Проекты внешнего аудита ИТ и безопасности
в тч PCI DSS и СУИБ

Основные оказываемые услуги ИТ-аудита:

• от тестирования на проникновение (penetration testing, pentest)
• до комплексных аудитов безопасности
• услуги по управлению соответствием требованиям Payment Card Industry (PCI) Security Council — серия стандартов, относящихся к вопросам безопасности платежных карт и затрагивающих как банки, так и другие организации, принимающие и обрабатывающих платежи с использованием пластиковых карт. Включает услуги по сканированию сетевого периметра (PCI DSS ASV), аудиту на соответствие стандарту (PCI DSS QSA), внутреннему и внешнему тестированию на проникновение, анализу исходных кодов платежных приложений в рамках стандарта PA-DSS.

2017: Исследование "Института внутренних аудиторов"

За последние 2 года компании значительно чаще стали проводить оценку эффективности использования информационных технологий. Такой результат показало исследование состояния и тенденций развития внутреннего аудита в России, проведенного Некоммерческим партнерством «Институт внутренних аудиторов» совместно с компанией «КПМГ». Так, ИТ-аудиты стоят в планах на ближайшие 12 месяцев у 53% опрошенных, 47% заняты ими в настоящий момент. Согласно аналогичному исследованию 2015 года, ИТ-аудиты были актуальны лишь для 34% компаний. Оценка эффективности использования информационных технологий в планах у 42% респондентов, 45% проводят ее в настоящий момент против 26% в 2015 году.

По мнению Максима Козлова, начальника отдела ИТ-аудитов Блока внутреннего контроля и аудита, ПАО «МТС», рост заинтересованности компаний в проведении ИТ-аудитов, равно как и с заинтересованности в оценке эффективности использования ИТ, связан с несколькими факторами:

Во-первых, в настоящее время ИТ – это одна из «горячих» тем для бизнеса. Бизнес все чаще осознает, что для получения новых точек роста в традиционных отраслях требуется привлечение ИТ и систем продвинутой аналитики, которые позволяют получать наиболее полную информацию о поведенческой модели своих клиентов, чтобы получить конкурентное преимущество на рынке. Традиционными инструментами достичь таких целей все сложнее, поэтому компании, даже далекие от ИТ начинают задействовать и развивать внутри своих структур новые направления с привлечением соответствующих специалистов в области продвинутой аналитики данных (Big Data). Трансформация традиционного подхода к ведению бизнеса в сторону ИТ– мировая тенденция: сейчас эпоха информационной революции и перехода в digital-среду. Компании осознают, что главное в данном процессе не упустить момент и вовремя начать цифровую трансформацию, которая позволит в ближайшей перспективе получать дополнительный драйвер развития.

Во-вторых, развитие новых цифровых направлений внутри компаний подразумевает значительные инвестиции в оборудование, программное обеспечение (ПО), высококвалифицированных специалистов. Соответственно, интеграция бизнес-процессов компании с ИТ требует проведение комплекса мероприятий, направленных на получение менеджментом компании независимого мнения о том, как компания может успешно трансформироваться и развиваться в условиях цифровизации бизнеса. Для контроля соответствия целей компании и ее ИТ-стратегии, а также целесообразность инвестиций в ИТ требуется привлечение функции ИТ-аудита.

В-третьих, отдельная специфика с точки зрения ИТ-рисков – увеличение санкционного давления со стороны западных производителей оборудования и ПО как на отдельные российские компании, так и на целые отрасли российской экономики. Адекватное и своевременное реагирование на новый тип рисков требует вовлечения функции ИТ-аудита для оценки возможных мер реагирования со стороны менеджмента ИТ.

ИТ-решения для автоматизации работы служб внутреннего аудита все больше входят в практику работы СВА. В настоящее время специализированное ПО установлено у половины служб внутреннего аудита, принявших участие в исследовании (в 2015 году эта цифра составляла 23%). Среди тех, кто не использует специализированное ПО для внутреннего аудита, 39% респондентов планируют его установить в течение ближайших двух лет.

Леонид Душатин, директор департамента внутреннего аудита, ПАО «Аэрофлот», говорит, что это свидетельствует о том, что с активным развитием цифровых технологий в основном бизнесе компаний-респондентов у руководителей служб внутреннего аудита также растет понимание необходимости внедрения систем автоматизации процессов внутреннего аудита и мониторинга рекомендаций СВА; а организация СВА должна быть адекватной уровню развития основного бизнеса компании.

Как показали результаты исследования Института внутренних аудиторов, абсолютное большинство компаний (92%) привлекают внешних специалистов в области информационных систем и технологий при проведении ИТ-аудитов (против 67% в 2015 году, 37% в 2013 году). При этом, в 40% компаний-респондентов имеются штатные аудиторы информационных технологий (ИТ-аудиторы).

Как показывает практика, для проведения ИТ-аудитов и аудитов с ИТ составляющей необходимо, чтобы в штате компании были специалисты, обладающие необходимым уровнем ИТ-компетенций. По словам Максима Козлова, ПАО «МТС», в идеале, такими людьми должны быть ИТ-аудиторы с опытом работы в сфере ИТ и/или информационной безопасности (особенно в сфере практической информационной безопасности). Без наличия соответствующих специалистов проведения качественных проектов ИТ-аудита силами только лишь сотрудников подразделения аудита, не обладающих (или имеющих только поверхностные представления о специфике ИТ) требуемым уровнем знаний и опыта работы, невозможно. Хорошо, когда в функцию приходит сотрудник, уже работающий ИТ-аудитором, при этом обладающий опытом работы в ИТ / ИБ. При этом хорошим соискателем может быть человек, имеющий достаточный уровень экспертизы в определенной технической области, но при этом обладающий также широким кругозором в ИТ и ИБ областях, живо интересующийся современными направлениями развития технологий.

