Пора ли банку задуматься об аудите информационной безопасности?

Пора ли банку задуматься об аудите информационной безопасности?

Дмитрий Золотухин, директор коммерческого департамента компании АНДЭК

Стандарт Банка России СТО БР ИББС 1.0-2006

Как участник рынка информационной безопасности, наша компания с интересом наблюдает за процессом становления отечественных стандартов в области И Б, в том числе в банковской сфере. Единственным отечественным стандартом по ИБ для банков на данный момент является Стандарт информационной безопасности Банка России СТО БР ИББС 1.0-2006.

Проведенное компанией АНДЭК собственное исследование заинтересованности банков во внедрении этого стандарта подтвердило большой интерес с их стороны к данному вопросу. Тем не менее специалисты отдела ИБ и руководство банков не всегда четко представляют, в чем заключается проведение таких работ. Квалифицированные специалисты отдела ИБ банков могут построить модели угроз и нарушителя, а также сформулировать положения политики безопасности. Однако опыт показывает, что уже на этапе учета активов банка и оценки рисков возникают трудности. Также значительные сложности возникают при подготовке документальной части обеспечения системы ИБ. Дело в том, что для полного выполнения этих работ требуется знание специальных методик, наличие наработок и опыта в этой области.

Требования к внедрению стандарта

Внедрение Стандарта Банка России многие банки пробуют провести на опыте внедрения других стандартов, например ISO 27001, но Стандарт Центробанка гораздо полнее любого из них отражает потребности банковской отрасли и имеет ряд специфических особенностей. Поэтому наличие такого опыта не всегда адекватно поставленной задаче. В своем выступлении на конференции Info-security Russia'2007 заместитель начальника Главного управления безопасности и защиты информации ЦБ РФ г-н А.П. Курило подчеркнул, что к компаниям, способным на проведение таких работ, предъявляются специальные требования по наличию соответствующих компетенций. Мы также разделяем это мнение и уверены, что для качественного внедрения Стандарта банкам гораздо эффективнее привлекать квалифицированные консалтинговые компании для выполнения следующих работ:

• рямая проверка и оценка соответствия системы информационной безопасности банка положениям Стандарта Банка России СТО БР ИББС 1.0-2006;
• приведение комплекта документации по системе информационной безопасности банка к положениям Стандарта;
• разработка авторских моделей самооценки банка, используя стандарты и рекомендации по стандартизации Банка России в области информационной безопасности;
• экспресс-аудит некрупных банков.

Аудит ИБ: повышение уровня доверия со стороны Центробанка

Может показаться, что аудит и внедрение Стандарта Банка России - задача не самая срочная. Однако отзывы банков, прошедших эту процедуру, говорят о том, что после проведения данных работ не только повышается уровень доверия и лояльности со стороны Центробанка, клиентов и партнеров, но и формируются ответы на самые важные для обеспечения безопасности деятельности банка вопросы:

• насколько хорошо построена служба ИБ;
• где слабые места;
• что нужно сделать, чтобы отдел информационной безопасности банка своевременно реагировал на негативные факторы.

Затрагивая финансовые вопросы проведения работ по внедрению Стандарта Банка России, необходимо понимать, что затраты в данном процессе связаны скорее с совершенствованием организационной структуры, чем с какими-то техническими решениями. Важным итогом проведенного аудита и приведения системы информационной безопасности в соответствие Стандарту Банка России является и создание полного комплекта нормативных документов, определяющих структуру и регламентирующих работу службы ИБ, ее взаимодействие с другими подразделениями банка. Излишним будет напоминать, что именно эта документальная база и является основным объектом проверки и контроля надзорными органами.

В заключение отмечу, что компания АНДЭК входит в Ассоциацию российских банков (АРБ) и Сообщество пользователей стандарта Центробанка по ИБ (ABISS), а также в сфере аудита и консалтинга по Стандарту ЦБ обладает наибольшим опытом как по количеству выполненных проектов, так и по объему работ (в том числе участие в оценке и утверждении Стандарта).

Поэтому для банков, которые рассматривают возможность проведения таких работ, АНДЭК предлагает высоко-квалифицированную поддержку.