Информационная безопасность в фокусе внимания ревизионной комиссии
Когда ревизии завершены, Николай Соловьев предлагает планировать следующий год с включением вопроса соблюдения компанией цифровой гигиены и информбезопасности
Все, кто так или иначе связан и имеет отношение к работе Ревизионной комиссии, к проводимым проверкам и ее результатам, отраженным в актах и заключениях, привыкли, что Ревизионная комиссия и/или Ревизор проверяет финансово-хозяйственную деятельность общества в основном в разрезе ведения бухгалтерского баланса, счетов, результатов деятельности. Выражающейся в прибылях или убытках и т.д.
Суть ревизии состоит в проверке путем применения специальных знаний по документированной учетно-экономической информации ряда вопросов, контролируемых в обязательном порядке руководством, собственниками хозяйствующего субъекта или вышестоящим органом.
Задачи ревизии:
Сейчас закачивается корпоративный год, все ревизионные проверки завершены, однако именно сейчас самое время членам ревизионной комиссии подумать о планах работы на следующий корпоративный год, переосмыслить все ранее проверяемые в компаниях вопросы и аспекты деятельности, обратить внимание на те вопросы, которым ранее не уделялось внимания и которые ранее отсутствовали в планах проверок.
Я предлагаю, рассмотреть вопрос включения в план проверок ревизионных комиссий проверку состояния обеспечения информационной безопасности, как одного их важных в современном цифровом мире аспекта осуществления финансово-хозяйственной деятельности любой компанией. Для большинства современных компаний в настоящее время остается и становится все более актуальным соблюдение цифровой гигиены и информационной безопасности.
Можно много рассуждать о том, какие аспекты деятельности компании, связанные с защитой информации стоит проверять, но я для начала предлагаю обратиться к документу, который в 2013 году выпустило Росимущество.
Методические рекомендации по организации работы ревизионных комиссий акционерных обществ, утвержденные приказом от 26 августа 2013 г. N 254, которыми руководствуются не только сотрудники Федерального агентства по управлению государственным имуществом (Росимущество), но и входящие в состав ревизионных комиссий акционерных обществ, акции которых находятся в собственности Российской Федерации, независимые эксперты, определяет, что задачей первого этапа проверки является выявление основных рисков, связанных с операционной деятельностью.
Обычно на данном этапе проверяют:
Однако, к Методическим рекомендациям прилагается анкета, которая в том числе содержит раздел рекомендуемый к проверке «Построение ИТ-систем, информационная безопасность».
Данный раздел содержит такие параметры диагностики рисков, как:
Таким образом при осуществлении проверки согласно данной формы ревизор проверяет следующие риски:
Напоминаю, что данные Методические рекомендации разработаны в 2013 году, за несколько лет до наступления эпохи цифровой экономики в Российской Федерации (первая половина 2017 года ознаменовалась как начало эпохи цифровой экономики) и задолго выхода рекомендаций Банка России по участию совета директоров (наблюдательного совета) в процессах развития и управления информационными технологиями и управления риском информационной безопасности (информационное письмо Банка России от 24.05.2019 N ИН-06-28/45), которые я упоминал в своей предыдущей статье «Роль совета директоров в кибербезопасности и защите информации» .
На данный момент, подходы к проверке состояния защищенности и обеспечения информационной безопасности стали более структурированными и углубленными. Многие компании заказывают независимый внешний аудит защищенности информационной инфраструктуры, а учитывая то, что работа аудитора и при проверке финансово-хозяйственной деятельности компании всегда плотно пересекается с работой ревизора, то данный подход, особенно для компаний с развитой информационной инфраструктурой применим и для проведения проверки ревизионной комиссией, хотя и требует в таком случае включения в нее эксперта с соответствующими компетенциями и знаниями.
