Тютюнник А.В. Банковское дело

Подождите немного. Документ загружается.

• ограничение знании сотрудников только областью их непосредствен-

ных обязанностей:

• контроль и анализ нетипичных действий со грудников и сторонних

лиц (партнеров, клиентов);

• четкая система обучения.

2. Установка систем мщиты. Ее средства основываются на програм-

мно-аппаратных решениях. Обычно они предлагаются сторонними орга-

низациями и за определенную плату или бесплатно доступны для каждой

организации. К техническим средствам защиты oiносятся:

• шифрование,

• электронные полииси и электронная аутентификация;

• развитие системы доступа к данным;

• система затигы программных ресурсов;

• система зашиты аппаратных ресурсов:

• физическое офаничение доступа к аппаратным ресурсам системы.

3. Компенсационные меры. Направлены на ограничение последствий

нарушений в системе. К ним относятся следующие решения:

• установка лимитов на выполнение операций;

• страхование рисков.

• создание резервных систем;

• моделирование нарушений;

• подробное регламентирование действий сотрудников в исключитель-

ных ситуациях.

4. Мониторинг нарушений. Его цель распознавание нарушений в

информационных системах, а именно:

• аудит информационной системы;

• сравнение ее показателей с независимыми источниками;

• система контрольных метрик.

Управление рисками

Основой разработки системы информационной безопасности являет-

ся ее целесообразность. Современные средства позволяют свести к нулю

практически любой вид нарушений в информационной системе. Однако

стоимость идеальной защиты может многократно превышать любой ожи-

даемый ущерб, поэтому при проведении работ, связанных с информаци-

онной безопасностью, следует соблюдать баланс между приемлемым

уровнем риска и затратами на его снижение.

Основные этапы управления рисками:

• инициирование и планирование;

• сбор информации о существующих процедурах информационной

безопасности (ИБ) и внутреннего контроля;

• идентификация потенциальных угроз;

• оценка вероятности их наступления и возможных последствий;

• составление и обновление карты рисков;

• разработка дополнительных мер информационной безопасности и

контрольных процедур;

ТОЛЬКО для ОЗНАКОМЛЕНИЯ www.moimirknig.com для www.mirknig.com

• подготовка отчетов для руководства;

• контроль внедренных процедур.

В данной главе риск рассматривается как среднестатистическая сум-

ма ущерба от негативного события, произведение вероятности события

на сумму ущерба.

РИСК = ВЕРОЯТНОСТЬ х СРЕДНЕСТАТИСТИЧЕСКАЯ СУММА УЩЕРБА.

Очевидно, что каждая из составляющих носит приблизительный ха-

рактер, объясняемый отсутствием не только детальной статистики, но

даже единой методики получения этих значений. Однако анализ уже име-

ющихся данных позволяет выявить некоторые зависимости для проведе-

ния корректировок в политике. Рассмотрим более детально обе состав-

ляющие этого выражения.

Под вероятностью нарушения системы безопасности подразумевает-

ся среднее количество подобных событий за определенный период.

Оценивая вероятность, необходимо учитывать следующее.

1. Часть нарушений непосредственно связана с каким-либо событи-

ем. Так, ошибки ввода информации пользователями связаны с количе-

ством вводимых документов (рис. 9.11).

Рис. 9.11. Зависимость ошибочных действий от объема операций

Пик В начале графика связан с отсутствием у пользователей постоян-

ной практики в выполнении рассматриваемой функции, что приводит к

росту ошибок для редких событий. Правый конец графика также носит

условный характер, поскольку на него начинают оказывать влияние фак-

торы усталости сотрудника или рефлексы, например информационное поле

заполняется без осмысления вводимого значения. Для наиболее часто

используемых ручных операций пользователи разрабатывают собствен-

ные приемы ускорения ввода данных (шаблоны, копирование), которые

также влияют на вероятность ошибки.

2. Вероятность злоупотребления имеет линейную зависимость от ко-

личества людей, знающих о возможности злоупотребления, а также от

ТОЛЬКО для ОЗНАКОМЛЕНИЯ www.moimirknig.com для www.mirknig.com

количества людей, знающих всю последовательность действий. В то же

время вероятность обратно пропорциональна количеству необходимых

участников и количеству альтернативных систем. Последний фактор ча-

сто оказывается ключевым в расчете эффективности Интернет-службы

банка. Вероятность взлома сервера ной службы случайным хакером

невелика, поскольку существует множество других серверов, представ-

ляющих такой же интерес.

3. Вероятность технического

сбоя в дублируемой системе,

имеющей модульную структу-

ру, равна:

ВЕРОЯТНОСТЬ = SUM, (V

* * T

где V

- вероятность сбоя r-го мо-

дуля.

Т, - время устранения неисп-

равное! и для данного мо-

дуля.

