Ellenőrzés az információbiztonságról, kinek, miért, bank felülvizsgálatát
Az információbiztonsági ellenőrzés nemcsak a bank számára biztosítja a jogot bizonyos típusú tevékenységek végrehajtására, hanem a bankrendszer gyengeségeinek bemutatására is. Ezért kiegyensúlyozott módon kell megközelíteni az ellenőrzési formanyomtatvány magatartására és kiválasztására vonatkozó döntést
Az informatikai biztonság ellenőrzését vagy a normatív cselekmények végrehajtásának ellenőrzése, vagy az alkalmazott határozatok érvényességének és biztonságának ellenőrzése céljából
Azonban bármit is használnak, az információbiztonsági ellenőrzést vagy a normatív cselekmények végrehajtásának ellenőrzése, akár az alkalmazott döntések érvényességének és biztonságának ellenőrzése céljából végzik. A második esetben az ellenőrzés önkéntes, és a végrehajtásról szóló döntést maga a szervezet hozza meg. Az első esetben lehetetlen megtagadni a könyvvizsgálat lefolytatását, mivel ez a szabályozási aktusok által megszabott követelmények megsértését vonja maga után, ami büntetést von maga után bírság, tevékenység felfüggesztés vagy a büntetés más formái miatt.
Abban az esetben kötelező audit lehet tenni akár maga a szervezet, például formájában önbecsülés (bár ebben az esetben már nem beszélünk „függetlenség” és a „ellenőrzés” szó nem egészen helyes), és a külső független szervezetek - az ellenőrök. A kötelező könyvvizsgálat harmadik opciója a megfelelő felügyeleti tevékenységek végzésére felhatalmazott szabályozó testület ellenőrzése. Ezt az opciót gyakran nem ellenőrzésnek, hanem ellenőrzésnek nevezik.
Mivel az önkéntes ellenőrzést feltétlenül bármilyen okból (az RB rendszer biztonságának ellenőrzésére, a megszerzett bank vagyonának figyelemmel kísérésére, az újonnan megnyitott fióktelep ellenőrzése stb.) Ellenőrizni lehet, ezt a lehetőséget nem fogjuk figyelembe venni. Ebben az esetben lehetetlen világosan meghatározni határait, leírni jelentési formáit, és nem beszélni a szabályosságról - mindezt a könyvvizsgáló és a könyvvizsgáló cég közötti megállapodás alapján határozták meg. Ezért csak a bankokra jellemző kötelező könyvvizsgálat formáit vegye figyelembe.
Nemzetközi szabvány ISO 27001
Az ISO 27001 szabványnak számos nem túl nyilvánvaló és nem gyakran említett pillanatai vannak
Azonban az ISO 27001 szabványnak számos olyan kevéssé nyilvánvaló és nem gyakran említett pillanatai vannak. Először is, a banki információbiztonsági rendszer nem mindegyikének az ellenőrzése alatt áll ezen szabvány szerint, de csak egy vagy több összetevője. Például az RBS védelmi rendszere, a bank központi irodájának védelmi rendszere vagy a személyzeti irányítás folyamatának védelme. Más szóval, az auditálás során értékelt folyamatok egyikének megfelelőségi tanúsítvány megszerzése nem garantálja, hogy a fennmaradó folyamatok ugyanolyan közel állnak az ideális állapothoz. A második pont azzal a ténnyel kapcsolatos, hogy az ISO 27001 univerzális szabvány, vagyis bármely szervezetre alkalmazható, és ezért nem veszi figyelembe az adott iparág sajátosságait. Ez vezetett ahhoz, hogy a keret egy Nemzetközi Szabványügyi Szervezet ISO régóta beszélni létrehozását ISO 27015 szabvány, amely egy transzkripciós ISO 27001/27002 a pénzügyi ágazat. Ennek a standardnak a fejlesztésében a Bank Oroszország aktívan részt vesz. Mindazonáltal a Visa és a MasterCard ellenzi ezt a szabványt, amelyet már kifejlesztettek. Az első úgy véli, hogy a szabványtervezet túl kevés információt tartalmaz a pénzügyi szektor számára (például a fizetési rendszerek esetében), és ha hozzá van adva, a szabványt át kell adni egy másik ISO bizottságnak. A MasterCard az ISO 27015 fejlesztésének leállítását is javasolja, de a motiváció másik - mondják - a pénzügyi ágazatban, és így teljes mértékben szabályozza a dokumentumok információbiztonságának témáját. Harmadszor, figyelmet kell fordítani arra, hogy az orosz piacon szereplő javaslatok közül sok nem az ellenőrzés megfelelőségéről szól, hanem az ellenőrzésről való felkészülésről. Az a tény, hogy az ISO 27001 követelményeinek való megfelelés igazolásához való jog csak néhány szervezet a világon. Az integrátorok csak segítik a vállalatokat abban, hogy megfeleljenek a szabvány követelményeinek, amelyeket a hivatalos ellenőrök ellenőriznek (ezeket még regisztrátoroknak, tanúsító testületeknek is nevezik).
