Аспекты аудита процессов оценки и управления рисками информационной безопасности

Автор: Алексей Алексеев, руководитель департамента ИТ- и технических аудитов дирекции внутреннего аудита ПАО «Вымпелком», член Ассоциации «Институт внутренних аудиторов»1

Информационная безопасность занимает важную позицию в системе координат вселенной ИТ-аудитов современных компаний. В целом, это направление имеет устойчивую тенденцию к росту критичности. Среди ключевых рисков ИБ, на которые должен быть направлен аудит, можно назвать следующие:

  • риск неполного выявления информационных активов, подлежащих защите;

  • риск некорректного определения ценности информационных активов;

  • риск неполного/ некорректного выявления угроз и уязвимостей, которым подвержены активы, подлежащие защите;

  • риск некорректного расчета вероятности реализации угроз и их влияния на бизнес;

  • риск выбора методов реагирования на риски ИБ, которые неадекватны выявленным угрозам (в т.ч. необоснованное принятие менеджментом рисков).

Методический подход к проведению данного аудита стоит выстраивать в контексте системы внутреннего контроля, основанной на Модели трех линий [защиты]2. Внутренний аудитор в рамках своей проверки может задействовать одновременно несколько распространенных в мире методик по управлению рисками ИБ: например, NIST Management Framework, ISO/IEC 27005, FRAP, OCTAVE, FAIR и др.

Механизм реализации рисков ИБ:

Прояснение внутреннего и внешнего комплаенс-контекста компании в области ИБ:

  • Положение Банка России «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (382-П)

  • Федеральный закон «О внесении изменений в отдельные законодательные акты РФ в части противодействия хищению денежных средств» (167-ФЗ)

  • Федеральный закон «О персональных данных» (152-ФЗ)

  • Федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (115-ФЗ)

  • Федеральный закон «О связи» (126-ФЗ)

  • Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (187-ФЗ)

  • General Data Protection Regulation (GDPR)

  • Payment Card Industry Data Security Standard (PCI DSS)

Как показал опыт, для проведения эффективного аудита следует придерживаться следующих основных этапов:

  1. Проверка порядка формирования информационных активов, имеющих ценность для компании.

  2. Проверка порядка выявления угроз (в т. ч. векторов и площадей атак), которым подвержены информационные активы.

  3. Проверка порядка выявления уязвимостей в составе информационных активов (в т.ч. с помощью методов программно-аппаратного, инструментального анализа).

  4. Проверка порядка формулирования сценариев риска, подходов к количественной оценке их вероятности и ущерба.

  5. Проверка рисков ИБ, исходящих из взаимодействия с третьими сторонами (поставщиками, подрядчиками, бизнес-партнерами и пр.).

  6. Оценка применения страхования от кибер-рисков.

  7. Интеграция мероприятий по управлению рисками ИБ в процессы обеспечения реагирования на инциденты, аварийного восстановления и непрерывности деятельности (в т.ч. кризисного управления).

Представленная методика проведения аудита является достаточно гибкой, предполагающей реализацию в форме как самостоятельной проверки, так и комплексного аудита ИБ (в т.ч. с участием сторонних специалистов по тестированию безопасности).

Процесс управления рисками ИБ в контексте Модели трех линий [защиты]:


1 Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 г., является профессиональным объединением более чем 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций. Подробности на сайте www.iia-ru.ru

2 В Модели трех линий [защиты] четко очерчены роли различных руководителей в организации, включая надзор со стороны совета директоров или руководящего органа; оперативных руководителей (в т.ч. по управлению рисками и комплаенс) – роли первой и второй линии; и независимые гарантии, предоставляемые внутренним аудитом – третья линия; а также позиция внешних поставщиков гарантий. Эта Модель применима ко всем организациям, независимо от их размера и сложности. Модель трех линий [защиты] можно найти на сайте Института внутренних аудиторов www.iia-ru.ru в области Личный кабинет.

Комментарии закрыты