Фомин А.В., Резниченко С.А.
ОСОБЕННОСТИ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИЯХ КРЕДИТНО-ФИНАНСОВОЙ СФЕРЫ *
Аннотация:
в данной статье рассмотрены особенности аудита информационной безопасности, проводимого на предприятиях кредитно-финансовой сферы. Кроме того, в статье описаны некоторые требования к проведению аудита ИБ в банковской сфере согласно отраслевым стандартам Банка России.
Ключевые слова:
аудит, требования, кредитно-финансовая сфера, стандарт
В настоящее время большинство людей не могут обойтись без информационных технологий в своей повседневной жизни. Эти технологии широко используются в различных областях уже много десятилетий. Вся обрабатываемая информация должна быть защищена от перехвата и несанкционированного доступа. Здесь нужно понимать, что необходимо не только создать надежную систему информационной безопасности с помощью различных средств, таких как криптография, брандмауэры и физические меры защиты, но и регулярно проводить проверку всей системы для выявления возможных уязвимостей и угроз.Именно для этого многие компании и организации проводят аудит информационной безопасности. Согласно стандарту ГОСТ Р ИСО/МЭК 27000, он представляет собой независимый и задокументированный процесс, предназначенный для получения свидетельств аудита и объективной оценки аудиторами степени соблюдения критериев аудита [6]. Но перед тем, как говорить конкретно об аудите в кредитно-финансовой сфере, нужно определиться с общими основами аудита. Вся методика, требования к проведению аудита, требования к аудиторам и т.д. прописаны в нормативно-правовых актах, касающихся аудита. Основными такими актами является комплекс, состоящий из трех ГОСТов: ГОСТ Р ИСО/МЭК 27006-2020, ГОСТ Р ИСО/МЭК 27007-2014 и ГОСТ Р 56045-2021/ISO/IEC TS 27008:2019. Первый описывает требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. Второй стандарт предоставляет руководство по менеджменту программы аудита СМИБ, а также по проведению аудитов и определению компетентности аудиторов [7]. Последний акт предоставляет рекомендации по оценке реализации и функционирования мер обеспечения ИБ. В стандарте предлагаются инструкции по анализу и оценке мер обеспечения ИБ, используемых в рамках системы менеджмента ИБ.До того, как появились отечественные стандарты в сфере информационной безопасности, банки и другие финансовые учреждения осуществляли управление безопасностью на основе внутренних регламентов. В течение последних 20 лет Банк России начал разрабатывать нормативно-правовые акты, определяющие меры по обеспечению безопасности информационных систем финансовых организаций. В настоящее время требования к информационной безопасности в финансовой сфере установлены документами Банка России.Главной особенностью проведения аудита в кредитно-финансовой сфере является необходимость проведения аудита не только согласно требованиям стандартов ГОСТ, но и согласно нормативным документам Банка России. То есть аудиторская компания при проведения банковского аудита должна предоставить компетентных специалистов, которые будут знать структуру и требования не только основных актов, но и отраслевых стандартов Банка России и указаний.Так, аудит ИБ организации банковской сферы РФ должен проводиться в соответствии с требованиями стандартов СТО БР ИББС-1.0, СТО БР ИББС-1.1 и СТО БР ИББС-1.2. Согласно им должна быть реализована программа аудитов ИБ, содержащая информацию, необходимую для планирования и организации аудитов ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения указанных аудитов ИБ в заданные сроки. Стандартом СТО БР ИББС-1.0 определено требование проведения регулярной внешней и внутренней оценки ИБ, а также самооценки ИБ. Также для каждого проводимого аудита ИБ в кредитно-финансовой сфере должен быть установлен план аудита и оформлен договор с аудиторской организацией [4]. По результатам проведения аудита ИБ аудиторская группа должна подготовить отчет. Руководитель аудиторской группы несет ответственность за подготовку и содержание отчета по результатам проведения аудита ИБ. Отчет должен предоставлять полные, точные, четкие и достаточные записи по аудиту ИБ.Помимо стандартов ЦБ нужно руководствоваться и некоторыми указаниями Банка России, среди которых №6329-У «O порядке признания Банком России аудиторского заключения o бухгалтерской (финансовой) отчётности общественно значимых организаций» и №6428-У.Таким образом, аудит, проводимый в финансовой сфере, имеет ряд некоторых особенностей, требующих привлечения специализированных аудиторских организаций. При проведении аудиторских проверок банков и других кредитно-финансовых учреждений рассматриваются различные аспекты их деятельности, среди которых и мониторинг системы обеспечения ИБ, и контроль защитных мер, и данные об угрозах, возможных уязвимостях и нарушителях. В связи с этим можно сказать, что аудиторы несут ответственность за профессионализм и качество проводимых проверок, объективность и точность выводов, поскольку результаты аудита используются для подтверждения годового отчета, публикации баланса и общей оценки деятельности финансового учреждения.
Номер журнала Вестник науки №3 (72) том 4
Ссылка для цитирования:
Фомин А.В., Резниченко С.А. ОСОБЕННОСТИ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИЯХ КРЕДИТНО-ФИНАНСОВОЙ СФЕРЫ // Вестник науки №3 (72) том 4. С. 344 - 348. 2024 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/13495 (дата обращения: 17.05.2024 г.)
Вестник науки СМИ ЭЛ № ФС 77 - 84401 © 2024. 16+