Средства и методы аудита информационной безопасности финансовых организаций

На современном этапе развития информационные технологии становятся одним из основных инструментов обеспечения функционирования и конкурентоспособности финансовых организаций.  По мере совершенствования финансовые организации становятся все более сложными и динамичными бизнес-системами. При этом усложняется структура управления этими системами, а также обработка и передача надлежащей информации, которая является важной их частью. По мере изменения требований бизнес-среды меняются требования, предъявляемые к программным продуктам и ИТ-услугам, что приводит к добавлению в их поддерживающую инфраструктуру новых программно-аппаратных платформ, сложность и разновидность которых оказывает влияние на управляемость информационной системой, стабильность и эффективность ее функционирования, а также ее защищенность от постоянных внешних и внутренних угроз.

Актуальность выбранной темы выпускной квалификационной работы обусловлена особенностью банковской системы Российской Федерации, реализация угроз информационной безопасности может привести к негативным последствиям, сбоям в работе банков, что в свою очередь приведет к быстрому развитию системного кризиса платежной системы и нанесению ущерба интересам собственников и клиентов, поэтому экономическим субъектам необходима объективная оценка уровня безопасности их информационных систем, которую может предоставить аудит информационной безопасности. В случаях наступления инцидентов информационной безопасности значительно возрастают возможность нанесения ущерба организациям, что приведет к финансовым потерям. Поэтому для организаций банковской системы Российской Федерации угрозы информационной безопасности представляют существенную опасность.

Рост применения информационных технологий, используемых в информационных системах для получения, обработки, хранения и передачи информации всем заинтересованным в ней пользователям, признает главным проблемы ее защиты, особенно в условиях глобального роста числа информационных угроз, приводящих в случае их реализации к серьезным финансовым и материальным потерям. Как показало исследование InfoWatch, за 2017 год был зарегистрирован 2131 случай утечки конфиденциальной информации (5,8 инцидента в день), что на 36,9% превышает аналогичный показатель за прошлый год.

Аудит информационной безопасности в современные условия становится незаменимым инструментом осуществления разностороннего исследования и оценки информации, принятия управленческих решений, прогнозирования развития организации и её информационной системы. При этом следует учитывать, что банковская информационная система, весьма сложное и многофункциональное явление, требующее усердного и разностороннего подхода к ее исследованию. Следовательно, аудиту должны подвергаться ИТ-процессы, а также именно та информация, которая обработана и подготовлена с помощью информационных технологий.

Цель работы состоит в разработке методики аудита информационной безопасности финансовой организации, на основании которой можно было бы решать задачи управления информационной безопасностью в финансовых организациях.

Для достижения указанной цели были поставлены и решены следующие задачи:

- изучение аудита информационной безопасности;

- изучение государственных стандартов Российской Федерации регулирующих информационную безопасность в финансовых организациях;

- изучение стандартов Банка России в области информационной безопасности;

- изучение методики оценки соответствия стандартам;

- составление методики аудита информационной безопасности.

Объектом исследования выступает аудит информационной безопасности финансовой организации.

Предмет исследования – средства и методы проведения аудита ИБ.

В процессе написания выпускной квалификационной работы был проведен анализ нормативно правовых актов Российской Федерации, а также национальных стандартов Российской Федерации.

1 Теоретические аспекты аудита информационной безопасности в финансовой организации

1.1 Технология проведения аудита информационной безопасности в финансовой организации

Согласно стандарту Банка России СТО БР ИББС-1.1-2007, аудит информационной безопасности – это систематический, независимый документируемый процесс получения свидетельств аудита деятельности организации банковской системы Российской Федерации по обеспечению информационной безопасности и установлению степени выполнения в организации критериев информационной безопасности, а также допускающий возможность формирования профессионального аудиторского суждения о состоянии информационной безопасности организации [1].

Аудит информационной безопасности (далее – ИБ) позволяет получить наиболее полную и объективную оценку защищенности информационной системы (далее – ИС), локализовать имеющиеся проблемы и разработать эффективную программу построения системы обеспечения ИБ банковской организации. В рамках аудита ИБ или отельным проектом может быть проведен тест на проникновение, позволяющий проверить способность ИС компании противостоять попыткам проникновения в сеть и неправомочного воздействия на информацию.

