6 июня 2024 года в режиме видео-конференц-связи состоялся семинар высших органов аудита стран БРИКС, в рамках которого рассмотрены вопросы обеспечения информационной безопасности в государственных ведомствах, а также методы аудита в данной сфере.

Встречу открыла презентация Андре Торреса Бревеша Гонсалвеша, инспектора отдела оценки состояния информационной безопасности Счетного суда Федеративной Республики Бразилии. Докладчик подробно описал основные стадии и методы проверки готовности госучреждений к фишинговым атакам. ВОА Бразилии проверял, переходят ли сотрудники госведомств по потенциально вредоносным ссылкам, вводят ли свои персональные данные на незнакомых сайтах и загружают ли файлы из ненадежных источников. В докладе также было отмечено, что ВОА Бразилии проанализировал 14 тыс. URL государственных учреждений разного административного уровня. По итогам анализа была составлена матрица рисков информационной безопасности. После проверок объекты аудита предоставили планы по улучшению мер контроля за информационной безопасностью.

О методах аудита кибербезопасности в ЮАР рассказал Честер Септембер, эксперт по кибербезопасности и аудиту информационных систем Управления Генерального аудитора ЮАР. Для проведения аудита кибербезопасности ВОА ЮАР разработал методологию аудита зрелости процессов управления кибербезопасностью. В рамках данных проверок проводится оценка уязвимостей и тестирование на защищенность от взломов. Г-н Септембер отдельно подчеркнул необходимость постоянного межведомственного взаимодействия между госорганами по вопросам кибербезопасности.

Докладчик от Национального управления по аудиту КНР г-жа Цуй Чжу рассказала о фокусах проверок систем кибербезопасности, проводимых ВОА КНР. Так, при проведении аудита профилактики угроз кибербезопасности ВОА КНР акцентирует внимание на оценке безопасности архитектуры сетей, управлении сетевым доступом, управлении журналом кибербезопасности, а также предотвращении несанкционированного доступа и проникновения вредоносного ПО. Было отмечено, что для совершенствования аудита безопасности в КНР необходимы консолидация существующих стандартов кибербезопасности в единый документ, а также подготовка квалифицированных кадров.

Опыт Счетной палаты Российской Федерации представил заместитель директора Департамента финансового аудита Денис Стрижеусов. В докладе были подробно описаны три основных этапа аудита информационной безопасности международных организаций: изучение инструкций и должностных регламентов организации, оценка операционной эффективности и проведение процедур для аудита технической защищенности. Была подчеркнута роль стандартов ISO 27001 и ISO 27002 в информационной безопасности международных организаций и приведен анализ применения данных стандартов в аудите. От Счетной палаты Российской Федерации в семинаре также принял участие директор Департамента цифровой трансформации Щеверов А.Ю.

Директор департамента Управления Генерального контролера и аудитора Республики Индии г-н Дипак Рагху подробно остановился на основных этапах обеспечения кибербезопасности в Индии и роли ВОА в данном процессе. Государственные организации в Индии обязаны самостоятельно проводить внутренний аудит информационной безопасности, но также могут привлекаться внешние эксперты. ВОА Индии периодически проводит оценку соответствия систем информационной безопасности госучреждений требованиям законодательства. Г-н Рагху отметил, что государственные требования к кибербезопасности распространяются не только на госведомства, но и на крупные частные компании в таких сферах, как телекоммуникации, медицина, финансы.

В качестве слушателей к семинару присоединились ВОА стран, вступивших в объединение БРИКС с 1 января 2024 года.

Участники встречи договорились продолжить обмен опытом в сфере аудита кибербезопасности и выразили надежду на продолжение регулярного обмена опытом в формате ВОА стран БРИКС.