Международная сертификация по ИТ-аудиту – одно из свидетельств того, что ИТ-аудитор имеет необходимый уровень компетенций и опыта в различных технических областях (управление ИТ, процессы операционного сопровождения ИТ, разработка ПО, информационная безопасность, процессы аудита информационных систем).

Максим Козлов отмечает, что для ИТ-аудитора необходимо знать основы архитектуры построения информационных систем и механизмов их развертывания, механизмы обеспечения отказоустойчивости, ключевые процессы операционной деятельности ИТ-подразделений и их метрики (например, анализ инцидентов, связанных с работой информационной системы, может предоставить информацию, на что нужно обратить внимание в ходе аудита или анализ журналов систем информационной безопасности / вирусной активности может выявить потенциального злоумышленника среди сотрудников компании), лучшие практики построения ИТ (ITIL, Cobit), которые могут быть использованы в качестве методологии оценки зрелости ключевых функций ИТ и использоваться для дальнейшего совершенствования и оптимизации ИТ. Основы информационной безопасности а также основные техники атаки и методы защиты от них также крайне важны в работе. Для ИТ-аудитора крайне важно желание саморазвиваться и узнавать что-то новое в технологиях.

Привлечение сторонних специалистов к проведению ИТ-аудитов обусловлено ростом количества используемых новых технологий и сложностью эксплуатируемых и внедряемых информационных систем в компаниях. Также для проведения узкоспециализированных проектов внутреннего аудита (например, аудит процессов разработки ПО, который может включать в себя в том числе анализ исходного кода разрабатываемой информационной системы на наличие проблем с точки зрения информационной безопасности (злонамеренное включение разработчиками ПО различных «закладок»), так и анализ качества написания кода (анализ использования неоптимальных конструкций, устаревших библиотек и т.д.) или проект по аудиту кибербезопасности компании, который может включать в себя тестирование информационных систем и сервисов компании на устойчивость к внешним атакам - «тестирование на проникновение») требуется наличие в подразделении ИТ-аудита узкоспециализированных специалистов, обладающих необходимым набором технических навыков и практического опыта. Также стоит отметить, что существуют требования различных регуляторов по проведению аудитов с ИТ-составляющей (тестирование ITGC) с участием внешних аудиторов.

2011: Политика контроля и измерения эффективности Системы Управления Информационной Безопасностью (СУИБ)

Политика контроля эффективности СУИБ, который устанавливает систему измерений и мер измерений для осуществления контроля и оценки эффективности механизмов контроля информационной безопасности на основании положений стандарта ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения.

Целями Политики контроля эффективности СУИБ являются предоставление руководству организации информации для принятие решений по совершенствованию механизмов контроля ИБ с целью минимизации рисков наиболее эффективным и экономически целесообразным способом, а также предоставление заинтересованным сторонам достоверной информации о существующих рисках ИБ, а также состоянию СУИБ, используемой для управления этими рисками.

В качестве объектов измерений выступают:

• СУИБ в целом
• подсистемы СУИБ, включая Систему Управления Информационными Рисками, Систему Управления Инцидентами, Систему Управления Непрерывностью Бизнеса и прочие подсистемы
• отдельные механизмы и области контроля в области действия СУИБ, определяемые в соответствии с положениями международного стандарта ISO/IEC 27001:2005 (Приложение А)
• политики безопасности и прочие организационно-распорядительные документы, регламентирующие вопросы обеспечения ИБ
• процессы и процедуры обеспечения ИБ
• программно-технические средства и комплексы средств обеспечения ИБ

Процесс измерений эффективности СУИБ реализуется в виде Программы измерений. Программа измерений определяет последовательность мероприятий по оценке механизмов контроля СУИБ (и прочих объектов измерений) путем измерения их эффективности.

Целями оценки механизмов контроля СУИБ являются:

• Выявления неэффективных механизмов контроля, не соответствующих установленным в организации требованиям и критериям эффективности
• Оценки возврата инвестиций в СУИБ
• Определение способов повышения эффективности СУИБ и усовершенствования механизмов контроля

Основным критерием оценки механизмов контроля СУИБ является обеспечиваемый этими механизмами контроля возврат инвестиций, определяемый как уменьшение прогнозируемых среднегодовых потерь организации в результате инцидентов ИБ. Методика измерения экономической эффективности СУИБ базируется на оценке рисков, являющейся отправной точкой для выбора и оценки механизмов контроля, а результаты измерений, в свою очередь, используются для оценке рисков.

Эффективно реализованная в соответствии программа измерений позволит укрепить доверие заинтересованных сторон (клиентов, партнеров, контрагентов, регулирующих органов, акционеров и т.д.) к результатам измерений и оценки существующих рисков ИБ, а также обеспечить реализацию процесса непрерывного совершенствования СУИБ и отслеживать прогресс в достижении целей информационной безопасности на основе накопленных результатов измерений.

Смотрите также

• Стандарт Банка России СТО БР ИББС
• ISO 9001:2008 (ISO 9001:2011)
• ISO 20022
• ISO 15926-1:2004
• ISO 9000
• ISO 21500, ISO 21504, ISO 21502 Project, Programme and Portfolio Management
• ISO 20000
• ISO 55001 Менеджмент активов. Системы менеджмента. Требования
• ISO 15408 Common Criteria for Information Technology Security Evaluation