logo-image
Аудит информационной безопасности объектов частной собственности
Автор: Игорь Коцюба
Источник: Юрист и Закон, 14 июня 2018 года
Скачать

Постоянный поток заголовков новостей об утечках персональных данных и реализованные угрозы кибербезопасности на предприятиях всех форм собственности естественным путем внесли приставку "кибер-" в повестку дня регуляторов, политиков и представителей бизнеса. Регуляторы в Украине довольно давно готовят правовую основу для регулирования вопросов защищенности критических информационных инфраструктур, критериев для справедливого категорирования таких инфраструктур и возможно прямо сейчас наполняют содержанием и подзаконными актами рамочные законы относительно киберзащиты и кибербезопасности.

Аудит систем управления информационной безопасностью является составляющей деятельности предприятий во всем мире, где регуляторы ежегодно повышают меру ответственности и снижают порог обязательности проведения таких аудитов. Это вызывает сопротивление с учетом того, что работники, ответственные за информационную безопасность, вместе с инвестициями в меры и инструменты кибербезопасности являются самыми большими статьями расходов с относительно низким показателем возврата таких инвестиций.

Но опрос руководителей и директоров из информационных технологий, данные рейтинговых агентств и даже наши внутренние ощущения единогласно утверждают, что количество и мощность инцидентов кибербезопасности возросли и будут возрастать в дальнейшем. А информационная безопасность – это один из наиболее сложных и актуальных вопросов, которые стоят перед компаниями. Руководители и работники, ответственные за внутренний аудит систем управления информационной безопасностью, и независимые аудиторы с другой стороны должны играть важную роль.

Не вызывает сомнений то, что советы директоров или органы управления большинства предприятий осведомлены относительно рисков, вызванных киберпреступностью. Органы управления, без сомнения, отвечают за управление информационной безопасностью по вопросам защиты активов, фидуциарных отношений с третьими сторонами, управления рисками и соблюдения законов и стандартов. Но как директоры могут обеспечить эффективную программу управления кибербезопасностью и иметь обратную связь?

Обычно они спрашивают главного офицера безопасности или руководителя по информационной безопасности или, возможно, просто ІТ-менеджера, который отвечает: "Не волнуйтесь, у нас есть инструментарий и фреймворки, которые эффективно імплементируем". Потом директоры спрашивают: "Как мы знаем, что это работает и что наши важные инвестиции эффективно сохранены?"

В странах с высокой степенью зрелости процессов и подходов относительно информационной безопасности работает ответственность аудиторов, этика и кодексы поведения, но следует указать, что это пришло через громкие процессы над аудиторами и криминализацию ответственности за результаты. В свою очередь, это приводило к подорожанию мер и процессов обеспечения кибербезопасности.

Аудиторы по безопасности могут нести профессиональную ответственность за их проверку информационной безопасности компании, равно как бухгалтеры могут понести ответственность за "низкое качество" аудитов финансовой отчетности компании.

К сожалению, очень тяжело пройти через общественное сопротивление относительно уголовной ответственности офицеров безопасности как самой последней степени наказания за инциденты кибербезопасности. Международная практика свидетельствует, что такой офицер является дорогим ресурсом, но с колоссальной ответственностью, в том числе классифицированной как уголовная.

Аудит информационной безопасности обеспечивает понимание или даже гарантию, которую требуют менеджеры информационной безопасности и руководители компаний. Аудит с созданием четких отчетов о результатах аудита является ключевым для обеспечения эффективного управления информационными системами и информационной безопасностью. Сложным является первый аудит с точки зрения инвестиций ресурсов человеческих и времени. Они также являются обязательными во многих стандартах и согласно лучшим практикам, включая ITIL®, PRINCE2®, COBIT® 5, PCI DSS и ISO 27001.

Большинство из вышеупомянутых применяются с "изменением обложки" в Украине, но есть небезосновательная надежда, что у нас будут в ближайшее время прогрессивный, достижимый, действенный национальный стандарт, четкие и понятные критерии для категорирования критической информационной инфраструктуры, доступных, многочисленных, эффективных и сертифицированных аудиторов информационной безопасности.

Внутренний аудитор ISO 27001 или вообще 27к отвечает за формирование отчетности и постоянный мониторинг эффективности системы управления информационной безопасностью (ISMS) и коммуникацию с руководством или владельцами бизнеса. Но самое главное, они анализируют, формализуют и помогают высшему руководству понять и убедиться, что цели информационной безопасности лежат в одной плоскости и формируют единый вектор с бизнес-целями компании.