В последние годы стала очевидной необходимость создания доверенной инфраструктуры аудита информационной безопасности финансовых организаций — системы, при которой все участники рынка доверяют результатам независимой оценки соответствия требованиям регуляторов. Заинтересованным в формировании рынка качественного аудита ИБ нужна инфраструктура, обеспечивающая эффективное взаимодействие всех сторон — Банка России, финансовых организаций, различных поставщиков, учебных центров и аудиторов.
Эксперты Ассоциации АБИСС участвуют в разработке концепции системы, которая определит, как будут взаимодействовать участники в рамках всей инфраструктуры, какие требования должны предъявляться к финансовым организациям и компаниям-аудиторам, а также опишет необходимые бизнес-процессы. При этом будет разработана единая для всех методология проведения оценок соответствия требованиям информационной безопасности и выборочных проверок для самих аудиторов. Участникам должно быть понятно, как именно их будут проверять, и какие меры будут считаться достаточными для реализации тех или иных требований. Важной задачей также является разработка программ обучения и повышения квалификации аудиторов, так как в настоящее время на рынке недостаточно квалифицированных экспертов.
Одной из предпосылок создания доверенной инфраструктуры аудита стало увеличение регуляторных требований по информационной безопасности, по которым предусмотрена внешняя оценка соответствия. Если раньше участники финансового рынка ориентировались на верхнеуровневые фреймворки и чуть позже на требования по защите информации, то сегодня они опираются на требования по операционной надежности и управлению рисками информационных угроз.
Необходимость в доверенной инфраструктуре также продиктована потенциальным расширением охвата участников рынка, на которых будут распространяться требования по внешней оценке соответствия: активно обсуждается аудит процессов безопасной разработки для вендоров прикладного программного обеспечения, а также аудит компаний, которые предоставляют облачные сервисы финансовым организациям, то есть оказывают услуги по ИТ/ИБ-аутсорсингу.
Создаваемая инфраструктура аудита обеспечит подтверждение качества проводимых оценок соответствия за счет единой методики и системы сертификации. А результаты оценки позволят Банку России контролировать безопасность всей финансовой системы страны, руководству финансовых организаций управлять операционными рисками, ИБ-руководителям планировать развитие своих направлений внутри организации.