СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Блоги
Газинформсервис
04.08.2025
#Статьи #ИБ#ИИ

Внутренний аудит соответствия требованиям ИБ для банков: методика и чек-лист

Внутренний аудит соответствия требованиям ИБ для банков: методика и чек-лист

С конца марта 2025 года вступило в силу Положение Банка России №851-П, содержащее ряд правок, связанных с изменениями состава защищаемой информации, новыми требованиями по применению программного обеспечения, реализацией возможности получения от клиентов информации о мошеннических действиях и т. д. А все потому, что банки стремятся повысить кибербезопасность банковской сферы и усилить защиту клиентов от мошеннических действий.

Методика внутреннего аудита ИБ для банков — это целенаправленная проверка на соответствие актуальным требованиям законодательства с использованием чек-листов, адаптированных под бизнес-процессы банка и максимально детализированных.

Основные регуляторные документы для оценки финансовыми организациями рисков ИБ

  1. Положение Банка России № 851-П от 30 января 2025 года.
  2. ГОСТ Р 57580.1-2017 («Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»).
  3. ГОСТ Р 57580.2-2018 — («Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия»).
  4. Методические рекомендации Банка России от 22 января 2025 г. № 2-МР «По проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка».
  5. Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных».
  6. Федеральный закон от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе».
  7. Положение Банка России от 9 января 2019 г. № 672-П «О требованиях к защите информации в платежной системе Банка России».
  8. Положение Банка России от 17 апреля 2019 г. № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
  9. Положение №382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
  10. Стандарты Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» (РC БР ИББС-2.2-2009)» и «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге» (СТО БР ИББС-1.4-2018).

Для аудита должны быть взяты требования из вышеуказанных документов. Целесообразно проводить его по чек-листу на основе анализа документации (электронной и бумажной), опросов сотрудников, наблюдений за ними и прочих методов с обязательной фиксацией доказательств.

По результатам аудита должен быть сформирован отчет (его форма и минимальное содержание указаны в положениях ГОСТ Р 57580.2 и в 851-П), в котором должны быть перечислены выявленные несоответствия, анализ рисков и рекомендации к устранению замечаний. Далее необходимо осуществить контроль за исполнением назначенными лицами выявленных проблем в указанные сроки.

Для крупных банков рекомендуется использовать SGRC-системы для автоматизации процессов учета и отчетности по внутренним аудитам (для остальных в формате Excel), а также архивировать доказательства выполнения всех обязательных мер безопасности.

Структура чек-листа:

— Название требования/меры;

— Проверяемый объект/процесс;

— Метод проверки;

— Комментарии и замечания;

— Факт соответствия (да/нет/частично);

— Ссылка на доказательства.

Проведение оценки выполнения требований Положения 851-П обязательно не реже одного раза в два года — это относится и к внутреннему, и к внешнему аудиту.

Рекомендации:

— Постоянно следить за обновлениями требований Банка России и других регулирующих органов (новые положения, изменения в ГОСТ).

— Минимум раз в год проводить независимое тестирование (пентест), анализ уязвимостей и внутренние/внешние аудиты.

— Обеспечить вовлечение всех заинтересованных подразделений: ИБ, IT, операционного, юридического, HR.

— Своевременно устранять все выявленные нарушения.

Автор: Татьяна Буторина, эксперт в области ИИ компании «Газинформсервис»

Газинформсервис
Автор: Газинформсервис
«Газинформсервис» — отечественный разработчик программного обеспечения и оборудования для защиты информационной безопасности и комплексной инженерно-технической охраны.
Комментарии: