Вопросы информационной безопасности при переходе на налоговый мониторинг: почему ИТ и ИБ должны быть ключевыми участниками проекта по налоговому мониторингу

При внедрении системы налогового мониторинга следует учитывать риски информационной безопасности, так как данная система взаимодействует с чувствительной налоговой информацией организации. Об основных способах управления ими речь и пойдет ниже.

Что такое налоговый мониторинг и зачем компаниям на него переходить

Налоговый мониторинг – это форма налогового контроля, заменяющая традиционные проверки на онлайн-взаимодействие на основе удаленного доступа к информационным системам налогоплательщика и его бухгалтерской и налоговой отчетности.

Для перехода на такой способ контроля со стороны регулятора общая сумма налогов, подлежащих уплате организацией за прошедший год, должна превышать 100 млн рублей.

Переход позволяет:

  1. Получать от регулятора информацию о возможных ошибках своевременно, что позволит снизить затраты на оплату возможных штрафов.
  2. Повысить доверие со стороны регулятора, что позволит снизить количество налоговых проверок.

Для подключения к налоговому мониторингу необходимо предоставить регулятору доступ к электронному архиву документов.

Риски информационной безопасности при подключении к налоговому мониторингу

При предоставлении доступа к любым активам одним из первых вопросов, который чаще всего возникает, является вопрос безопасности. Какие данные необходимо передавать, какие риски за собой они влекут: какие свойства информации – целостность, конфиденциальность, доступность — являются критичными, в случае их нарушения, для бизнеса.

Мы рекомендуем анализировать риски информационной безопасности путем моделирования угроз и нарушителя на этапе проектирования решения по подключению к налоговому мониторингу.

Риски информационной безопасности рекомендуется анализировать путем моделирования угроз и нарушителя на этапе проектирования решения по подключению к налоговому мониторингу

В рамках этой задачи мы помогаем:

  1. Сформировать реестр рисков информационной безопасности для инфраструктуры из-за планируемых изменений.
  2. Оценить риски информационной безопасности.
  3. Определить, какие данные необходимо передавать, а какие не подлежат передаче.
  4. Проанализировать, какие риски возникают при нарушении конфиденциальности, доступности и целостности передаваемых данных.
  5. Сформировать перечень компенсирующих мероприятий для снижения рисков.

Таким образом, еще на этапе проектирования формируются требования к самой системе налогового мониторинга, а также мероприятия, которые позволят не допустить реализацию рисков информационной безопасности или сократить влияние последствий на бизнес.

Ключевые способы управления рисками

Существуют различные методы и способы управления рисками информационной безопасности, которые можно использовать в разные моменты времени. Дальше рассмотрим ключевые способы, которые мы рекомендуем использовать в первую очередь.

Общий контроль над ИТ

База для управления рисками информационных технологий и информационной безопасности, в частности. При выстраивании процедур покрываются следующие риски:

  1. Внесение неавторизованных или нерабочих изменений в систему налогового мониторинга, что может привести к некорректной передача данных, а также раскрытию информации, которая не должна быть раскрыта.
  2. Предоставление неавторизованного доступа в систему налогового мониторинга, что приводит к раскрытию конфиденциальной информации.
  3. Использование некорректных данных в системе налогового мониторинга из-за несвоевременной и/или неточной передачи информации из учетных систем.
  4. Недоступность информации.

Кроме этого внедрение общего контроля над ИТ – мера, которая увеличивает уровень зрелости системы внутреннего контроля (СВК).

Управление доступом

Необходимая процедура не только для системы налогового мониторинга, но и для учетных систем, в которых будут выстраиваться процессы подтверждения загрузки данных в систему налогового мониторинга.

При внедрении витрины данных для налогового мониторинга важно:

  1. Сформировать ролевую матрицу с минимально необходимыми полномочиями, в частности правильно определить роль для налогового инспектора.
  2. При формировании ролевой матрицы учитывать риски конфликтов полномочий.
  3. Выстроить процессы управления доступом так, чтобы пользователям не назначались избыточные права.

Мы рекомендуем не только создавать матрицу доступа для системы налогового мониторинга, формируя роли с минимально необходимыми полномочиями, но и анализировать кросс-системные риски разграничения полномочий, которые могут привести к раскрытию информации, которая не должна быть передана в систему налогового мониторинга.

При управлении доступом к системе налогового мониторинга рекомендуется:

  1. Создать матрицу доступа
  2. Сформировать роли с минимально необходимыми полномочиями
  3. Провести анализ кросс-системных рисков разграничения полномочий

Тестирование защищенности

Мера, которая позволяет обнаружить уязвимости в системе налогового мониторинга до ее запуска в промышленную эксплуатацию, чтобы иметь возможность устранить риски информационной безопасности до того, как система начнет свою работу.

В периметр оценки должна войти не только непосредственно витрина данных, но и вся измененная инфраструктура, включая учетные системы. Таким образом, перед окончательным переходом на налоговый мониторинг будет выполнена проверка возможности взлома измененной инфраструктуры злоумышленником.

Кроме этого, выполняя регулярное тестирование защищенности (методами черного, серого и белого ящиков) как всего периметра, так и системы налогового мониторинга отдельно, компании повышают общий уровень защищенности, т.к. могут своевременно внедрить мероприятия для устранения выявленных уязвимостей.

Мероприятия по защите конфиденциальной информации, включая персональные данные

Заключительно в данной статье мероприятие, но не заключительное по важности. При внедрении системы налогового мониторинга, как и при внедрении любой другой системы, важно:

  1. Определить потоки данных, перечень обрабатываемой информации в информационной системе.
  2. Сформировать перечень требований и мероприятий для минимизации рисков утечки конфиденциальной информации, с учетом требований законодательства.
  3. Убедиться, что согласия на обработку персональных данных позволяют передавать информацию с использованием системы налогового мониторинга.

Контакты

Вопросы информационной безопасности при переходе на налоговый мониторинг: почему ИТ и ИБ должны быть ключевыми участниками проекта по налоговому мониторингуАндрей Сотников

Партнер, руководитель направления внутренний налоговый контроль ДРТ

+7 (495) 787 06 00 (доб. 5460)

asotnikov@delret.ru

Все новости налогового мониторинга на канале PRO. Налоговый мониторинг

Вопросы информационной безопасности при переходе на налоговый мониторинг: почему ИТ и ИБ должны быть ключевыми участниками проекта по налоговому мониторингуЮлия Жукова, CISA, ISO 27001 Lead Auditor

Директор Группы управления киберрисками ДРТ

+7 (495) 787 06 00 (доб. 5086)

yzhukova@delret.ru

Все новости налогового мониторинга на канале PRO. Налоговый мониторинг

Оцените статью
( 5 оценок, среднее 4.4 из 5 )
Поделиться с друзьями
IaaS SaaS PaaS
Добавить комментарий

Больше новостей — на нашем Telegram-канале