Miközben viták folytatódnak arról, hogy bevezessék-e az ISO 27001-et a bankoknak vagy sem, néhány bátor ember megy keresztül, és átmegy a megfelelés ellenőrzésének három szakaszában:
- A fő dokumentumok könyvvizsgáló általi előzetes, nem formális vizsgálata (mind az audit ügyfél területén, mind azon kívül).
- A végrehajtott védelmi intézkedések formai és mélyebb ellenőrzése, hatékonyságuk értékelése és a szükséges dokumentumok tanulmányozása. Ez a szakasz rendszerint teljesíti a megfelelőségi igazolást, és a könyvvizsgáló kiad egy megfelelő, világszerte elismert igazolást.
- Az ellenőrzési audit éves teljesítménye a korábban szerzett megfelelőségi tanúsítvány megerősítéséhez.
Kinek van szüksége az ISO 27001-re Oroszországban? Ha figyelembe vesszük ezt a szabványt, és nem csak egy sor bevált gyakorlatokat lehet végrehajtani anélkül, hogy halad az ellenőrzés, hanem a tanúsítási folyamatának, jelezve a teljesítését igazolni a bank a nemzetközileg elismert biztonsági követelmények, az ISO 27001 értelme bevezetni a bank a nemzetközi bankcsoport , ahol az ISO 27001 szabvány, vagy a nemzetközi arénába tervezett bankok számára. Más esetekben nincs szükség az ISO 27001 szabványnak való megfelelés ellenőrzésére és a tanúsítvány átvételére. De csak a bank és csak Oroszországban. És mindez azért, mert az ISO 27001 alapján épülnek fel saját szabványaink.
Az Orosz Föderáció tényleges ellenőrzései a közelmúltig történtek, az SRT BR IBBS követelményeinek megfelelően
Egy sor dokumentumok a Bank of Russia SRT BR IBBS
Már világossá vált, hogy a NPS-re vonatkozó jogalkotási aktusok kötelezıen megfelelıségértékelést, azaz ellenırzést igényelnek
A nemzeti fizetési rendszerre vonatkozó jogszabályok
A PCI DSS fizetési kártya biztonsági szabványa
Payment Card Industry Data Security szabvány (PCI DSS) - biztonsági bankkártya adatok kifejlesztett szabvány biztonsági előírások, a Tanács által a Payment Card Industry (Payment Card Industry Security Standards Council, PCI SSC), amely létrehozta a nemzetközi fizetési rendszer Visa, MasterCard, American Express, JCB és Discover. A PCI DSS szabvány 12 magas szintű és több mint 200 részletes követelmény, amelyek biztosítják a kártyatulajdonosok adatainak biztonságát, amelyeket a szervezetek információs rendszerében továbbítanak, tárolnak és feldolgoznak.
A standard követelményei minden olyan vállalatra vonatkoznak, amely a Visa és a MasterCard nemzetközi fizetési rendszerekkel dolgozik. A feldolgozásra kerülő ügyletek számától függően minden egyes cégnek meghatározott szintet kell rendelnie, amely megfelel a követelményeknek, amelyeket ezeknek a vállalatoknak teljesíteniük kell. Ezek a szintek a fizetési rendszer függvényében különböznek.
