CC BY
2УДК 004 Фомин А.В., Резниченко С.А.
Фомин А.В.
студент,
Финансовый университет при Правительстве Российской Федерации
(г. Москва, Россия)
Научный руководитель: Резниченко С.А.
кандидат технических наук, доцент кафедры информационной безопасности Финансовый университет при Правительстве Российской Федерации
(г. Москва, Россия)
ОСОБЕННОСТИ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИЯХ КРЕДИТНО-ФИНАНСОВОЙ СФЕРЫ
Аннотация: в данной статье рассмотрены особенности аудита информационной безопасности, проводимого на предприятиях кредитно-финансовой сферы. Кроме того, в статье описаны некоторые требования к проведению аудита ИБ в банковской сфере согласно отраслевым стандартам Банка России.
Ключевые слова: аудит, требования, кредитно-финансовая сфера, стандарт.
В настоящее время большинство людей не могут обойтись без информационных технологий в своей повседневной жизни. Эти технологии широко используются в различных областях уже много десятилетий. Вся обрабатываемая информация должна быть защищена от перехвата и несанкционированного доступа. Здесь нужно понимать, что необходимо не только создать надежную систему информационной безопасности с помощью различных средств, таких как криптография, брандмауэры и физические меры
защиты, но и регулярно проводить проверку всей системы для выявления возможных уязвимостей и угроз.
Именно для этого многие компании и организации проводят аудит информационной безопасности. Согласно стандарту ГОСТ Р ИСО/МЭК 27000, он представляет собой независимый и задокументированный процесс, предназначенный для получения свидетельств аудита и объективной оценки аудиторами степени соблюдения критериев аудита [6]. Но перед тем, как говорить конкретно об аудите в кредитно-финансовой сфере, нужно определиться с общими основами аудита. Вся методика, требования к проведению аудита, требования к аудиторам и т.д. прописаны в нормативно-правовых актах, касающихся аудита. Основными такими актами является комплекс, состоящий из трех ГОСТов: ГОСТ Р ИСО/МЭК 27006-2020, ГОСТ Р ИСО/МЭК 27007-2014 и ГОСТ Р 56045-2021/ISO/IEC TS 27008:2019. Первый описывает требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. Второй стандарт предоставляет руководство по менеджменту программы аудита СМИБ, а также по проведению аудитов и определению компетентности аудиторов [7]. Последний акт предоставляет рекомендации по оценке реализации и функционирования мер обеспечения ИБ. В стандарте предлагаются инструкции по анализу и оценке мер обеспечения ИБ, используемых в рамках системы менеджмента ИБ.
До того, как появились отечественные стандарты в сфере информационной безопасности, банки и другие финансовые учреждения осуществляли управление безопасностью на основе внутренних регламентов. В течение последних 20 лет Банк России начал разрабатывать нормативно-правовые акты, определяющие меры по обеспечению безопасности информационных систем финансовых организаций. В настоящее время требования к информационной безопасности в финансовой сфере установлены документами Банка России.
Главной особенностью проведения аудита в кредитно-финансовой сфере является необходимость проведения аудита не только согласно требованиям стандартов ГОСТ, но и согласно нормативным документам Банка России. То есть аудиторская компания при проведения банковского аудита должна предоставить компетентных специалистов, которые будут знать структуру и требования не только основных актов, но и отраслевых стандартов Банка России и указаний.
Так, аудит ИБ организации банковской сферы РФ должен проводиться в соответствии с требованиями стандартов СТО БР ИББС-1.0, СТО БР ИББС-1.1 и СТО БР ИББС-1.2. Согласно им должна быть реализована программа аудитов ИБ, содержащая информацию, необходимую для планирования и организации аудитов ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения указанных аудитов ИБ в заданные сроки. Стандартом СТО БР ИББС-1.0 определено требование проведения регулярной внешней и внутренней оценки ИБ, а также самооценки ИБ. Также для каждого проводимого аудита ИБ в кредитно-финансовой сфере должен быть установлен план аудита и оформлен договор с аудиторской организацией [4]. По результатам проведения аудита ИБ аудиторская группа должна подготовить отчет. Руководитель аудиторской группы несет ответственность за подготовку и содержание отчета по результатам проведения аудита ИБ. Отчет должен предоставлять полные, точные, четкие и достаточные записи по аудиту ИБ.
Помимо стандартов ЦБ нужно руководствоваться и некоторыми указаниями Банка России, среди которых №6329-У «О порядке признания Банком России аудиторского заключения о бухгалтерской (финансовой) отчётности общественно значимых организаций» и №6428-У.
Таким образом, аудит, проводимый в финансовой сфере, имеет ряд некоторых особенностей, требующих привлечения специализированных аудиторских организаций. При проведении аудиторских проверок банков и других кредитно-финансовых учреждений рассматриваются различные аспекты
их деятельности, среди которых и мониторинг системы обеспечения ИБ, и контроль защитных мер, и данные об угрозах, возможных уязвимостях и нарушителях. В связи с этим можно сказать, что аудиторы несут ответственность за профессионализм и качество проводимых проверок, объективность и точность выводов, поскольку результаты аудита используются для подтверждения годового отчета, публикации баланса и общей оценки деятельности финансового учреждения.
СПИСОК ЛИТЕРАТУРЫ:
1. Аудит информационной безопасности финансовых организаций: не только затраты [Электронный ресурс]. URL: https://www.cibit.ru/stati-ekspertov/audit-mformacionnoj-bezopasnosti-finansovyx-orgamzacij/ (дата обращения: 24.03.2024);
2. Особенности проведения аудиторской проверки в банковской сфере [Электронный ресурс]. URL: https://scienceforum.ru/2020/article/2018023421 (дата обращения: 24.03.2024);
3. Правовые акты Банка России [Электронный ресурс]. URL: https://cbr.ru/information_security/acts/?la.Search=&la.TagId=&la.VidId=26&la.Dat e.Time=Any&la.Date.DateFrom=&la.Date.DateTo= (дата обращения: 24.03.2024);
4. СТО БР ИББС-1.0-2014 [Электронный ресурс]. URL: https://cbr.ru/Crosscut/LawActs/File/446 (дата обращения: 24.03.2024);
5. СТО БР ИББС-1.1-2007 [Электронный ресурс]. URL: https://cbr.ru/Crosscut/LawActs/File/447 (дата обращения: 24.03.2024);
6. ГОСТ Р ИСО/МЭК 27000-2021 [Электронный ресурс]. URL: https://docs.cntd.ru/document/1200179675 (дата обращения: 24.03.2024);
7. ГОСТ Р ИСО/МЭК 27007-2014 [Электронный ресурс]. URL: https://docs.cntd.ru/document/1200112881 (дата обращения: 24.03.2024)
Fomin A. V., Reznichenko S.A.
Fomin A.V.
Financial University under Government of Russian Federation
(Moscow, Russia)
Scientific advisor: Reznichenko S.A.
Financial University under Government of Russian Federation
(Moscow, Russia)
FEATURES OF INFORMATION SECURITY AUDIT
AT CREDIT AND FINANCIAL SECTOR ENTERPRISES
Abstract: this article discusses the features of the information security audit conducted at enterprises of the credit andfinancial sector. In addition, the article describes some requirements for conducting an information security audit in the banking sector in accordance with the industry standards of the Bank of Russia.
Keywords: audit, requirements, credit andfinancial sphere, standard.