Мной, совместно с заместителем директора и куратором проектов по информационной безопасности системного интегратора ITLPRO Анастасией Катаевой разработаны следующие рекомендации по проверке состояния защищенности информационной инфраструктуры компании:
1. Отчет должен в том числе содержать:
Эти пункты позволяют при необходимости детально изучить всю информацию любому участнику процесса, от технического специалиста, до руководителя любого уровня, обладающего соответствующими знаниями и компетенциями, проверить ее на возможные неточности или противоречия, дают понимание о полноценности и достоверности сделанных в финальных разделах отчета выводов и рекомендаций!
2. Результатами поверки должны стать и отчет должен содержать:
Эти разделы позволят руководителю любого уровня, не имеющему компетенций в области защиты информации и информационных технологий, понять существуют ли проблемы в компании, связанные с защищенностью информационной инфраструктуры, суть проблем и оценить финансовую составляющую предлагаемых решений и рекомендаций.
Учитывая то, что в соответствии с Кодексом корпоративного управления для эффективного функционирования системы управления рисками и внутреннего контроля рекомендуется создавать отдельное структурное подразделение (подразделения) по управлению рисками и внутреннему контролю, то, по моему мнению, наступает время данному подразделению также уделять вопросам информационной безопасности в компаниях с развитой информационной инфраструктурой особое внимание с выделением для осуществления контроля по данному направлению отдельных специалистов обладающих соответствующими компетенциями, которые смогут проверять не только подразделения обеспечивающие функционирование информационных систем (подчиненные CIO — Chief Information Officer, директор по информационным технологиям), но и подразделения обеспечивающие информационную безопасность (подчиненные CISO — Chief Information Security Officer, директор по информационной безопасности).
Я как член ревизионных комиссий с многолетним опытом, специалист по информационной безопасности, имеющий опыт работы в области защиты информации на предприятиях ОПК более 15 лет, а также, как член Комитета по цифровой трансформации Национальной ассоциации корпоративных директоров НАКД, рекомендую использовать вышеизложенные подходы по проверке состояния информационной безопасности компаний не только экспертам ревизионных комиссий, но и с учетом имеющихся рекомендаций Банка России, членам Советов директоров и специализированных комитетов при Советах директоров при осуществлении контроля и стратегического планирования.
Не забываем о прекрасной идиоме «The devil is in the detail», иногда полезно даже члену совета директоров спуститься с небес и покопаться в сути важного вопроса, чтобы оценить качество и достоверность предоставляемой отчетности.
РБК
Суть ревизии состоит в проверке путем применения специальных знаний по документированной учетно-экономической информации ряда вопросов, контролируемых в обязательном порядке руководством, собственниками хозяйствующего субъекта или вышестоящим органом.
Задачи ревизии:
- проверка сохранности имущества и эффективности его использования в хозяйственной деятельности организации;
- выявление злоупотреблений, условий их возникновения и разработка мероприятий по предупреждению злоупотреблений;
- проверка исполнительской дисциплины и оценка эффективности деятельности управленческого персонала организации;
- исследование системы внутреннего контроля, выявление ее узких мест и повышение эффективности ее функционирования.
Сейчас закачивается корпоративный год, все ревизионные проверки завершены, однако именно сейчас самое время членам ревизионной комиссии подумать о планах работы на следующий корпоративный год, переосмыслить все ранее проверяемые в компаниях вопросы и аспекты деятельности, обратить внимание на те вопросы, которым ранее не уделялось внимания и которые ранее отсутствовали в планах проверок.
Я предлагаю, рассмотреть вопрос включения в план проверок ревизионных комиссий проверку состояния обеспечения информационной безопасности, как одного их важных в современном цифровом мире аспекта осуществления финансово-хозяйственной деятельности любой компанией. Для большинства современных компаний в настоящее время остается и становится все более актуальным соблюдение цифровой гигиены и информационной безопасности.
Можно много рассуждать о том, какие аспекты деятельности компании, связанные с защитой информации стоит проверять, но я для начала предлагаю обратиться к документу, который в 2013 году выпустило Росимущество.