Проведение регулярного аудита систем информационной безопасности позволяет: предотвращать утечку конфиденциальной информации из компании, выявлять наиболее узкие места в компании с точки зрения ИБ и повышать культуру информационной безопасности среди сотрудников компании [7].

Основными предпосылками проведения аудита ИБ являются:

- получение объективной информации о защищенности информационных активов, оценка эффективности действующих систем защиты;

- оценка соответствия систем защиты (получение сертификата соответствия) требованиям международных и отечественных стандартов, отраслевым нормативным документам;

- контроль функционирования информационной системы и деятельности персонала.

Можно выделить несколько целей проведения аудита информационной безопасности:

- анализ возможности осуществления угроз безопасности по отношению к информационным системам;

- определение уровня защищенности информационной системы и выявление слабых мест в системе защиты;

- формирование рекомендаций по повышению эффективности механизмов безопасности информационных систем;

- оценка полноты выполнения законодательных требований, стандартов, нормативных документов [2].

В зависимости от предпосылок проведения аудита информационной безопасности, его можно разделить на несколько видов:

- документальная проверка. Проверка документов по вопросам информационной безопасности организации на соответствие международным стандартам, рекомендациям и практикам ИБ.

- анализ конфигураций ИС. Анализ конфигураций оборудования, настроек ИС и сервисов.

- инструментальный аудит. Выявление уязвимостей программного и аппаратного обеспечения систем средствами автоматизированной проверки [2. Может являться как отдельным видом аудита информационной безопасности так и частью другого вида.

Основные формы аудита для информационных систем:

• первичный аудит – проводится на этапе формирования бизнес требований к внедряемой ИС. Основная цель – формирование концепции ИБ в рамках данной ИС для решения проблем реализации требований нормативных документов.
• проектный аудит – проводится на этапе формирования функциональных и технических требований к внедряемой ИС. Основная цель формирование конкретных требований к ИС по обеспечению безопасности, определение необходимых средств зашиты.
• аттестационный аудит – проводится после завершения работ по построению ИС. Основная цель – подтверждение соответствия принятых мер в части ИБ требуемым стандартам.
• плановый аудит – проводится на протяжении всего жизненного цикла ИС. Основная цель – контроль (подтверждение) уровня информационной безопасности, проверка соблюдения пользователями ИС политик безопасности [16].

Существуют общепринятые этапы проведения аудита информационной безопасности:

- инициирование и планирование аудита информационной безопасности;

- сбор информации об организации.

- анализ собранной информации;

- выработка рекомендаций;

- подготовка отчетных документов;

Подробный разбор этапов приведен в главе 3.

Главная задача проведения аудита информационной безопасности – проверка и контроль соблюдения процессов и требований по безопасности в информационной системе. При этом не стоит забывать, что наиболее эффективным является комплексный подход к аудиту – проверки требований к техническим и программным средствам недостаточно. Не менее важной составляющей является проверка достаточности организационных мер защиты. Информационная безопасность должна быть обеспечена как на техническом, так и на организационно-административном уровне.

1.2  Основные принципы И КРИТЕРИИ проведения аудита информационной безопасности

Проведение аудита ИБ основывается на ряде принципов, следование которым является предпосылкой для обеспечения объективных заключений по результатам аудита ИБ. Эти принципы должны быть признаны и соблюдены всеми сторонами, участвующими в аудите ИБ. Выполнение принципов способствует повышению безопасности организации и информационной системы.

Принципы, относящиеся к аудиту ИБ:

