Информационная безопасность в фокусе внимания ревизионной комиссии

Все, кто так или иначе связан и имеет отношение к работе Ревизионной комиссии, к проводимым проверкам и ее результатам, отраженным в актах и заключениях, привыкли, что Ревизионная комиссия и/или Ревизор проверяет финансово-хозяйственную деятельность общества в основном в разрезе ведения бухгалтерского баланса, счетов, результатов деятельности. Выражающейся в прибылях или убытках и т.д.

Суть ревизии состоит в проверке путем применения специальных знаний по документированной учетно-экономической информации ряда вопросов, контролируемых в обязательном порядке руководством, собственниками хозяйствующего субъекта или вышестоящим органом.

Задачи ревизии:

• проверка сохранности имущества и эффективности его использования в хозяйственной деятельности организации;
• выявление злоупотреблений, условий их возникновения и разработка мероприятий по предупреждению злоупотреблений;
• проверка исполнительской дисциплины и оценка эффективности деятельности управленческого персонала организации;
• исследование системы внутреннего контроля, выявление ее узких мест и повышение эффективности ее функционирования.

Сейчас закачивается корпоративный год, все ревизионные проверки завершены, однако именно сейчас самое время членам ревизионной комиссии подумать о планах работы на следующий корпоративный год, переосмыслить все ранее проверяемые в компаниях вопросы и аспекты деятельности, обратить внимание на те вопросы, которым ранее не уделялось внимания и которые ранее отсутствовали в планах проверок.

Я предлагаю, рассмотреть вопрос включения в план проверок ревизионных комиссий проверку состояния обеспечения информационной безопасности, как одного их важных в современном цифровом мире аспекта осуществления финансово-хозяйственной деятельности любой компанией. Для большинства современных компаний в настоящее время остается и становится все более актуальным соблюдение цифровой гигиены и информационной безопасности.

Можно много рассуждать о том, какие аспекты деятельности компании, связанные с защитой информации стоит проверять, но я для начала предлагаю обратиться к документу, который в 2013 году выпустило Росимущество.

Методические рекомендации по организации работы ревизионных комиссий акционерных обществ, утвержденные приказом от 26 августа 2013 г. N 254, которыми руководствуются не только сотрудники Федерального агентства по управлению государственным имуществом (Росимущество), но и входящие в состав ревизионных комиссий акционерных обществ, акции которых находятся в собственности Российской Федерации, независимые эксперты, определяет, что задачей первого этапа проверки является выявление основных рисков, связанных с операционной деятельностью.

Обычно на данном этапе проверяют:

• Качество отчетности;
• Качество планирования;
• Качество роботы органов управления.

Однако, к Методическим рекомендациям прилагается анкета, которая в том числе содержит раздел рекомендуемый к проверке «Построение ИТ-систем, информационная безопасность».

Данный раздел содержит такие параметры диагностики рисков, как:

• Наличие описания работы в ИС и взаимодействия различных ИС друг с другом, например, бухгалтерской системы и системы клиент-банк;
• Порядок хранения электронных ключей (например, для системы клиент-банк): в сейфе, в ящике стола, на столе и т.д.
• Существует ли перечень конфиденциальных данных?
• Организован ли надлежащим образом порядок доступа к конфиденциальным данным, порядок актуализации доступа?
• Как предоставляются права доступа (чтение, изменение, удаление) к информационным ресурсам (ИС, базы данных, папки и т.д.)?
• Своевременно ли отзываются права при увольнении сотрудников и как часто проводится проверка актуальности перечня существующих прав доступа?
• Порядок резервного копирования данных:
• все ли существенные данные копируются?
• адекватность носителей, на которые производится копирование (например, копирование данных в папку на том же компьютере не существенно сокращает риски)
• достаточна ли частота копирования (ежедневно, еженедельно и т.д.)
• достаточна ли глубина хранения: с каким лагом данные хранятся в копии (на конец предыдущего дня, на конец предыдущей недели и т.д.)
• Физическая сохранность резервных копий (безопасность при пожаре, недопущение кражи)

Таким образом при осуществлении проверки согласно данной формы ревизор проверяет следующие риски:

• Риск преемственности при смене ключевых сотрудников, пользующихся ИС
• Риск утечки конфиденциальных данных, репутационного ущерба, кражи денежных средств.
• Риск утечки конфиденциальных данных
• Риск несанкционированного изменения данных, утечки конфиденциальных данных
• Риск утраты данных, больших затрат на восстановление данных
• Риск утраты данных, больших затрат на восстановление данных

Напоминаю, что данные Методические рекомендации разработаны в 2013 году, за несколько лет до наступления эпохи цифровой экономики в Российской Федерации (первая половина 2017 года ознаменовалась как начало эпохи цифровой экономики) и задолго выхода рекомендаций Банка России по участию совета директоров (наблюдательного совета) в процессах развития и управления информационными технологиями и управления риском информационной безопасности (информационное письмо Банка России от 24.05.2019 N ИН-06-28/45), которые я упоминал в своей предыдущей статье «Роль совета директоров в кибербезопасности и защите информации» .

