Правовые аспекты аудита информационной безопасности: что нужно знать ответственному за ИБ

Все чаще появляются сообщения о новых утечках данных, жертвами которых становится средний и крупный бизнес. Одним из способов защиты от этой угрозы является регулярное проведение оценки защищенности ресурсов как силами внутренних специалистов, так и с привлечением внешних.

Кроме того, внешний аудит является законодательным требованием для некоторых компаний (например, организаций финансового рынка) или средством проверки выполнения требований регулятора (с таким применением широко знакомы операторы ПДн и субъекты КИИ). Статья, подготовленная Артемом Православским (RTM Group), поможет разобраться с тем, на что стоит обращать внимание при аудите лицу, ответственному за защиту информации.

До реализации любых мероприятий по защите информации и даже до их планирования необходимо владеть полным перечнем защищаемой информации. В современной компании её список может быть довольно обширным – в коммерческой среде принято уделять внимание сведениям о продуктах и услугах, ценовой политике, вознаграждениях для сотрудников. Однако прежде всего ответственному сотруднику должна быть интересна информация, доступ к которой ограничен в соответствии с федеральным законодательством.

Знание закона, постановлений регуляторных органов, а также локальных отраслевых положений и стандартов является основой любой деятельности в области информационной безопасности. Во-первых, неисполнение прямых требований законодательства чревато вопросами от регуляторных органов, а финансовые и правовые издержки в ходе проверок государственных служб - это такой же риск безопасности, с которым должен считаться ответственный за ИБ. Во-вторых, законодательное обеспечение в действительности является хорошим фундаментом для построения системы защиты данных.

В профессиональной среде живёт устойчивый стереотип о границе между практической безопасностью и безопасностью «бумажной». Есть мероприятия, которые мы выполняем, чтобы избежать успешных атак, утечек и отказов, а есть документы, которые не применяются в работе специалистов и направляются регулятору по запросу. Расхождение между «де-факто» и «де-юре» - это нарушение, которое выявляется, пожалуй, при каждом аудите ИБ. Поддержание актуального состояния внутренней нормативной документации в сфере ИБ – одна из первоочередных задач ответственного специалиста.

Вернёмся непосредственно к аудиту ИБ. Помимо того, что федеральное законодательство является источником конкретных процессов защиты и устанавливает меру и область их применения, оно также предусматривает случаи, при которых должны проводиться обязательные внешние аудиты. Независимая оценка соответствия — это инструмент контроля бизнеса, который, например, широко применяет Центральный Банк. Сама возможность привлечения внешних экспертов в рамках объективной оценки системы ИБ существует и в документах других регуляторов, однако важно знать, когда подобные мероприятия проводить не только возможно, но и обязательно. Ответственный должен быть в курсе, как часто ему нужно обращаться к аудиторам, и выстраивать относительно этого события цикл совершенствования системы безопасности.

Любой нормативный документ по информационной безопасности в том или ином виде содержит требования по контролю. Центральный Банк предъявляет для кредитных организаций требования к созданию отдельной службы внутреннего аудита, в задачи которой также входит и оценка процессов защиты информации. Также Банк России устанавливает периодичность внешнего аудита системы защиты информации для кредитных и некредитных финансовых организаций в части инфраструктуры, задействованной в обработке платежей.

В чём смысл регулярного контроля? Вне зависимости от того, является аудит внешним или внутренним, он предоставляет обратную связь, без которой невозможно объективно оценить текущее состояние безопасности в организации и двигаться дальше. Отчёт об оценке и рекомендации аудиторов могут использоваться как юридически полное основание для управляющих решений ответственного за безопасность, выделения дополнительного бюджета на развитие системы безопасности или как простое подтверждение наличия того или иного нарушения.

Отчёт о независимой оценке часто может помочь в сопровождении проверки регулятора. Существуют угрозы, которые невозможно устранить оперативно, например такие, которые требуют внедрения дорогостоящих СЗИ. Один только процесс их закупки может растянуться на месяцы. В таких ситуациях регуляторы часто идут навстречу и не оформляют предписаний на устранение замечаний, однако для этого необходимо продемонстрировать проверяющей группе, что работа действительно ведётся.

Доказательством в такой ситуации может служить серия взаимосвязанных документов, главным из которых является отчёт, выявивший конкретное нарушение. На его выводах могут основываться решения высшего руководства о выделении средств на те или иные работы. В свою очередь, на них базируется выпуск дорожных карт, приказов, разработка проектной документации. В крупных компаниях, которые вынуждены содержать громоздкие процессы управления, такие документы просто необходимы – они являются частью системы менеджмента ИБ.

