Новая газета
VK
Telegram
Twitter
Рязанский выпуск
Политический рынок
Экономика
Общество
Культурный слой
Спорт
Блогосфера
Архив номеров
Свежие новости
В Рязани выявили очередное превышение сероводорода
(06.07.2024)
Тайны Малковского двора
(06.07.2024)
Зампред облправительства анонсировал появление нового завода
(06.07.2024)
Племянник не выжил
(06.07.2024)
Одной проблемой меньше
(06.07.2024)
«Трубадур» из раздробленной Руси
(05.07.2024)
Анонс бумажного рязанского выпуска «Новой газеты» от 4 июля
(05.07.2024)
В Рязани задержан участник парада на Красной площади
(04.07.2024)
Мэр-гидрометцентр
(04.07.2024)
Власти услышали «Новую газету»
(03.07.2024)
Переполох в администрации города
(03.07.2024)
Игорь Греков впервые обжаловал решение о продлении срока содержания под стражей
(03.07.2024)
В салоне +41
(03.07.2024)
Латание дыр в режиме многозадачности
(03.07.2024)
Военные пенсионеры не получили пенсию за июнь
(02.07.2024)
» все новости
Оценка информационной безопасности компании. Для чего и как она осуществляется (05.02.2021)

Оценка соответствия — это комплексная услуга, при помощи которой можно узнать соответствие информационной системы принятому стандарту. Под последним понимается Положение ЦБ РФ № 382-П, которое действует в нашей стране уже не первый год (оно было принято 09.06.2012). Организации, занимающиеся выплатами финансовых средств, обязаны проходить аудиторскую оценку с частотой не реже одного раза в два года.

Основные виды оценки

Оценка соответствия 382-П может быть пройдена клиентом и при содействии специализированных организаций. Аудиторы, осуществляющие такие услуги, предоставляют заказчику готовые результаты и отчетную документацию. Когда оценка проведена, клиенту остается лишь отправить полученные данные в Банк России. Аудит информационной безопасности проводят специализирующиеся в данном сегменте компании, в числе которых одной из наиболее надежных считается ITGLOBAL.COM. Компания предоставляет услуги по проведению следующих типов оценки:

  • Обычная оценка. Для начала производится выезд сотрудников к клиенту. Во время обследования анализируется документация, изучается состояние информационных систем, участвующих в денежных переводах. В число таких систем входят сведения о конфигурации оборудования, данные о защите информации и пр. Производится проверка соблюдения мер безопасности, которые требуются для защиты данных. Также производится опрос сотрудников организации клиента; даются рекомендации по улучшению систем. Заключительный этап — это составление отчета на основании данных, полученных в ходе анализа. Также определяются показатели оценки соответствия и подготавливаются итоговые отчетные документы согласно принятым формам.
  • Оценка с предаудитом. При выезде, как и в первом случае, анализируется нормативная документация и производится исследование информационных систем в компании. Но в данном случае осуществляется подход не только с формальной позиции, но и с точки зрения углубленного анализа и предоставления более широкого диапазона рекомендаций; при этом используются наиболее важный опыт как российской, так и мировой практики. Данный тип проверки занимает от 2 до 10 дней. После первого этапа (визита) подготавливается документ, где подробно расписываются рекомендации для улучшения функционирования информационных систем. Затем клиенту дается время на подготовку к финальному аудиту. Окончательная оценка соответствия включает в себя проверку и подготовку соответствующей отчетности.

Добровольный и обязательный аудит

Стоит отметить, что в общепринятой практике существует два типа аудита — добровольный, проводимый по инициативе самой компании; и обязательный, который выполняется с целью проверки соответствия нормативным актам. В последнем случае отказаться от аудита нельзя, поскольку в таком случае речь идет о нарушении законодательных требований. А стало быть, штрафам, приостановлению работы организации или другим не менее неприятным санкциям.

Если аудит обязательный, то его может осуществлять и сама организация, и аудитор — независимая компания. Также аудит может проводить и регулирующий орган, который обладает легитимным правом осуществления надзорных действий. Такой вариант, как правило, носит название не аудита, а инспекционной проверки.

Добровольный аудит осуществляется по любому поводу; к примеру, иногда его проводят для проверки защищенности систем, контроля нового филиала и пр. В нем нет каких-либо общепринятых форм отчетности или же регулярных сроков, в которые должна проводиться проверка. Что касается обязательного аудита, то всего ЦБ РФ принял более 170 критериев оценки, по которым осуществляется надзорное мероприятие. Провести такой аудит самостоятельно организация никак не может; это под силу только профессиональному аудитору.

Реклама
Редакция
Пресс-релизы
Сайтострой