включая надзор со стороны совета директоров или руководящего органа; оперативных руководителей (в т.ч. по управлению рисками и комплаенс) – роли первой и второй линии; и независимые гарантии, предоставляемые внутренним аудитом – третья линия; а также позиция внешних поставщиков гарантий. Эта Модель применима ко всем организациям, независимо от их размера и сложности. Модель трех линий [защиты] можно найти на сайте Института внутренних аудиторов www.iia-ru.ru в области Личный кабинет.