Оценка соответствия — это комплексная услуга, при помощи которой можно узнать соответствие информационной системы принятому стандарту. Под последним понимается Положение ЦБ РФ № 382-П, которое действует в нашей стране уже не первый год (оно было принято 09.06.2012). Организации, занимающиеся выплатами финансовых средств, обязаны проходить аудиторскую оценку с частотой не реже одного раза в два года.

Основные виды оценки

Оценка соответствия 382-П может быть пройдена клиентом и при содействии специализированных организаций. Аудиторы, осуществляющие такие услуги, предоставляют заказчику готовые результаты и отчетную документацию. Когда оценка проведена, клиенту остается лишь отправить полученные данные в Банк России. Аудит информационной безопасности проводят специализирующиеся в данном сегменте компании, в числе которых одной из наиболее надежных считается ITGLOBAL.COM. Компания предоставляет услуги по проведению следующих типов оценки:

• Обычная оценка. Для начала производится выезд сотрудников к клиенту. Во время обследования анализируется документация, изучается состояние информационных систем, участвующих в денежных переводах. В число таких систем входят сведения о конфигурации оборудования, данные о защите информации и пр. Производится проверка соблюдения мер безопасности, которые требуются для защиты данных. Также производится опрос сотрудников организации клиента; даются рекомендации по улучшению систем. Заключительный этап — это составление отчета на основании данных, полученных в ходе анализа. Также определяются показатели оценки соответствия и подготавливаются итоговые отчетные документы согласно принятым формам.
• Оценка с предаудитом. При выезде, как и в первом случае, анализируется нормативная документация и производится исследование информационных систем в компании. Но в данном случае осуществляется подход не только с формальной позиции, но и с точки зрения углубленного анализа и предоставления более широкого диапазона рекомендаций; при этом используются наиболее важный опыт как российской, так и мировой практики. Данный тип проверки занимает от 2 до 10 дней. После первого этапа (визита) подготавливается документ, где подробно расписываются рекомендации для улучшения функционирования информационных систем. Затем клиенту дается время на подготовку к финальному аудиту. Окончательная оценка соответствия включает в себя проверку и подготовку соответствующей отчетности.

Добровольный и обязательный аудит

Стоит отметить, что в общепринятой практике существует два типа аудита — добровольный, проводимый по инициативе самой компании; и обязательный, который выполняется с целью проверки соответствия нормативным актам. В последнем случае отказаться от аудита нельзя, поскольку в таком случае речь идет о нарушении законодательных требований. А стало быть, штрафам, приостановлению работы организации или другим не менее неприятным санкциям.

Если аудит обязательный, то его может осуществлять и сама организация, и аудитор — независимая компания. Также аудит может проводить и регулирующий орган, который обладает легитимным правом осуществления надзорных действий. Такой вариант, как правило, носит название не аудита, а инспекционной проверки.

Добровольный аудит осуществляется по любому поводу; к примеру, иногда его проводят для проверки защищенности систем, контроля нового филиала и пр. В нем нет каких-либо общепринятых форм отчетности или же регулярных сроков, в которые должна проводиться проверка. Что касается обязательного аудита, то всего ЦБ РФ принял более 170 критериев оценки, по которым осуществляется надзорное мероприятие. Провести такой аудит самостоятельно организация никак не может; это под силу только профессиональному аудитору.