Методические рекомендации по организации работы ревизионных комиссий акционерных обществ, утвержденные приказом от 26 августа 2013 г. N 254, которыми руководствуются не только сотрудники Федерального агентства по управлению государственным имуществом (Росимущество), но и входящие в состав ревизионных комиссий акционерных обществ, акции которых находятся в собственности Российской Федерации, независимые эксперты, определяет, что задачей первого этапа проверки является выявление основных рисков, связанных с операционной деятельностью.
Обычно на данном этапе проверяют:
- Качество отчетности;
- Качество планирования;
- Качество роботы органов управления.
Однако, к Методическим рекомендациям прилагается анкета, которая в том числе содержит раздел рекомендуемый к проверке «Построение ИТ-систем, информационная безопасность».
Данный раздел содержит такие параметры диагностики рисков, как:
- Наличие описания работы в ИС и взаимодействия различных ИС друг с другом, например, бухгалтерской системы и системы клиент-банк;
- Порядок хранения электронных ключей (например, для системы клиент-банк): в сейфе, в ящике стола, на столе и т.д.
- Существует ли перечень конфиденциальных данных?
- Организован ли надлежащим образом порядок доступа к конфиденциальным данным, порядок актуализации доступа?
- Как предоставляются права доступа (чтение, изменение, удаление) к информационным ресурсам (ИС, базы данных, папки и т.д.)?
- Своевременно ли отзываются права при увольнении сотрудников и как часто проводится проверка актуальности перечня существующих прав доступа?
- Порядок резервного копирования данных:
- все ли существенные данные копируются?
- адекватность носителей, на которые производится копирование (например, копирование данных в папку на том же компьютере не существенно сокращает риски)
- достаточна ли частота копирования (ежедневно, еженедельно и т.д.)
- достаточна ли глубина хранения: с каким лагом данные хранятся в копии (на конец предыдущего дня, на конец предыдущей недели и т.д.)
- Физическая сохранность резервных копий (безопасность при пожаре, недопущение кражи)
Таким образом при осуществлении проверки согласно данной формы ревизор проверяет следующие риски:
- Риск преемственности при смене ключевых сотрудников, пользующихся ИС
- Риск утечки конфиденциальных данных, репутационного ущерба, кражи денежных средств.
- Риск утечки конфиденциальных данных
- Риск несанкционированного изменения данных, утечки конфиденциальных данных
- Риск утраты данных, больших затрат на восстановление данных
- Риск утраты данных, больших затрат на восстановление данных
Напоминаю, что данные Методические рекомендации разработаны в 2013 году, за несколько лет до наступления эпохи цифровой экономики в Российской Федерации (первая половина 2017 года ознаменовалась как начало эпохи цифровой экономики) и задолго выхода рекомендаций Банка России по участию совета директоров (наблюдательного совета) в процессах развития и управления информационными технологиями и управления риском информационной безопасности (информационное письмо Банка России от 24.05.2019 N ИН-06-28/45), которые я упоминал в своей предыдущей статье «Роль совета директоров в кибербезопасности и защите информации» .
На данный момент, подходы к проверке состояния защищенности и обеспечения информационной безопасности стали более структурированными и углубленными. Многие компании заказывают независимый внешний аудит защищенности информационной инфраструктуры, а учитывая то, что работа аудитора и при проверке финансово-хозяйственной деятельности компании всегда плотно пересекается с работой ревизора, то данный подход, особенно для компаний с развитой информационной инфраструктурой применим и для проведения проверки ревизионной комиссией, хотя и требует в таком случае включения в нее эксперта с соответствующими компетенциями и знаниями.
