Аудит информационной безопасности в кредитно-финансовых организациях. Подготовка кадров

Хайров Игорь,

Проректор НОУ «Академия Информационных Систем», к.т.н., доцент

Аудит информационной безопасности в кредитно-финансовых организациях, это сложный, многофакторный и ресурсоемкий процесс. Аудит является одним из наиболее эффективных инструментов для получения независимой и объективной оценки соответствия регламентирующим документам и текущего уровня защищенности организации банковской системы Российской Федерации (БС РФ) от угроз информационной безопасности (ИБ). Однако необходимо понимать, что аудит ИБ - не разовая процедура, он должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную отдачу и способствовать повышению уровня информационной безопасности организации БС РФ.

Оптимальной можно считать ситуацию, когда аудит на постоянной основе является неотъемлемой частью процесса системы обеспечения информационной безопасности организации БС РФ.

Существует множество случаев, в которых целесообразно проводить аудит информационной безопасности. Аудит ИБ может помочь решить следующие задачи:

1. Получение оценки уровня эффективности существующих в организации БС РФ мер по защите информации.

2. Приведение действующей системы безопасности в соответствие требованиям российского или международного законодательства.

3. Систематизация и упорядочивание существующих мер защиты информации.

4. Получение обоснования инвестиций на развитие системы обеспечения информационной безопасности организации БС РФ.

5. Иное.

Организация банковской системы РФ может самостоятельно силами своих сотрудников провести самооценку или пригласить внешних консультантов. В первом случае, в организации БС РФ в штате должны быть высококвалифицированные специалисты с опытом по проведению аудитов. Во втором случае, организация БС РФ должна убедиться, что внешняя организация консультант обладает необходимыми компетенциями, к которым относится не только, и даже не столько, материальная база, сколько интеллектуальный человеческий потенциал.

В качестве одного из подтверждений наличия необходимой квалификации (знаний и опыта) аудитора, является успешное прохождение им курсов повышения квалификации аккредитованных Координационным Советом Сообщества ABISS.

В настоящее время в России таких курсов существует два:

1. «Внедрение Стандарта Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»».

2. «Аудит информационной безопасности организаций банковской системы РФ».

Данные курсы разработаны и проводятся экспертами Академии Информационных Систем, обладающими многолетним практическим опытом обеспечения ИБ в организациях БС РФ. В программах курсов учтены все особенности нового законодательства в области ИБ и особенности последней редакции Стандарта Банка России СТО БР ИББС-1.0-2010.

Курсы проводят аттестованные тренеры Академии Информационных Систем, а также эксперты ABISS.

В курсе «Аудит информационной безопасности организаций банковской системы РФ» с разной степенью детализации рассматриваются следующие вопросы:

1. Специфика проведения Аудита ИБ организации БС РФ.

2. Дополнения и изменения в комплексе стандартов СТО БР ИББС.

3. Соответствие стандарта СТО БР ИББС другим стандартам информационной безопасности PCI DSS, ISO27001.

4. Требования стандарта СТО БР ИББС – 1.0 – 2010 к проведению аудита и самооценки. Критерии и направления оценки.

5. Взаимоотношение аудиторской компании и проверяемой организации БС РФ.

6. Методика оценки соответствия ИБ организаций БС РФ требованиям СТО БР ИББС 1.0 - 2010.

7. Подготовка к проведению Аудита организации БС РФ. План и программа Аудита.

8. Исходные данные для оценки соответствия ИБ: цель, границы оценки, возможные ограничения. Управление оценкой. Роли и ресурсы для реализации оценки. Алгоритм процесса оценки соответствия ИБ организации БС РФ.

9. Состав основных документов при подготовке и проведении аудита информационной безопасности организации БС РФ.

10. Оценка текущего состояния информационной безопасности организации БС РФ. Примеры свидетельств оценки. Шкала оценивания степени выполнения требований информационной безопасности.

11. Оценка менеджмента информационной безопасности организации БС РФ. Примеры свидетельств оценки. Шкала оценивания степени выполнения требований информационной безопасности.

12. Оценка уровня осознания информационной безопасности организации БС РФ. Примеры свидетельств оценки. Шкала оценивания степени выполнения требований информационной безопасности.

13. Особенности оценки степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных.

14. Определение оценки уровня соответствия информационной безопасности организации БС РФ. Отображение оценок.

15. Оформление результатов Аудита. Заключение по результатам Аудита.

16. Применение инструментальных средств автоматизации проведения оценки соответствия информационной безопасности.

По окончании обучения и успешном прохождении итогового тестирования слушатели получат Удостоверение о повышении квалификации и Сертификат ABISS.

Полученные на курсах Академии Информационных Систем знания помогут специалистам самостоятельно ориентироваться в нормативно-правовой базе в области обеспечение информационной безопасности БС РФ, самостоятельно проводить оценку групповых и частных показателей, понимать требования Стандарта Банка России в части защиты персональных данных, понимать специфику организации и проведения аудитов ИБ в организациях БС РФ.

По всем вопросам, связанным с обучением по актуальным аудиторским курсам, просьба обращаться по адресу security@infosystem.ru