Az ellenőrzés sikeres átjutása nem jelenti azt, hogy a bank biztonsággal működik - sok trükk van, amelyek lehetővé teszik az ellenőrzött szervezet számára, hogy elrejti a biztonsági rendszerében fellépő hibákat
Betartásának ellenőrzése érdekében a PCI DSS követelmények végzik keretében kötelező tanúsítási követelményeket, amelyek eltérőek attól függően, hogy milyen típusú az ellenőrzött társaság - kereskedelmi és szolgáltató cégek elfogadó fizetési kártyák fizetési áruk és szolgáltatások, illetve a szolgáltató, amely a kereskedelem és szolgáltatóipar-szolgáltató vállalatok, bankok felvásárlókat, kibocsátókat stb. (feldolgozó központok, fizetési átjárók stb.). Az ilyen értékelés különböző formákban hajtható végre:
- éves ellenőrzések akkreditált vállalatok segítségével, amelyek minősített biztonsági értékelők (QSA) státuszúak;
- éves önértékelés;
- a hálózatok negyedéves letapogatását az engedélyezett szkenner-forgalmazó (ASV) állapotú engedélyezett szervezetekkel.
Személyes adatokra vonatkozó jogszabályok
Végleges rendelkezések
A fentiek a legfontosabb szabályozási aktusok a hitelintézetekkel kapcsolatos információbiztonság területén. Ezek az eszközök sok, és minden határozza meg a saját követelményei megfelelőségértékelésből egyik vagy másik formája - az önértékelés formájában kitöltésével kérdőívek (PCI DSS), mielőtt átadná a kötelező könyvvizsgálat kétévente (382-P), vagy egyszer évente (ISO 27001). A legelterjedtebb megfelelőségértékelési formák között vannak más - a fizetési rendszerüzemeltető értesítései, negyedéves átvizsgálások stb.
AZ INFORMÁCIÓS BIZTONSÁG IRÁNYÍTÁSA
Ilyen körülmények között sajnos el kell ismernünk, hogy a bank információbiztonsági auditjának fő célja a bizalom növelése a tevékenységeiben - Oroszországban elérhetetlen. Kevés olyan bank ügyfele van, aki figyelmet fordít a biztonsági szintjére, vagy a banki ellenőrzés eredményére. Az ellenırzésre vagy a bank (vagy annak részvényesei és tulajdonosai) súlyos anyagi károkat okozó súlyos incidens észlelésekor vagy jogszabályi követelmények esetén, amint a fentiek szerint rámutatunk. A következő hat hónapban az 1. számú követelmény, amelyre érdemes figyelni a biztonsági ellenőrzést, a Bank of Russia 382-P pozíciója. Már vannak precedensek az első kérelmet a területi irodák a központi bank adatai a biztonsági szintet a bankok és megfelel a 382-P, és ez az információ eredményeként kapott a külső ellenőrzés, vagy önértékelés. Másodszor ellenőriznék a "Személyes adatok" törvény követelményeinek teljesítését. De egy ilyen ellenőrzés lefolytatása csak a tavaszig tart, amikor az FSTEC és az FSB által ígért összes dokumentumot felszabadítják, és amikor az STO BR IBBS sorsa világossá válik. Ugyanakkor lehetőség nyílik az SRT BR IBBS követelményeinek való megfelelés ellenőrzésének kérdésére is. Már világossá vált, nem csak a jövőben komplex a Bank of Russia dokumentumok, hanem annak állapotát kapcsolatban egy hasonló, de még mindig kiváló 382-P, valamint továbbra is STO BR IBBS fedik az a személyes adatok védelmét.
Sikeres áthaladását az ellenőrzés nem jelenti azt, hogy a biztonsági helyzet a bank minden rendben - sok trükköt, amelyek lehetővé teszik az ellenőrzött szervezet elrejteni bizonyos hibák a védelmi rendszer. Igen, és sokat függ az auditorok képzettségétől és függetlenségétől. Az elmúlt évek tapasztalatai azt mutatják, hogy még a szervezetek, amelyek sikeresen az ellenőrzés megfelelés PCI DSS szabványoknak, az ISO 27001 vagy az STO BR IBBS, vannak események és súlyos incidensek.