Приближается 30 мая, дата вступления в силу новых правил в сфере защиты персональных данных. Как следствие, спрос на аудит информационной безопасности вырос в разы: компании хотят обезопасить себя от крупных штрафов и получить возможность смягчить санкции в случае утечки данных.
Поэтому не удивительно, что самый актуальный #вопрос_к_Альфе на сегодня: «Поможет ли АльфаДок при аудите информационной безопасности?». Ответ – однозначно да! Но обо всём по порядку…
Чтобы ответить на этот вопрос и получить экспертную оценку, мы обратились к руководителю отдела аудита информационных систем Антону Яруткину и его заместителю Екатерине Волковой. Читайте далее — и вы узнаете, какие возможности АльфаДок особенно ценны для аудиторов и как он помогает на практике.
− Прежде чем мы перейдём к обсуждению АльфаДок, давайте проясним: что же такое аудит информационной безопасности?
Антон: Изначально слово «аудит» пришло к нам из финансовой сферы и закреплено в Федеральном законе № 307-ФЗ «Об аудиторской деятельности». Главная задача аудиторской проверки — установить, насколько факты, на основе которых формируется отчётность, соответствуют реальности.
− Увеличилось ли количество обращений за вашими услугами в связи с последними изменениями в законодательстве?
Антон: В этой сфере я больше 10 лет и с уверенностью могу сказать, что спрос на наши услуги растёт с каждым годом. Это видно и по нашему отделу. Штат вырос вдвое, до 20 человек, и мы продолжаем активно нанимать специалистов.
Безусловно, ужесточение законодательства в сфере информационной безопасности вносит свои коррективы: отношение к вопросам защиты данных уже другое — более осознанное. Это отражается и на нашей работе: экспресс-проверки постепенно уходят в прошлое, уступая место масштабным и трудоёмким проектам, которые могут длиться целый год. Как правило, основной заказчик таких проектов – крупный бизнес.
Екатерина: Да, чувствуется, что коммерческих заказчиков становится больше. Если раньше нашими основными клиентами были государственные и бюджетные учреждения, обязанные проводить аттестацию своих государственных информационных систем в силу законодательства, то сейчас всё чаще обращаются крупные коммерческие предприятия из самых разных отраслей экономики: сельского хозяйства, электроэнергетики, связи, нефтепереработки и др.
− Расскажите, пожалуйста, какие ключевые этапы включает в себя аудит ИБ? И на каком этапе вы обращаетесь к АльфаДок?
Антон: Мы выделяем пять основных этапов.
Первый этап — предварительный. После заключения договора до выезда на предприятие мы собираем информацию о нём из открытых источников. Изучаем данные из Единого государственного реестра юридических лиц (ЕГРЮЛ), анализируем ОКВЭД, официальный сайт, чтобы получить предварительное представление о деятельности клиента. Уже на этом этапе определяем объём работ и начинаем заполнять опросные листы для выездной проверки.
Второй этап – очный выезд к заказчику для сбора данных, который включает:
− организационную часть: общение с руководителями подразделений по вопросам обработки персональных данных (чаще с главным бухгалтером, специалистом по кадрам);
− техническую часть: опрос ИБ- и ИТ-специалистов об инфраструктуре, схеме сети и средствах защиты и др.
Третий этап – анализ и структурирование собранных данных.
Четвёртый этап — подготовка отчётных материалов по аудиту, включающих оценку текущего состояния информационной безопасности организации и наши рекомендации.
Пятый этап — это разработка организационно-распорядительной, технической и проектной документации. Это очень сложный и трудоёмкий процесс, в котором АльфаДок оказывает неоценимую помощь.
− Какие задачи позволяет решить вам АльфаДок?
Екатерина: Всё зависит от проекта. АльфаДок помогает сформировать организационные и технические документы как по защите персональных данных, объектов КИИ, так и информации, обрабатываемой в ГИС. При проведении аудита на соответствие 152-ФЗ, например для централизованной бухгалтерии, он полностью покрывает наши потребности, а в более сложных проектах — до 80−90%.
Антон: Хочу добавить, что АльфаДок за эти годы тоже значительно изменился. Если десять лет назад АльфаДок позволял создавать только базовые документы по защите персональных данных, то сейчас он автоматизирует разработку технического задания на систему защиты, технического паспорта, модели угроз, оценки защищённости, различных журналов и многого другого. Это инструмент совершенно другого уровня. Точно оценить сложно, но без него наша работа занимала бы, по меньшей мере, вдвое больше времени.
И нередко руководители, оценив соответствие нашей документации всем требованиям и пройдя с ними проверки регуляторов, приобретают АльфаДок уже с заполненным профилем и дальше своими силами поддерживают актуальность документации. Это позволяет им экономить на услугах внешних специалистов и своевременно обновлять документы, что критически важно делать как минимум раз в год. Документы должны постоянно жить, а не просто лежать на полке.
− Иногда можно услышать мнение, что работать в АльфаДок стало сложнее. Так ли это?
Антон: Да, отчасти это так, но я понимаю, что все изменения продиктованы необходимостью соответствовать меняющимся требованиям рынка и подстраиваться под особенности заказчика. АльфаДок работает с шаблонами документов, но разработчики стремятся к максимальной гибкости системы, чтобы организации смогли отразить в ней специфику своего бизнеса и своих рабочих процессов. И если раньше эти шаблоны были более статичными и мы не могли адаптировать их под свои нужды, то сейчас подобных проблем возникает всё меньше.
Важно подчеркнуть, что мы активно участвуем в развитии продукта: наш опыт взаимодействия с регуляторами и заказчиками, а также наши пожелания передаются в Службу экспертной поддержки «Альфа» и находят своё воплощение в новых версиях приложения.
− Получается, АльфаДок — ваш основной помощник при разработке ОРД? Есть ещё какие-нибудь полезные инструменты, которые вы используете при аудите?
Антон: Да, все наши аудиторы работают в АльфаДок. Мы рассматривали альтернативные варианты, но убедились, что он наиболее полно удовлетворяет наши потребности.
Конечно, нельзя не упомянуть и новую разработку НПЦ КСБ — АРМ-Сканер. Это приложение интегрировано с АльфаДок и позволяет нам собрать и внести в него сведения о технических средствах и его характеристиках, а также об установленном на них ПО.
Екатерина: В прошлом году нам пришлось решать сложную задачу по сбору данных о 3500 компьютерах крупной агропромышленной компании. Благодаря АРМ-Сканеру этот процесс стал максимально удобным и позволил снизить трудозатраты и минимизировать ручной ввод. Только представьте, насколько увеличились бы сроки реализации проекта, если бы мы собирали информацию вручную, обходя каждый компьютер!
− Что вы могли бы посоветовать нашим пользователям исходя из вашего аудиторского опыта?
Антон: Своевременно обновляйте информацию в АльфаДок, и аудит пройдёт быстро и без проблем. Оперативная выгрузка всей необходимой документации по информационной безопасности значительно упрощает нашу работу.
Екатерина: Действуйте! Пусть ваши документы приносят пользу и укрепляют кибербезопасность компании, а не пылятся на полочке. АльфаДок – это не просто инструмент, это ваш помощник в создании безопасной и эффективной организации. Не бойтесь его использовать, изучайте все возможности. Правильно настроенный и актуальный АльфаДок значительно облегчит вашу работу и поможет успешно пройти проверки и избежать многих проблем, связанных с информационной безопасностью.
Беседовала Людмила Егорова