На данный момент, подходы к проверке состояния защищенности и обеспечения информационной безопасности стали более структурированными и углубленными. Многие компании заказывают независимый внешний аудит защищенности информационной инфраструктуры, а учитывая то, что работа аудитора и при проверке финансово-хозяйственной деятельности компании всегда плотно пересекается с работой ревизора, то данный подход, особенно для компаний с развитой информационной инфраструктурой применим и для проведения проверки ревизионной комиссией, хотя и требует в таком случае включения в нее эксперта с соответствующими компетенциями и знаниями.

Мной, совместно с заместителем директора и куратором проектов по информационной безопасности системного интегратора ITLPRO Анастасией Катаевой разработаны следующие рекомендации по проверке состояния защищенности информационной инфраструктуры компании:

1. Отчет должен в том числе содержать:

• Характеристики проверяемой системы (систем), дающие возможность однозначной ее идентификации в т.ч. По месту расположения;
• Состав обследованной системы (технические и программные компоненты);
• Требования, предъявляемые к процессам защиты информации (в рамках системы), критерии проверки/обследования и обоснование их применения;
• Характеристики информации, обрабатываемой, хранимой и передаваемой по каналам связи в рамках обследованной системы;
• Общее описание методик работы пользователей системы (при необходимости);
• Краткое описание имеющихся применяющихся в системе технических (и/или иных, при необходимости) средств защиты информации, оценка эффективности данных средств и соответствия требованиям, предъявляемые к процессам защиты информации (в рамках системы);
• Краткое описание имеющихся на объекте работ технических средств и мер физической безопасности и оценка соответствия данных средств и мер требованиям защищенности;
• Краткое описание принятых на объекте организационно-нормативных мерах информационной безопасности (наличие приказов о назначении лиц, ответственных за эксплуатацию и обеспечение информационной безопасности системы, наличие нормативно-инструктивных документов, данные о квалификации ответственных лиц и т.п.) и оценка соответствия данных мер требованиям защищенности;

Эти пункты позволяют при необходимости детально изучить всю информацию любому участнику процесса, от технического специалиста, до руководителя любого уровня, обладающего соответствующими знаниями и компетенциями, проверить ее на возможные неточности или противоречия, дают понимание о полноценности и достоверности сделанных в финальных разделах отчета выводов и рекомендаций!

2. Результатами поверки должны стать и отчет должен содержать:

• Определение уровня информационной безопасности вычислительной сети;
• Общая оценка текущего состояния информационной безопасности системы на момент обследования;
• Общие рекомендации по улучшению состояния информационной безопасности
• Технические рекомендации (реконфигурация/модернизация комплекса технических средств и средств защиты, установка и настройка дополнительных средств защиты, применение дополнительных технических мер и т.п.),
• Организационные рекомендации (разработка и ввод в действие необходимых документов, изменения в штатной структуре организации, обучение персонала и т.д.).

Эти разделы позволят руководителю любого уровня, не имеющему компетенций в области защиты информации и информационных технологий, понять существуют ли проблемы в компании, связанные с защищенностью информационной инфраструктуры, суть проблем и оценить финансовую составляющую предлагаемых решений и рекомендаций.

Учитывая то, что в соответствии с Кодексом корпоративного управления для эффективного функционирования системы управления рисками и внутреннего контроля рекомендуется создавать отдельное структурное подразделение (подразделения) по управлению рисками и внутреннему контролю, то, по моему мнению, наступает время данному подразделению также уделять вопросам информационной безопасности в компаниях с развитой информационной инфраструктурой особое внимание с выделением для осуществления контроля по данному направлению отдельных специалистов обладающих соответствующими компетенциями, которые смогут проверять не только подразделения обеспечивающие функционирование информационных систем (подчиненные CIO — Chief Information Officer, директор по информационным технологиям), но и подразделения обеспечивающие информационную безопасность (подчиненные CISO — Chief Information Security Officer, директор по информационной безопасности).

Я как член ревизионных комиссий с многолетним опытом, специалист по информационной безопасности, имеющий опыт работы в области защиты информации на предприятиях ОПК более 15 лет, а также, как член Комитета по цифровой трансформации Национальной ассоциации корпоративных директоров НАКД, рекомендую использовать вышеизложенные подходы по проверке состояния информационной безопасности компаний не только экспертам ревизионных комиссий, но и с учетом имеющихся рекомендаций Банка России, членам Советов директоров и специализированных комитетов при Советах директоров при осуществлении контроля и стратегического планирования.

Не забываем о прекрасной идиоме «The devil is in the detail», иногда полезно даже члену совета директоров спуститься с небес и покопаться в сути важного вопроса, чтобы оценить качество и достоверность предоставляемой отчетности.

РБК