Мной, совместно с заместителем директора и куратором проектов по информационной безопасности системного интегратора ITLPRO Анастасией Катаевой разработаны следующие рекомендации по проверке состояния защищенности информационной инфраструктуры компании:
1. Отчет должен в том числе содержать:
- Характеристики проверяемой системы (систем), дающие возможность однозначной ее идентификации в т.ч. По месту расположения;
- Состав обследованной системы (технические и программные компоненты);
- Требования, предъявляемые к процессам защиты информации (в рамках системы), критерии проверки/обследования и обоснование их применения;
- Характеристики информации, обрабатываемой, хранимой и передаваемой по каналам связи в рамках обследованной системы;
- Общее описание методик работы пользователей системы (при необходимости);
- Краткое описание имеющихся применяющихся в системе технических (и/или иных, при необходимости) средств защиты информации, оценка эффективности данных средств и соответствия требованиям, предъявляемые к процессам защиты информации (в рамках системы);
- Краткое описание имеющихся на объекте работ технических средств и мер физической безопасности и оценка соответствия данных средств и мер требованиям защищенности;
- Краткое описание принятых на объекте организационно-нормативных мерах информационной безопасности (наличие приказов о назначении лиц, ответственных за эксплуатацию и обеспечение информационной безопасности системы, наличие нормативно-инструктивных документов, данные о квалификации ответственных лиц и т.п.) и оценка соответствия данных мер требованиям защищенности;
Эти пункты позволяют при необходимости детально изучить всю информацию любому участнику процесса, от технического специалиста, до руководителя любого уровня, обладающего соответствующими знаниями и компетенциями, проверить ее на возможные неточности или противоречия, дают понимание о полноценности и достоверности сделанных в финальных разделах отчета выводов и рекомендаций!
2. Результатами поверки должны стать и отчет должен содержать:
- Определение уровня информационной безопасности вычислительной сети;
- Общая оценка текущего состояния информационной безопасности системы на момент обследования;
- Общие рекомендации по улучшению состояния информационной безопасности
- Технические рекомендации (реконфигурация/модернизация комплекса технических средств и средств защиты, установка и настройка дополнительных средств защиты, применение дополнительных технических мер и т.п.),
- Организационные рекомендации (разработка и ввод в действие необходимых документов, изменения в штатной структуре организации, обучение персонала и т.д.).
Эти разделы позволят руководителю любого уровня, не имеющему компетенций в области защиты информации и информационных технологий, понять существуют ли проблемы в компании, связанные с защищенностью информационной инфраструктуры, суть проблем и оценить финансовую составляющую предлагаемых решений и рекомендаций.
Учитывая то, что в соответствии с Кодексом корпоративного управления для эффективного функционирования системы управления рисками и внутреннего контроля рекомендуется создавать отдельное структурное подразделение (подразделения) по управлению рисками и внутреннему контролю, то, по моему мнению, наступает время данному подразделению также уделять вопросам информационной безопасности в компаниях с развитой информационной инфраструктурой особое внимание с выделением для осуществления контроля по данному направлению отдельных специалистов обладающих соответствующими компетенциями, которые смогут проверять не только подразделения обеспечивающие функционирование информационных систем (подчиненные CIO — Chief Information Officer, директор по информационным технологиям), но и подразделения обеспечивающие информационную безопасность (подчиненные CISO — Chief Information Security Officer, директор по информационной безопасности).
Я как член ревизионных комиссий с многолетним опытом, специалист по информационной безопасности, имеющий опыт работы в области защиты информации на предприятиях ОПК более 15 лет, а также, как член Комитета по цифровой трансформации Национальной ассоциации корпоративных директоров НАКД, рекомендую использовать вышеизложенные подходы по проверке состояния информационной безопасности компаний не только экспертам ревизионных комиссий, но и с учетом имеющихся рекомендаций Банка России, членам Советов директоров и специализированных комитетов при Советах директоров при осуществлении контроля и стратегического планирования.
Не забываем о прекрасной идиоме «The devil is in the detail», иногда полезно даже члену совета директоров спуститься с небес и покопаться в сути важного вопроса, чтобы оценить качество и достоверность предоставляемой отчетности.
РБК