ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

И вечный аудит. Покой банкам и не снится

Аудит банков

Есть в стандарте Банка России СТО БР ИББС 1.0-2014 требование о наличии в кредитно-финансовой организации, присоединившейся к стандарту, такого документа, как программа аудита.

В соответствии с определением, там должны быть сведены планы проведения проверок выполнения требований не только стандарта, но и всех остальных проверок состояния информационной безопасности (ИБ): "Программа аудита ИБ включает всю деятельность, необходимую для планирования, проведения, контроля, анализа и совершенствования аудитов ИБ (и других проверок ИБ)".

За окошком – декабрь, и мы с нашими клиентами корректируем планы работ в новом году. Дошли руки и до программы аудита, как-никак документ во многом базовый, да и стандарт требует периодической корректировки программы.

Банк России рекомендует чередовать самооценку выполнения требований стандарта с аудитами с привлечением внешней проверяющей организации, есть ряд обязательных требований о проведении проверок безопасности и в других документах.

Обобщив и подытожив, получаем картину довольно суровую.

Допустим, банк с учетов выхода новой редакции стандарта провел аудит силами привлекаемой организации. Значит, в соответствии с требованиями стандарта, через два года, в 2016 году, ему целесообразно провести самооценку, а в 2018 – снова аудит.

Между самооценкой и аудитом скучать тоже будет некогда.

1 ноября 2012 года постановлением Правительства №1119 были утверждены "Требования к защите персональных данных при их обработке в ИСПДн", среди которых – необходимость контроля за их выполнением оператором самостоятельно или с привлечением на договорной основе лицензиатов ФСТЭК не реже 1 раза в 3 года. Эти три года с момента установления нормы истекают как раз в ноябре 2015 года, значит, если банк этого не сделал раньше (а большинство КФУ, по нашим наблюдениям, этого не делало), в 2015 году надо провести проверку выполнения требований к защите персональных данных.

Как мы с вами помним , в соответствии с положением Банка России №382-П, первая оценка выполнения его требований должна была завершиться не позднее 9 января 2014 года. Периодичность проведения оценок – раз в два года. Значит, до конца 2015 года надо провести и работу по 382-П, и не просто провести, а отчитаться за нее Банку России. Аналогичная работа должна быть проведена и в конце 2017 года, а в 2018 – снова аудит на соответствие СТО БР ИББС с привлечением внешней организации. И так по кругу.

Не будем забывать, что проверка – не самоцель, каждая из них должна заканчиваться анализом полученных результатов и выработкой предложений по результатам проверки, подготовкой и представлением руководству Банка предложений по совершенствованию системы защиты информации и программы аудита, а затем надо обеспечить еще и реализацию всех подготовленных предложений, получив для этого не только "добро" руководства банка, но и необходимые ресурсы.

А между всеми этими проверочными, планирующими и корректирующими мероприятиями должен, как это требует стандарт, вестись непрерывный мониторинг информационной безопасности и контроля защитных мер в банке в целях оперативного и постоянного наблюдения, сбора, анализа и обработки данных для контроля за реализацией положений внутренних документов по обеспечению информационной безопасности в банке, выявления нештатных, в том числе злоумышленных, действий в автоматизированной банковской системе и инцидентов информационной безопасности, а также анализ функционирования системы обеспечения информационной безопасности.

Вот такой вот вечный бой. В заключение – табличка, построенная исходя из того, что внешний аудит проводился банком в 2014 году и первое контрольное мероприятие выполнения требований в защите персональных данных будет в 2015 году.

2014Аудит соответствия состояния информационной безопасности требованиям стандарта Банка России СТО БР ИББС 1.0-2014
2015 (до ноября)Проверка выполнения требований к защите персональных данных при их обработке в ИСПДн и эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению их безопасности
2015 (до 9 января 2016)Оценка выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 09.06.2012 №382-П
2016Проведение самооценки соответствия информационной безопасности требованиям стандарта Банка России СТО БР ИББС 1.0-2014
2017 (до 9 января 2018)Оценка выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 09.06.2012 №382-П
2018Аудит соответствия состояния информационной безопасности требованиям стандарта Банка России СТО БР ИББС 1.0-2014

И не забудем отправить в Банк России сведения о результатах оценки выполнения требований 382-П, "Подтверждения соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014" по результатам аудита и самооценки!

Автор статьи: Михаил Емельянников


Security Lab (02.12.2014 в 09:20) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2014 ООО "Ди Эй Кей продакшн"