За последние несколько лет вышло немало документов, регламентирующих требования в сфере информационной безопасности, которые должны выполнять финансовые организации. В частности, это положения ЦБ 683-П, 757-П, 802-П, 719-П, 716-П, включая положения об операционной надежности 779-П и 787-П, и, конечно, ГОСТ 57580.1, определенные уровни соответствия которому стали в обязательном порядке применимы финансовыми организациями.
Не стоит забывать и о последних документах, уже не имеющих к ЦБ прямого отношения, например, указе Президента № 250 от 1 мая 2022 года. Этот приказ распространяется в том числе на организации – субъекты КИИ, а многие финансовые организации, даже если не имеют значимых объектов КИИ, субъектами являются все равно. Поэтому должны выполнять большинство требований указа, начиная от требований к выделению подразделения, занимающегося ИБ, и до требований к использованию средств защиты информации (СЗИ), которые произведены в России или в дружественных странах.
Не стоит забывать и о последних документах, уже не имеющих к ЦБ прямого отношения, например, указе Президента № 250 от 1 мая 2022 года. Этот приказ распространяется в том числе на организации – субъекты КИИ, а многие финансовые организации, даже если не имеют значимых объектов КИИ, субъектами являются все равно. Поэтому должны выполнять большинство требований указа, начиная от требований к выделению подразделения, занимающегося ИБ, и до требований к использованию средств защиты информации (СЗИ), которые произведены в России или в дружественных странах.
Как организациям не запутаться в требованиях и реализовать все нужные меры?
Чаще всего для этого обращаются к сторонним организациям – аудиторам, консалтерам и интеграторам. К тому же оценка соответствия требованиям ГОСТ 57580.1 должна проводиться внешними организациями по требованиям ЦБ. Как лучше подготовиться к внешним аудитам, а также о проведении таких аудитов со стороны исполнителя, пойдет речь далее.
Аудит внешней организации, конечно же, отличается от привычных всем аудитов ЦБ. После получения уведомления об аудите ЦБ финансовые организации, часто в срочном режиме, проводят дополнительную внутреннюю оценку выполнения требований ЦБ, иногда разрабатывают и дорабатывают документы, внедряют меры, выпускают недостающие приказы и т.п. Прибывшим аудиторам выделяются специальные рабочие места и доступ к информационным системам. Запросы ЦБ на предоставление информации имеют ограниченный и короткий срок. После завершения проверки финансовой организации выдается перечень нарушений, которые он обязан исправить до определенного времени.
Аудиты внешних организаций проходят похоже, но в облегченном режиме. Конечно, есть и запросы, и оценки, и выявление нарушений, но, в отличие от ЦБ, перечень действий по устранению выявленных нарушений носит рекомендательный характер. Можно выделить два типа таких аудитов: простой аудит и аудит с поддержкой.
Несмотря на то, что к аудиту-консультации можно не готовиться вообще, мы все-таки рекомендуем провести некоторую подготовительную работу.
Аудит внешней организации, конечно же, отличается от привычных всем аудитов ЦБ. После получения уведомления об аудите ЦБ финансовые организации, часто в срочном режиме, проводят дополнительную внутреннюю оценку выполнения требований ЦБ, иногда разрабатывают и дорабатывают документы, внедряют меры, выпускают недостающие приказы и т.п. Прибывшим аудиторам выделяются специальные рабочие места и доступ к информационным системам. Запросы ЦБ на предоставление информации имеют ограниченный и короткий срок. После завершения проверки финансовой организации выдается перечень нарушений, которые он обязан исправить до определенного времени.
Аудиты внешних организаций проходят похоже, но в облегченном режиме. Конечно, есть и запросы, и оценки, и выявление нарушений, но, в отличие от ЦБ, перечень действий по устранению выявленных нарушений носит рекомендательный характер. Можно выделить два типа таких аудитов: простой аудит и аудит с поддержкой.
- Простой аудит – это работы в три действия: пришли, проверили, оценили.
- Аудит с поддержкой – это проведение проверки и параллельная помощь аудиторов в устранении выявленных нарушений. В этом случае привлеченные специалисты могут давать рекомендации по действиям, писать документы и способствовать внедрению необходимых технических средств. Опытные аудиторы уже на этапе подготовки к аудиту могут на основании информации от финансовой организации дать рекомендации по возможному приобретению СЗИ, не дожидаясь завершения аудита, и тем самым упростив прогнозирование возможных расходов и бюджетирование в организации.
Несмотря на то, что к аудиту-консультации можно не готовиться вообще, мы все-таки рекомендуем провести некоторую подготовительную работу.
7 советов, чтобы аудит прошел максимально быстро и эффективно
1. Определитесь с перечнем документов, для исполнения требований которых и проводится аудит. Если это, например, аудит ГОСТ 57580.1, лучше заранее понять, на соответствие какому из положений ЦБ производится работа – будет проще определить область аудита, перечень систем, целевой уровень соответствия ГОСТ 57580.1. Если же документ не определен – ничего страшного, на первом этапе можно руководствоваться самыми жесткими из всех положений ЦБ, а окончательно определиться, какие использовать, уже во время работы.
2. Заранее подготовьте все документы, регламентирующие выполнение ИБ – от политик до инструкций, чтобы уменьшить время их поиска и предоставления, а значит, сократить время аудита. В любом случае мы, как исполнитель работ, всегда в самом начале запрашиваем перечень документов по ИБ, указываем их тематику и т.п.
3. Обеспечьте присутствие и возможность проведения интервью с ИТ- и ИБ-специалистами, ведь именно от них нужно будет получить информацию о том, как настроена сеть, системы, какие меры защиты уже внедрены и как выполняются.
