Автор - Антон Костомахин – специалист по комплаенс Simplity.
Что такое комплаенс
Комплаенс-аудит – это процедура проверки соответствия организации установленным нормативным требованиям и стандартам в сфере защиты информации. В отличие от других видов аудита (финансового, технического, операционного), комплаенс-аудит направлен не только на выявление нарушений, но и на формирование стратегии соответствия требованиям регуляторов.
Нормативная база в информационной безопасности
Для начала вспомним основные нормативные требования в области информационной безопасности:
152-ФЗ «О персональных данных» – регулирует деятельность по обработке персональных данных.
149-ФЗ «Об информации, информационных технологиях и о защите информации» – определяет правовые основы в сфере информации, информационных технологий и защиты информации.
98-ФЗ «О коммерческой тайне» – регулирует правовые отношения, связанные с установлением режима коммерческой тайны, определяет порядок защиты конфиденциальной информации, а также права и обязанности владельцев информации и третьих лиц.
187-ФЗ «О безопасности критической информационной инфраструктуры» – определяет правовые основы обеспечения безопасности критической информационной инфраструктуры (КИИ), устанавливает требования к субъектам КИИ, меры по предотвращению и ликвидации киберугроз, а также государственный контроль в данной сфере.
Приказ ФСТЭК № 21 – устанавливает требования к защите информации.
Приказ ФСТЭК № 31 – приказ применим к компаниям с АСУ ТП, являющимся объектами КИИ.
ГОСТ Р 57580 – определяет стандарты информационной безопасности в финансовой сфере. Обычно используется к требованиям государственного направления.
ISO 27001 – международный стандарт определяет управление информационной безопасностью. Используется к требованиям государственного направления.
PCI DSS – стандарт безопасности данных в платежных системах. Используется к регламенту государственного направления.
Процессный подход – современная методика в комплаенсе
Процессный подход в обеспечении ИБ предполагает структурирование деятельности организации, связанной с обработкой персданных, в логические блоки.
Каждый из блоков имеет четко определенные цели, задействованные ресурсы, входные и выходные данные (которые могут использоваться в других процессах), утвержденные процедуры выполнения, метрики эффективности и другие характеристики, присущие бизнес-процессам.
Перечень процессов, включающих взаимодействие организации с персональными данными, удобно представить в виде mind-map:
Этапы проведения комплаенс аудита
Комплаенс аудит обычно включает три этапа:
- Подготовительный
- Основной
- Итоговый
1. Подготовительный этап комплаенс аудита
На этом этапе создаются условия для эффективного проведения аудита, определяются его цели, границы и необходимые ресурсы.
1.1. Определение целей и границ аудита
Перед началом проверки важно определить, какие аспекты деятельности компании будут оцениваться:
- соответствие требованиям информационной безопасности (ИБ)
- защита персональных данных — это по ИБ
- соблюдение антикоррупционных стандартов — это финансовый аудит
- оценка норм производственной деятельности — это производственный аудит.
Также устанавливаются ключевые показатели эффективности (KPI) аудита. На рисунках ниже в представлены KPI аудита по информационной безопасности в виде графика интегральной зрелости.
График интегральной зрелости до проведения аудита:
1.2. Сбор нормативной базы
Комплаенс-аудит основывается на анализе актуальных законодательных актов, отраслевых стандартов (например, ISO 27001 для информационной безопасности) и внутренних регламентов компании. На данном этапе проводится сбор и систематизация всей необходимой документации.
1.3. Определение ответственных лиц и формирование рабочей группы
Назначаются специалисты, ответственные за проведение аудита, включая юристов, специалистов по ИБ, внутренний аудит и представителей руководства. Формируется рабочая группа, которая будет осуществлять аудит, анализировать данные и готовить рекомендации.
2. Основной этап комплаенс аудита
Основной этап включает непосредственную проверку соблюдения требований путем анализа документов, интервьюирования сотрудников и технической диагностики.
2.1. Анализ документации
Проверяется соответствие внутренних политик и регламентов законодательным требованиям, а также их фактическое исполнение. Оцениваются отчеты, внутренние процедуры, журналы учета и другие документы.
2.2. Интервью и анкетирование сотрудников
Проводятся беседы и опросы среди сотрудников различных уровней для выявления их осведомленности о требованиях законодательства. Выявляются возможные проблемы в соблюдении норм и проводится оценка корпоративной культуры в области ИБ.
2.3. Технический аудит
Осуществляется проверка работы средств защиты информации, таких как межсетевые экраны, системы предотвращения вторжений (IPS), антивирусное ПО, SIEM-системы и другие. Проводится анализ эффективности технических мер безопасности, соответствие требованиям стандартов и наличие уязвимостей.
3. Итоговый этап комплаенс аудита
На завершающем этапе формируются выводы и рекомендации по устранению выявленных несоответствий.
3.1. Формирование отчета о выявленных несоответствиях
Подготавливается детализированный отчет, содержащий описание обнаруженных нарушений, степень их критичности и возможные последствия для компании.
3.2. Разработка рекомендаций по устранению проблем
Предлагаются меры по исправлению выявленных несоответствий, включая корректировку нормативных документов, внедрение дополнительных процедур и обучение персонала.
3.3. Контроль выполнения корректирующих действий и повторная проверка
Организуется процесс мониторинга внедрения рекомендованных мер. После их реализации проводится повторный аудит для оценки эффективности принятых решений.
Проведение комплаенс-аудита является одним из направлений работы Simplity. Каждый проект – это уникальный набор задач. О том, как проходили проекты, расскажут наши кейсы.