Одит на информационната безопасност може не само да даде на банката правото да извършват определени дейности, но също така и да се покаже на слабостите в системите на банката. Ето защо подходът към решението за провеждане на одит и избора на формата трябва да бъдат балансирани
Одит на информационната безопасност извърши или да се провери изцяло регулациите, или с цел да се провери валидността и сигурността на приложни решения
Но каквото термин се използва, в действителност, одит на информационната сигурност извърши или да се провери изцяло регулациите, или с цел да се провери валидността и сигурността на прилаганите решения. Във втория случай, одитът е доброволно, и да я държи с решение, взето от самата организация. В първия случай, да се откаже от одит не може да бъде, че тъй като това е свързано с нарушение на изискванията на нормативните актове, което води до наказанието на глоба, спиране или други форми на наказание.
В случай на задължителен одит, може да стане или от самата организация, например, във формата на самочувствие (макар че в този случай, вече не се говори за "независимост" и понятието "одит" се използва тук, не е съвсем правилно) и външни независими организации - одиторите. Третият вариант на задължителния одит - мониторинг на регулаторните органи, които имат право да прилагат подходящи надзорни мерки. Тази опция често не се нарича одит, инспекция и проверка.
Тъй като доброволен одит може да се извърши изцяло по някаква причина (за проверка на RBS за сигурност, придоби контрол на активите на банката, проверка новооткрития клон и т.н.), а след това тази опция, няма да бъдат взети под внимание. В този случай, не е възможно да не се определи ясно своите граници, нито да се опише формата на неговите твърдения, нито се говори за редовност - всичко това се решава чрез споразумението между одитора и одитирания. Ето защо, ние смятаме само формите на задължителен одит, това е присъщо на банки.
Международният стандарт ISO 27001
С ISO 27001 са свързани и някои не са най-очевидната и често споменавани точки
Въпреки това, ISO 27001 и няколко която не е свързана най-очевидните и често споменаваните аспекти. На първо място, на Одитния комитет са предмет на този стандарт не е цялата система на сигурността на информацията на банката, и само едно или повече от неговите компоненти. Например, RBS на система за защита, главния офис на банката или системата за защита, за да се предпази системата от процеса на управление на персонала. С други думи, сертификат за съответствие в продължение на една оценява в одитния процес не гарантира, че останалите процеси са едно и също близо до идеалната държава. Вторият момент е свързан с факта, че 27 001 стандарта ISO е универсален, който е приложим за всяка организация, и затова не смятам, спецификата на даден отрасъл. Това доведе до факта, че в рамките на международна организация по стандартизация ISO отдавна се говори за създаването на ISO 27015 стандарт, което е транскрипция на ISO 27001/27002 във финансовата индустрия. При разработването на този стандарт, взема активно участие и Централната банка на България. Въпреки това, Visa и MasterCard срещу проекта на стандарта, който вече е разработена. Първият смята, че проектът на стандарт съдържа твърде много малка нужда от финансова информация промишленост (напр платежните системи), и ако тя е там, за да добавите, че е необходимо да се прехвърлят на стандарта на друг комитет ISO. MasterCard предлага престане развитие на ISO 27015, но мотивацията е друга - да речем, във финансовата индустрия, и толкова пълен с регулиране на темата на документи по сигурността на информацията. На трето място, необходимо е да се обърне внимание, че много от предложенията, намерени на българския пазар, не говоря за одита за съответствие и да се подготвят за одита. Фактът, че правото да извършват сертифициране на съответствие с ISO 27001 има само няколко организации в света. Интегратори и просто помагат на компаниите да отговарят на изискванията на стандарта, които след това ще бъдат проверени от официалния експерт (наричани също регистраторите, сертифициращи органи, и т.н.).
Докато дебат продължава за това как да прилагат ISO 27001 банки или не, някои смели отидете за него и да премине на 3 етапа одит за съответствие:
- Предварителен неформално проучване на ключови документи от страна на одитора (на територията на клиента за одит, така и извън него).
- Формално и по-задълбочен одит на мярката за защита, оценка на тяхната ефективност и да се научим да разработи необходимите документи. Този етап обикновено завършва с потвърждение за съответствие и одиторът издава сертификат, признат в целия свят.
- Годишният изпълнението на одита на проверка, за да се потвърди по-рано получи сертификат за съответствие.
Кой се нуждае от ISO 27001 в България? Ако разгледаме този стандарт, не само като набор от най-добри практики, които могат да бъдат изпълнени, без да преминават на одита, но и като процес на сертифициране, което означава потвърждение на съответствие с международно признати изисквания за безопасност на банката, ISO 27001 има смисъл да се въведе една банка в рамките на международната банкова група където ISO 27001 е стандарт, или банките, планира да влезе на международната арена. В други случаи на одита за съответствие с ISO 27001 и удостоверение, по мое мнение, не е необходимо. Но само за банката, и то само в България. И всичко това, защото ние имаме нашите собствени стандарти, изградени на базата на ISO 27001.
