Предпосылки проведения аудита безопасности
Причины, по которым проводится аудит безопасности, зависят от тех целей, которые хочет достичь кредитно-финансовая организация в результате реализации данного проекта. Так, аудит может проводиться с целью подготовки технического задания на проектирование и разработку комплексной системы защиты АБС, обеспечивающую эффективное управление операционными рисками. Необходимо отметить, что после внедрения такой системы защиты может проводиться повторный аудит уже с целью оценки ее эффективности.
В ряде случаев аудит проводится в целях расследования происшедшего инцидента, связанного с нарушением информационной безопасности. В этом случае аудит носит прецедентный характер и направлен на установление причин происшедшего инцидента и выработку рекомендаций по их устранению.
Целью аудита также может являться приведение действующей системы безопасности банка в соответствие требованиям российского или международного законодательства. В России одним из базовых нормативных документов в области информационной безопасности кредитно-финансовых организаций является Стандарт Банка России СТО БР ИББС-1.0, вторая версия которого была введена в действие в начале 2006 г. Основной целью данного Стандарта является установление единых требований по обеспечению информационной безопасности, а также повышение эффективности мероприятий по защите информации. В настоящее время положения Стандарта Банка России носят рекомендательный характер, однако нельзя исключать, что в ближайшем будущем его требования могут стать обязательными для выполнения.
Что касается зарубежных нормативных актов, регулирующих банковский сектор, то одним из основных документов этой категории является Соглашение Базель II, принятое Базельским комитетом в 2004 г. Данное Соглашение предъявляет требования к оценке операционных, кредитных и иных рисков, а также резервированию капитала для их покрытия. Реализация положений данного Соглашения требует внедрения комплекса организационных и технических мер, позволяющих минимизировать риски информационной безопасности.