ARinteg.ru

  • Москва
  • Ростов-на-Дону
  • Кемерово
  • Новосибирск

  • +7 (495) 221 21 41
  • +7 (863) 320 09 60
  • +7 (384) 221 56 41
  • +7 (495) 221 21 41
ARinteg Вконтакте Дзен ARinteg Arinteg Telegram home print mail site-map               

Михаил Субханкулов, ARinteg: Какие ошибки чаще всего выявляются при проведении аудита на исполнение требований Положения 382-П?

06 декабря 2019 / NBJ.ru

Руководитель отдела консалтинга и аудита ARinteg Михаил Субханкулов делится с NBJ опытом обнаружения ошибок при проведении аудита информационной безопасности на соответствие требованиям регулятора.

- Использование несертифицированных межсетевых экранов. Несмотря на то, что это требование регулятора, встречаются случаи, когда это требование не выполняется.

- Неисполнение или, что чаще, неполное исполнение эксплуатационной документации на СКЗИ (средства криптографической защиты информации). В частности, очень часто забывают заполнить формуляр на СКЗИ.

- Требуется, чтобы в технических заданиях на создание и модернизацию информационных систем были включены требования информационной безопасности. На практике это не выполняется, технические задания на доработку систем могут просто отсутствовать. В лучшем случае, технические задания на доработку визирует представитель информационной безопасности. При принятии в промышленную эксплуатацию ИС, а также при их модернизации, следует проверять исполнение требований информационной безопасности. Тут возникает необходимость применения технических средств, так как найти уязвимость во вновь поступившем программном продукте, или его обновлении, не имея технических средств контроля уязвимостей, нереально. Иногда составляется акт, что «мы проверили». Но на практике впоследствии можно услышать не очень приятные вопросы. Не говоря уже о том, что принимаемое в промышленную эксплуатацию ПО может, действительно, содержать уязвимости.

- Необходимость резервного ЦОДа (центра обработки данных). Достаточно очевидная вещь. Если у вас ЦОД№ 1 или Резервный ЦОД находится в том же здании, что и основной, то при восстановлении данных могут быть проблемы. Например, в случае какой - то глобальной аварии электричества, которая оставит без энергии всё здание или даже весь район.

- В случае, если резервные копии перевозятся в место удаленного хранения на отчуждаемых носителях, необходимо их шифровать, поскольку носитель в этом выходит за пределы контролируемого периметра.

- Существует очень полезный документ - ОНиВД (План действий, направленных на обеспечение непрерывности и (или) восстановления деятельности Банка в случае возникновения нестандартных и чрезвычайных ситуаций). Наличие такого документа и определенное его содержание является требованием регулятора, и может быть им проверено. Но кроме наличия самого плана, требуется проведение его регулярного полного или частичного тестирования, а также доведение плана до сведения сотрудников кредитной организации. Естественно, что и проведение тестирования и обучение сотрудников должно быть документально оформлено, что делается далеко не всегда.

- Требованием регулятора является наличие двух систем защиты от воздействия вредоносного кода разных производителей. Не всегда включается в ОРД (организационно - распорядительную документацию) кредитной организации, и, что самое прискорбное, не всегда выполняется на практике.

- Требования к обучению и повышению осведомленности сотрудников кредитной организации в области информационной безопасности. Если положение по обучению чаще всего присутствует среди ОРД в виде отдельного документа, или является частью более общего документа, то программы обучения (даже если их требует собственная документация кредитной организации) имеются далеко не всегда, как и журналы обучения/повышения осведомленности сотрудников кредитной организации. Также хотелось бы напомнить, что все сотрудники, использующие в своей деятельности СКЗИ, должны быть ознакомлены с инструкцией/регламентом (не сомневаюсь, что такие документы есть у всех) по работе с СКЗИ.

- Часто бывает, что в явном виде не сформулирован порядок и периодичность пересмотра ОРД в области ИБ.

- Отсутствие или неполное наличие подтверждающих документов - актов, приказов, заявок, журналов и т.д. Помните, когда пишите документы по ИБ - вам же из выполнять! Не стоит вводить подтверждающую документацию сверх необходимого.

- Документальное оформление всех стадий жизненного цикла информационных систем. Часто отсутствуют технические задания, акты о проведении тестирования (хотелось бы думать, что тестирование все - таки проводилось перед принятием в промышленную эксплуатацию), приказы о начале промышленной эксплуатации и снятии с нее.

- Если в кредитной организации используются «самописные» системы, то может практически полностью отсутствовать какая - либо документация на них, включая эксплуатационную.

- Ранее кредитные организации могли сами проводить самооценки по 382 - П. Дело прошлое, но хотелось бы обратить внимание на два весьма вредных заблуждения. Это повышение (точнее, завышение) оценки любыми, часто негодными, средствами, а также стремление обеспечить то, чтобы следующая самооценка должна быть выше предшествующей.

- Часто при создании комплекса ОРД по ИБ используются документы из внешних источников. Если вы делаете это, помните - нужно обеспечить корректное встраивание документа в существующий комплекс. Иногда случалось такое, что в принятых документах кое - где сохранялось наименование «внешнего источника».

Естественно, это далеко нет полный перечень возможных ошибок при исполнении требований Положения 382 - П. Подробнее об этих и другие частых ошибках при прохождении регулярного аудита ИБ вы всегда можете узнать у наших специалистов. Также, при проведении предварительного аудита на исполнение требований Положения 382 - П могут быть выявлены эти и другие ошибки, и разработаны рекомендации для их исправления «малой кровью» и успешного прохождения аудита.

Перейти к списку статей
qrcode
ARinteg Вконтакте   Дзен ARinteg   Arinteg Telegram