• независимость аудита ИБ. Аудит ИБ должен проводиться независимыми организациями или независимыми аудиторами. Независимость является основанием для беспристрастности при проведении аудита ИБ и объективности при формировании заключения по результатам аудита ИБ. Главным и самым важным принципом аудита является независимость. Независимость аудиторов и аудиторских организаций должна обеспечиваться рядом условий и ограничений, обязательных при выполнении аудиторской деятельности в области ИБ.
• полнота аудита ИБ. Аудит ИБ должен охватывать все области ИБ и защитные меры, указанные в договоре на проведение аудита ИБ. Кроме того, полнота аудита ИБ определяется достаточностью предоставленных материалов, документов и уровнем их релевантности. Полнота аудита ИБ является необходимым условием для формирования объективных заключений по результатам аудита ИБ;
• оценка на основе свидетельств аудита ИБ. Оценка на основе свидетельств является единственным способом, позволяющим получить повторяемое заключение по результатам аудита, что повышает к нему доверие. Для повторяемости заключения свидетельства аудита ИБ должны быть воспроизводимыми;
• необходимость понимания аудитором деятельности проверяемой организации. При проведении аудита аудитор должен понимать деятельность проверяемой организации в достаточной степени, чтобы идентифицировать и правильно оценивать события, процессы, относящиеся к области ИБ, с учетом возможностей применения методов и способов оценки рисков, которые могут оказывать существенное влияние на достоверность проверяемых данных, на ход проведения проверки или на выводы, содержащиеся в аудиторском заключении. До проведения проверки аудиторская организация должна получить первоначальные знания особенностей отрасли, права собственности, управления и деятельности организации, подлежащей аудиту, и оценить их достаточность для проведения аудита;
• компетентность и этичность. Доверие процессу аудита зависит от компетентности тех, кто проводит аудит, и от этичности их поведения. Компетентность базируется на личных качествах аудитора и способности применять знания и навыки. Этичность поведения подразумевает ответственность, неподкупность, умение хранить тайну, беспристрастность [1].

Под критериями аудита информационной безопасности понимается совокупность политик обеспечения безопасности информации, процедур или требований, установленных Федеральными стандартами и нормативами, с которыми сравнивается свидетельство аудита информационной безопасности. Свидетельство аудита информационной безопасности определяется как записи, изложения фактов или другой информации, связанной с критериями аудита информационной  безопасности, которая может быть перепроверена. Любые свидетельства аудита, в том числе свидетельства, содержащие информацию об инцидентах информационной безопасности, должны быть доступны для лиц выполняющих аудит информационной безопасности [13].

1. Курило А. П., Зефиров В. Б., Голованов В. Б. [Текст] / Аудит информационной безопасности / Москва, «БДЦ-пресс», 2006. – 302 с.
2. СТО БР ИББС-1.1-2007 , 2007. – 14 с.
3. Федеральный закон [Текст] / Федеральный закон от 29 июля 2015 г.. №9-162-ФЗ «О стандартизации в Российской Федерации»
4. Рекомендации в области стандартизации Банка России ИББС-2-7-2015 [Текст] / «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности / 2015
5. ГОСТ Р 57580.1-2017. Безопасность финансовых (банковских) операций. [Текст] / ЗАЩИТА ИНФОРМАЦИИ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ Базовый состав организационных и технических мер / Москва, Стандартинформ 2017 г. 66 с.
6. ГОСТ Р 57580.2-2017 Безопасность финансовых (банковских) операций [Текст] / ЗАЩИТА ИНФОРМАЦИИ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ Методика оценки соответствия / Москва, Стандартинформ 2018 г. 22 с.
7. Рекомендации в области стандартизации Банка России РС БР ИББС -2.5.2014 [Текст] / Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации. / Москва Банк России 2014 г. 30 с.
8. Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
9. Федеральный закон [Текст]: / Федеральный закон от 27 июля 2006 г. №9-152-ФЗ «О персональных данных» 2006 г.
10. Ситнов А. А. [Текст] : / Организаций аудита информационной безопасности – Москва, 2016 г.
11. Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) [Текст] / Комплекс документов.
12. ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология [Текст] / Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Москва 2008 г.
13. Петренко С.А. Аудит безопасности Iuranrt [Текст] / С.А. Петренко, А.А. Петренко - М: Академии АиТи: ДМК Пресс, 2002. - 438с.
14. Малюк А. А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. пособие для вузов. – М: Горячая линия–Телеком, 2004. – 280
15. Краковский, Ю.М. Информационная безопасность и защита информа-ции : учеб. пособие / Ю. М. Краковский. - М. ; Ростов н/Д : МарТ, 2008. - 287 с. - ISBN 978-5-241-00925-
16. Информационная безопасность [Электронный ресурс] - АУДИТ, ОЦЕНКА http://esstm.blogspot.com/
17. Ерохин С.С., Голубев С.В. Международные стандарты в области аудита информационной безопасности: история создания, текущее состояние и проблемы. Научная сессия ТУСУР – 2007: Материалы докладов Всероссийской научно–технической конференции студентов, аспирантов и молодых ученных, Томск 4–7 мая 2007г. Ч2. – 117–119с