Естественно, не стоит недооценивать и практическое значение аудита – мы уверены, что организационная и техническая части информационной безопасности должны идти рука об руку. Может случиться так, что документарное обеспечение будет догонять реальное положение дел, но это не должно становиться обыденностью. Зачастую главная задача ответственного - создание актуальной и полной системы документирования ИБ, способной к быстрому развитию и адаптации в новых условиях.

Ответственный за ИБ, как лицо, принимающее решения в части управления системой защиты данных, должен непосредственно участвовать в аудите. Вне зависимости от того, производит оценку смежное подразделение или приглашённый специалист, ответственному нужно контролировать отдаваемые сведения и получаемые на их основе выводы, ведь от этого зависит качества аудита, и, как следствие, общее качество системы информационной безопасности.

Не секрет, что сегодня нет устоявшихся границ, подходов и общепринятых норм в части менеджмента ИБ. Конечно, существуют качественные международные стандарты (например, ISO 27000), однако они не имеют ни юридической силы, ни действительно широкого распространения. Зачастую служба информационной безопасности либо строго не выделена, либо границы её деятельности так обширны и расплывчаты, что качественная работа по непосредственному обеспечению безопасности серьёзно затруднена. Мы хотим отметить несколько моментов в организации работы ответственного за ИБ и его подчинённых, на которые стоит обратить внимание как при организации и сопровождении аудитов, так и при управлении безопасностью в целом.

Разграничение ответственности. В организации не может быть ни одного сотрудника или отдела, который одновременно занимается реализацией и контролем одного и того же процесса. Помимо того, что такой контроль не имеет никакого смысла, он рождает угрозу безопасности – с каждым циклом аудита/совершенствования в системе будут копиться критические ошибки, которые невозможно увидеть (или которые не выгодно видеть) сотрудникам, непосредственно реализующим защиту. Для этого существует практика внешних аудитов, для этого в кредитных организациях существуют обособленные службы внутреннего контроля.

Качественное сопровождение аудита. Существует стереотип, согласно которому ответственный скорее попытается скрыть нарушение, чем подтвердить аудитору его наличие. Чаще проблема заключается не в нежелании сотрудника ИБ признавать нарушение, а в том, что он не подозревает о его наличии. Причинами этому могут быть незнание требований, недостаточность информации, или «замыленность» взгляда сотрудника, давно работающего в уже устоявшихся процессах.

Обязанностью ответственного за ИБ является предоставление максимума возможных сведений для аудита, ведь от полноты данных и вовлечённости ответственного зависит качество итоговой работы, выводы которой послужат основанием для работы ИТ и ИБ на годы вперёд.

Низкая оценка по итогам аудита это не всегда плохо. Этот вопрос связан с предыдущим и уже был частично затронут. Уровень оценки по итогам аудита не должен быть единственным показателем эффективности отдела ИБ, хотя такой подход часто практикуется, ввиду простоты его использования. Ответственный должен уметь выявлять причины несоответствия и анализировать выводы отчётов, а также доносить результаты до подчинённых и руководства.

Нужно понимать, что каждое обнаруженное несоответствие — это ценная обратная связь, которая является фундаментом для развития защиты информации. Получение самых высоких оценок от года к году должно вызвать большие подозрения, чем ухудшение показателей, ведь систематическое невыявление уязвимостей и несоответствий может привести только к планомерной деградации системы ИБ.

На основе политик и положений выстраивается общая концепция защиты, согласно регламентам, порядкам и инструкциям происходит повседневная работа службы ИБ, а журналы, акты и отчёты сопровождают рядовые действия. Внутренняя документация — это неотъемлемая часть защиты информации, которая проникает во все её аспекты.

В таких условиях ответственный сотрудник не имеет выбора между акцентом на технической части безопасности и акцентом на организационной части – они неразрывно связаны. Очевидно это становится в ходе аудита, внешнего или внутреннего. Мы рекомендуем всем компаниям, вне зависимости от их масштаба и уровня защищённости, обратить внимание на собственное правовое обеспечение процессов ИБ. Прежде всего, на его соответствие актуальной внутренней практике и требованиям законодательства.

Не стоит забывать, что отказ от проведения аудита для некоторых организаций является прямым нарушением требований регулятора, а для подавляющего большинства предприятий создаёт риск невыполнения требований законодательства (по причине отсутствия объективного контроля). Регуляторные органы владеют достаточным перечнем инструментов воздействия – от предписаний к устранению замечаний до штрафов. Зачастую, траты на внутреннюю или внешнюю оценку значительно ниже, чем стоимость исправления в сжатые сроки недочётов, выявленных в ходе проверки регулятора.