И вечный аудит. Покой банкам и не снится

Есть в стандарте Банка России СТО БР ИББС 1.0-2014 требование о наличии в кредитно –финансовой организации, присоединившейся к стандарту, такого документа, как программа аудита. В соответствии с определением, там должны быть сведены планы проведения проверок выполнения требований не только стандарта, но и всех остальных проверок состояния информационной безопасности (ИБ): «Программа аудита ИБ включает всю деятельность, необходимую для планирования, проведения, контроля, анализа и совершенствования аудитов ИБ (и других проверок ИБ)».

За окошком – декабрь, и мы с нашими клиентами корректируем планы работ в новом году. Дошли руки и до программы аудита, как-никак документ во многом базовый, да и стандарт требует периодической корректировки программы.

Банк России рекомендует чередовать самооценку выполнения требований стандарта с аудитами с привлечением внешней проверяющей организации, есть ряд обязательных требований о проведении проверок безопасности и в других документах.

Обобщив и подытожив, получаем картину довольно суровую.

Допустим, банк с учетов выхода новой редакции стандарта провел аудит силами привлекаемой организации. Значит, в соответствии с требованиями стандарта, через два года, в 2016 году, ему целесообразно провести самооценку, а в 2018 – снова аудит.

Между самооценкой и аудитом скучать тоже будет некогда.

1 ноября 2012 года постановлением Правительства № 1119 были утверждены «Требования к защите персональных данных при их обработке в ИСПДн», среди которых – необходимость контроля за их выполнением оператором самостоятельно или с привлечением на договорной основе лицензиатов ФСТЭК не реже 1 раза в 3 года. Эти три года с момента установления нормы истекают как раз в ноябре 2015 года, значит, если банк этого не сделал раньше (а большинство КФУ, по нашим наблюдениям, этого не делало), в 2015 году надо провести проверку выполнения требований к защите персональных данных.

Как мы с вами помним, в соответствии с положением Банка России № 382-П, первая оценка выполнения его требований должна была завершиться не позднее 9 января 2014 года. Периодичность проведения оценок – раз в два года. Значит, до конца 2015 года надо провести и работу по 382-П, и не просто провести, а отчитаться за нее Банку России. Аналогичная работа должна быть проведена и в конце 2017 года, а в 2018 – снова аудит на соответствие СТО БР ИББС с привлечением внешней организации. И так по кругу.

Не будем забывать, что проверка – не самоцель, каждая из них должна заканчиваться анализом полученных результатов и выработкой предложений по результатам проверки, подготовкой и представлением руководству Банка предложений по совершенствованию системы защиты информации и программы аудита, а затем надо обеспечить еще и реализацию всех подготовленных предложений, получив для этого не только «добро» руководства банка, но и необходимые ресурсы.

А между всеми этими проверочными, планирующими и корректирующими мероприятиями должен, как это требует стандарт, вестись непрерывный мониторинг информационной безопасности и контроля защитных мер в банке в целях оперативного и постоянного наблюдения, сбора, анализа и обработки данных для контроля за реализацией положений внутренних документов по обеспечению информационной безопасности в банке, выявления нештатных, в том числе злоумышленных, действий в автоматизированной банковской системе и инцидентов информационной безопасности, а также анализ функционирования системы обеспечения информационной безопасности.

Вот такой вот вечный бой. В заключение – табличка, построенная исходя из того, что внешний аудит проводился банком в 2014 году и первое контрольное мероприятие выполнения требований в защите персональных данных будет в 2015 году.

2014	Аудит соответствия состояния информационной безопасности требованиям стандарта Банка России СТО БР ИББС 1.0-2014
2015 (до ноября)	Проверка выполнения требований к защите персональных данных при их обработке в ИСПДн и эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению их безопасности
2015 (до 9 января 2016)	Оценка выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 09.06.2012 № 382-П
2016	Проведение самооценки соответствия информационной безопасности требованиям стандарта Банка России СТО БР ИББС 1.0-2014
2017 (до 9 января 2018)	Оценка выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 09.06.2012 № 382-П
2018	Аудит соответствия состояния информационной безопасности требованиям стандарта Банка России СТО БР ИББС 1.0-2014

И не забудем отправить в Банк России сведения о результатах оценки выполнения требований 382-П, «Подтверждения соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014» по результатам аудита и самооценки!