Доверенной среде аудита ИБ быть!

О своем видении реформы аудита ИБ в финансовой сфере «Б.О» рассказали Анастасия Харыбина, председатель Ассоциации пользователей стандартов по информационной безопасности «АБИСС», и Евгений Безгодов, эксперт Ассоциации

Доверенной среде аудита ИБ быть!

Интервью в журнале «Банковское обозрение»

— Что происходит на рынке внешнего аудита ИБ в финансовых организациях?

Анастасия Харыбина: В последние годы появилось множество новых требований к обеспечению ИБ в финансовых организациях (ФО), значительно усилился надзор в этой сфере, появился ГОСТ 57580 и связанные с ним положения Банка России. Сейчас требования о проведении аудита ИБ распространяются примерно на 420 кредитных (банки и НКО) и 170 крупных некредитных ФО.

— Насколько сейчас упорядочена эта сфера? Кто имеет право проводить внешний аудит ИБ и как ФО подходят к выбору таких организаций?

Анастасия Харыбина: Пока о наличии какого-то цивилизованного рынка внешнего аудита ИБ говорить рано. Сообщество аудиторов, ФО и регулятор делают первые шаги в направлении наведения порядка и урегулирования. Базовая проблема, из которой вытекают все остальные, заключается в том, что внешний аудит ИБ в ФО могут проводить компании, единственное требование к которым — наличие лицензии Федеральной службы по техническому и экспортному контролю (ФСТЭК) на техническую защиту конфиденциальной информаци (ТЗКИ). Она выдается без учета того, что эти лицензиаты будут проводить внешний аудит ИБ. Соответственно никто не проверяет, есть ли у данных организаций опыт работы с ФО, знакомы ли они с требованиями, наработана ли практика подобных аудитов и так далее. Начинать наводить порядок на рынке аудита ИБ в ФО нужно именно с этой проблемы. Ведь сейчас на рынке существуют около 3 тыс. компаний, теоретически способных оказывать услуги внешнего аудита ИБ для ФО.

— Какие негативные последствия влечет такое положение дел и для кого?

Евгений Безгодов: Сложности возникают у ФО. Полагая, что у аудиторской компании имеется лицензия ФСТЭК на ТЗКИ, они рассчитывают получить качественный аудит своей функции ИБ и получают нечто, не соответствующее действительности. А ведь на этих результатах проверки они в том числе строят свои программы улучшения ИБ, тратят ресурсы на это, а затем проверка со стороны ЦБ выявляет множественные недочеты.

Иногда ФО и сами намеренно инициируют некачественный аудит. В этом случае за условные 100 рублей лицензиатами ТЗКИ подготавливается отчет о состоянии ИБ. А иногда ФО делают самостоятельно такой отчет, а тот же лицензиат только печать ставит. Понятно, что такие отчеты не отражают реального положения дел в ФО. Они снимают, как банки считают, комплаенс-риски, а на самом деле инициируют серьезные проблемы в будущем.

Также некачественный аудит ставит под удар и самого регулятора. Ведь ЦБ по результатам таких непрофессиональных проверок получает недостоверную информацию об устойчивости ИБ в его поднадзорных ФО. Следовательно, под угрозу попадает устойчивость всей банковской системы, возникает риск утраты доверия к ней.

Страдают от текущего состояния рынка внешнего аудита ИБ и честные аудиторы. Их опыт, знания специфики и процессов в отрасли не могут стоить те самые условные 100 рублей. И, если на рынке преобладает некачественный аудит, честным аудиторам становится неинтересно заниматься этим бизнесом. В итоге есть риск, что хороших аудиторов станет меньше.

— Что могло бы стать решением? Международный опыт тут имеет ценность?

Анастасия Харыбина: Заинтересованным в формировании рынка качественного аудита ИБ нужна инфраструктура, обеспечивающая объединение и надежное качественное взаимодействие сторон — ФО, аудиторов, учебных центров, регулятора. И эта инфраструктура должна быть доверенной, прозрачной, чтобы все ее участники понимали, что и по каким правилам в ее рамках происходит, доверяли результатам работы друг друга: ФО — экспертизе аудитора и результатам его работы, Банк России — данным аудитора о проверках в ФО и так далее. Ассоциация АБИСС инициировала создание подобной инфраструктуры, и нам удалось найти понимание и поддержку со стороны ЦБ.

Евгений Безгодов: Конечно, мы анализируем в том числе международный опыт, например опыт PCI Council. Ведь в России проводится аудит на соответствие стандарту PCI DSS. МПС Visa, Mastercard и другие объединились и создали Совет PCI SSC, наделив его рядом функций. Среди них — развитие стандарта PCI DSS (кстати, АБИСС в свое время его перевела) и осуществление подготовки и контроля за результатами работы аудиторов. Но надо понимать, что МПС тоже не сразу пришли к такому эффективному решению, и его реализация заняла время. Поэтому я считаю, что в России сейчас может идти процесс нормального постепенного развития доверенной среды аудита, но только при условии грамотного управления этим процессом. У нас он, вероятно, будет в формате системы добровольной сертификации, где объектом сертификации станет деятельность аудиторов. Несмотря на то что система опишет требования к аудиторам, я уверен, что пользу от ее создания получат и ФО. При этом нужно соблюсти множество нюансов, обеспечить баланс интересов всех заинтересованных сторон: Банка России, ФО, аудиторов, органов управления самой создаваемой системы добровольной сертификации и, конечно, в первую очередь клиентов финансовых организаций, активы которых подлежат защите.

— Уже удалось предпринять конкретные шаги для создания доверенной инфраструктуры аудита в России?

Анастасия Харыбина: Во-первых, чтобы подобная структура была сформирована и заработала, нужно решить несколько вопросов. Прежде всего регуляторам, регламентирующим аудит ИБ, нужно договориться друг с другом. Нам известно, что, понимая специфику ФО, ФСТЭК не имеет категорических возражений против появления доверенной инфраструктуры. Далее надо решить, как будут взаимодействовать участники в рамках этой инфраструктуры, разработать ее дизайн, описать и согласовать бизнес-процессы.

Во-вторых, аудит должен проходить по единой для всех методике. Ее должны знать сами ФО, им должно быть понятно, как именно их будут проверять, на что смотреть, какие меры будут считаться достаточными для реализации требований.

В-третьих, разработка системы контроля качества аудита. Нам предстоит решить, кто, как и когда будет проверять работу самих аудиторов. Наконец, нам нужно будет подготовить регламент обучения, повышения квалификации и аттестации аудиторов. Все перечисленные вопросы сейчас обсуждаются в АБИСС с участием представителей департамента информационной безопасности Банка России, есть документы, на базе которых будут строится положительные изменения. А изменения будут, и коснутся они ФО напрямую. Хорошая новость заключается в том, что у самих ФО есть реальный инструмент, чтобы повлиять на развитие событий и соблюсти баланс интересов. Это Ассоциация АБИСС.