Де факто проверка на Bank България инспекцията проведеното доскоро беше в съответствие с изискванията на STO BR IBBS
Банковите документи Комплекс България STO BR IBBS
Вече е ясно, че актовете на НДК изискват задължителна оценка на съответствието, т.е. одит
Законодателството в областта на националната платежна система
стандарт за сигурност PCI DSS Card Заплащане
Разплащателни карти Industry Standard Data Security (PCI DSS) - сигурност на плащане стандарт картови данни, разработена на стандартите за безопасност от страна на Съвета на Индустрията на разплащателните карти (платежни карти Съвета индустрия за сигурност стандарти, PCI SSC), която е създадена от международната плащане система Visa, MasterCard, American Express, JCB и Discover. В PCI DSS е набор от 12 на високо ниво и над 200 подробни изисквания за данни за безопасност на притежателя на картата, която се предава, съхранява и обработва в информационните системи организации.
Изисквания стандарт се отнася за всички компании, които работят с международните платежни системи Visa и MasterCard. В зависимост от броя на обработените транзакции, всяка компания се възлага на определено ниво, на който съответства набор от изисквания, че компанията трябва да се съобразяват. Тези нива са различни в зависимост от системата за плащане.
Успешното преминаване на одита не означава, че положението със сигурността в банката всичко е наред - има много трикове, които позволяват на одитираната организация, за да скриете някои недостатъци в системата си за отбрана
За да се провери съответствието с изискванията на PCI DSS се осъществява в рамките на задължителните изисквания за сертифициране, които се различават в зависимост от вида на одитираното дружество - търговски и услуги предприятия приемат разплащателни карти за плащане на стоки и услуги, или доставчик на услуги, предоставяне на услуги и предприятията с търговията на услуги, банки, с купувачи, издателите, и т.н. (центрове за обработка, платежни портали и т.н.). Тази оценка може да се проведе в различни форми:
- Годишният одит с помощта на акредитираните фирми със статут на квалифицирани оценители за сигурност (QSA);
- ежегодна самооценка;
- мрежи тримесечни сканиране с оторизираните организации със статут на Одобрен Сканиране на продавача (ASV).
Законодателството в областта на личните данни
Заключителни разпоредби
Над основните нормативни актове в областта на информационната сигурност, по отношение на кредитните институции. Тези инструменти са много, а всеки сам да определя изисквания за оценка на съответствието в една или друга форма - от самооценката под формата на попълване на въпросници (PCI DSS), преди да премине на задължителния одит на всеки две години (382-P) или веднъж в годината (ISO 27001). Сред тях най-често срещаната форма на оценяване на съответствието, има и други - уведомяване на оператора на платежна система, тримесечни сканиране и т.н.
СТАНДАРТИ ЗА ИНФОРМАЦИОННА СИГУРНОСТ ОДИТ
При тези обстоятелства, за съжаление, трябва да признаем, че основната цел на одита информационна сигурност на банката - да се повиши доверието в работата си - в България недостижим. Имаме няколко клиенти на банката обръща внимание на неговата безопасност или на резултатите от одита на банката. Чрез одита, ние се стремим или в случай на много сериозен инцидент, който доведе до прилагането на тежки материални щети на банката (или неговите акционери и собственици), или в случая на правни изисквания, които са показани по-горе, много. И през следващите шест месеца изискване №1, за което трябва да се обърне внимание на одита на сигурността е позицията на Bank България 382-P. Вече има прецеденти за първото искане от териториалните служби на данните на Централната банка за нивото на сигурността на банките и отговарящо на изискванията на 382-P, и тази информация е получена в резултат на външен одит или самооценка. На второ място бих поставил одита отговарят на изискванията на "Лични данни" на закона. Но да се извърши такава проверка не трябва да се случи до пролетта, когато те освобождава всички обещани документи FSTEC ФСБ и когато стане ясно, съдбата на STO BR IBBS. В същото време това ще бъде възможно да се повдигне въпросът за съответствието на одита с STO BR IBBS. Вече стана ясно, не само бъдещето на сложни Българска Банка документи, но и неговото състояние във връзка с подобна, но все пак отличен 382-P, както и да продължи да се STO BR IBBS обхване въпросите за защита на личните данни.
Успешното преминаване на одита не означава, че положението със сигурността в банката всичко е наред - има много трикове, които позволяват на одитираната организация, за да скриете някои недостатъци в своята система за противоракетна отбрана. Да, и на квалификацията и независимостта на одиторите това зависи много. Опитът от последните години показва, че дори и в организации, които са се справили успешно одита на съответствие със стандартите на PCI DSS, ISO 27001 или STO BR IBBS, има инциденти и сериозни инциденти.
Свързани статии