4. Если аудит предполагает вовлечение работников иных подразделений, оповестите их о проведении такого аудита, а самое главное – о его особенностях. Кстати, для многих работников проверяемых организаций «аудит» и «аудитор» – жуткие слова. Именно поэтому на практике при проведении интервью с сотрудниками, аудитору есть смысл представляться консультантом, чтобы излишне не нервировать персонал.
5. Подсветите «ревизору» все «проблемные места». Благодаря этому грамотный аудитор-консалтер сможет порекомендовать наиболее эффективные способы устранения возможных пробелов и/или даже поможет с их устранением, например, внедрением средств и систем защиты и разработкой ОРД.
6. Предварительная подготовка свидетельств аудита – редкое явление, но очень полезное. Сбор и анализ свидетельств включает изрядную долю работ по оценке соответствия требованиям руководящих документов. Если будут заранее подготовлены схемы сети, приказы о назначении ответственных, акты проверок, журналы, отчеты и прочее – это может изрядно ускорить процесс аудита и приблизить выдачу отчета.
7. Перед внешним аудитом проведите предварительную внутреннюю оценку самостоятельно. В рамках такой оценки можно провести определение области проверки, определить свой уровень соответствия документам. Причем, в область проверки будут входить не только информационные системы и оборудование, но и применяемые меры защиты, что особенно актуально для ГОСТ 57580.1.
Базовый состав мер защиты по каждому уровню определен самим ГОСТ 57580.1, но на то он и базовый, что его можно и нужно адаптировать к нуждам и особенностям конкретной организации. По аналогии адаптации мер 21-го или 17-го приказа ФСТЭК для ГОСТ 57580.1 из базового набора мер исключаются все меры по защите информации при использовании технологий, которые в конкретной организации попросту не применяются. Например, если используются только физические серверы и рабочие станции, из базового набора мер защиты можно исключить все меры по защите средств виртуализации.
Такой порядок подготовки применим не только к аудиту выполнения требований ГОСТ 57580.1-2017, но и ко множеству других документов, требования которых финансовым организациях нужно выполнять. У каждого документа есть свои особенности, из-за чего организациям порой бывает сложно увязать их между собой и обеспечить соответствие большому количеству документов регуляторов. В этом случае гораздо эффективнее привлечь внешних специалистов, которые соберут необходимую информацию и помогут в совершенствовании процессов и разработке документации. Специалисты Infosecurity готовы помочь в этом на любом из этапов.
Автор: Юлия Задубровская, руководитель направления безопасности финансовых организаций Infosecurity a Softline Company
2. Заранее подготовьте все документы, регламентирующие выполнение ИБ – от политик до инструкций, чтобы уменьшить время их поиска и предоставления, а значит, сократить время аудита. В любом случае мы, как исполнитель работ, всегда в самом начале запрашиваем перечень документов по ИБ, указываем их тематику и т.п.
3. Обеспечьте присутствие и возможность проведения интервью с ИТ- и ИБ-специалистами, ведь именно от них нужно будет получить информацию о том, как настроена сеть, системы, какие меры защиты уже внедрены и как выполняются.
4. Если аудит предполагает вовлечение работников иных подразделений, оповестите их о проведении такого аудита, а самое главное – о его особенностях. Кстати, для многих работников проверяемых организаций «аудит» и «аудитор» – жуткие слова. Именно поэтому на практике при проведении интервью с сотрудниками, аудитору есть смысл представляться консультантом, чтобы излишне не нервировать персонал.
5. Подсветите «ревизору» все «проблемные места». Благодаря этому грамотный аудитор-консалтер сможет порекомендовать наиболее эффективные способы устранения возможных пробелов и/или даже поможет с их устранением, например, внедрением средств и систем защиты и разработкой ОРД.
6. Предварительная подготовка свидетельств аудита – редкое явление, но очень полезное. Сбор и анализ свидетельств включает изрядную долю работ по оценке соответствия требованиям руководящих документов. Если будут заранее подготовлены схемы сети, приказы о назначении ответственных, акты проверок, журналы, отчеты и прочее – это может изрядно ускорить процесс аудита и приблизить выдачу отчета.
7. Перед внешним аудитом проведите предварительную внутреннюю оценку самостоятельно. В рамках такой оценки можно провести определение области проверки, определить свой уровень соответствия документам. Причем, в область проверки будут входить не только информационные системы и оборудование, но и применяемые меры защиты, что особенно актуально для ГОСТ 57580.1.
Базовый состав мер защиты по каждому уровню определен самим ГОСТ 57580.1, но на то он и базовый, что его можно и нужно адаптировать к нуждам и особенностям конкретной организации. По аналогии адаптации мер 21-го или 17-го приказа ФСТЭК для ГОСТ 57580.1 из базового набора мер исключаются все меры по защите информации при использовании технологий, которые в конкретной организации попросту не применяются. Например, если используются только физические серверы и рабочие станции, из базового набора мер защиты можно исключить все меры по защите средств виртуализации.
Такой порядок подготовки применим не только к аудиту выполнения требований ГОСТ 57580.1-2017, но и ко множеству других документов, требования которых финансовым организациях нужно выполнять. У каждого документа есть свои особенности, из-за чего организациям порой бывает сложно увязать их между собой и обеспечить соответствие большому количеству документов регуляторов. В этом случае гораздо эффективнее привлечь внешних специалистов, которые соберут необходимую информацию и помогут в совершенствовании процессов и разработке документации. Специалисты Infosecurity готовы помочь в этом на любом из этапов.
Автор: Юлия Задубровская, руководитель направления безопасности финансовых организаций Infosecurity a Softline Company