4. Вероятность несанкционированного доступа к копируемым данным

равна сумме вероятностей несанкционированного доступа к каждой копии.

5. Количество сбоев в программном обеспечении, как правило, носит

случайный характер, однако следует знать, что существует почти линей-

ная зависимость ошибок разработки от количества используемых систем

и от количества связей между ними. Если системы образуют сетевую

архитектуру, то зависимость становится квадратичной.

Приведенный анализ носит условный характер, однако позволяет

оценить эффективность мер, принимаемых для обеспечения информаци-

онной безопасности.

Что касается оценки возможного ущерба, то она тоже до определен-

ной степени относительна. При оценке ущерба от исключительной ситуа-

ции в информационной системе необходимо рассматривать два вида на-

рушений: приводящих к разовому ушербу и приносящих ущерб во весь

период своего действия. Во втором случае сумма ущерба является функ-

цией, зависимой от времени устранения последствий. Ее форма зависит

от типа нарушения (табл. 9.8).

Таблица 9.8

Зависимость алюритма расчета ожидаемого ущерба or гина нарушения

ТОЛЬКО для ОЗНАКОМЛЕНИЯ www.moimirknig.com для www.mirknig.com

Рассмотренные алгоритмы носят достаточно условный характер и дол-

жны быть адаптированы и детализированы в зависимости от более под-

робной классификации ожидаемых нарушений, структуры информаци-

онной системы и особенностей организации.

Влияние систем защиты

на развитие бизнеса

Рассматривая вопросы информационной безопасности, нельзя не ст-

ронуть взаимной зависимости между ними и общими задачами крелш-

ной организации. Часто приходится сталкиваться с ситуациями, когда

развитие отдельных направлений бизнеса просто блокируется требова-

ниями безопасности. Обычно зто имеет смысл, так как затраты на защи-

ту информационного ресурса того или иного бизнеса вместе с остаточ-

ным риском больше, чем ожидаемый доход.

Однако ошибки в подобных расчетах означают потерю конкурентно-

го преимущества и как следствие намного больший ущерб для оримиш-

ции в целом. Эта угроза заставляет многие банки идти на риск, ш нори-

руя риски информационной безопасности, скрывая возникающие пробле-

мы. Рассмотрим некоторые критерии, облегчающие принятие решений в

тгой области.

ТОЛЬКО для ОЗНАКОМЛЕНИЯ www.moimirknig.com для www.mirknig.com

Согласно общему правилу экономическом целесообразности опреде-

ляется следующее выражение:

Рассматривая зту формулу, нетрудно заметить, что в случае возникно-

вения про творения между развитием бизнеса и уязвимостью его инфор-

мационной системы можно использовать следующие типовые решения:

• создание системы обшей защиты для всей информационной сре-

ды организации, а не для отдельных модулей. Это может стоить доро-

же, однако снижаются затраты на сопровождение и на внедрение новых

решений;

• стандартизацию решений, что также позволит снизить стоимость

сопровождения и обеспечения информационной безопасности;

• снижение требуемого уровня рентабельности новой услуги:

• применение решений, проверенных в других организациях.

Но в любом случае, анализируя систему информационной безопасно-

сти, к ней следует относиться не как к злу. дополнительным и неоправ-

данным затратам, а как к части общих услуг, предлагаемых клиенту, га-

рантирующих конфиденциальность его бизнеса и сохранность его денег.

Аудит информационных систем

Практически ни одна компания, в какой бы индусгрии она ни рабо-

тала, не в состоянии сегодня обходиться без использования современных

информационных технологий. А в некоторых отраслях (таких, как фи-

нансы, телекоммуникация или автоматизация) стала неотъемлемой час-

тью бизнес-деятельности, без которой просто невозможно осуществле-

ние операции. В то же время информационные технологии с каждым го-

дом все более усложняется. Они поглощают огромные финансовые и

временные ресурсы, при зтом не всегда предоставляя адекватный эф-

фект. Положительные аспекты оттеняются новыми рисками, связанны-

ми с широким использованием информационных технологий, которые

требуют дополнительного контроля со стороны высшего менеджмента,

внешнего и внутреннего аудита.

ТОЛЬКО для ОЗНАКОМЛЕНИЯ www.moimirknig.com для www.mirknig.com

Цели и задачи ИТ-аудита

Целью ИТ-аудита является совершенствование системы контроля ИТ.

Для этого аудиторы выполняют следующие задачи:

• осуществляют оценку рисков ИТ;

• содействуют предотвращению и смягчению сбоев ИС;

• участвуют в управлении рисками ИТ, в том числе в ведении карты

рисков;

• помогают подготавливать нормативные документы;

• пропагандируют высокую роль ИТ для бизнеса;

• помокиот связать бизнес-риски и средства автоматизированного

контроля;

• осуществляют проведение периодических проверок;

• содействуют ИТ-менсджсрам в правильной организации управле-

ния ИТ;

• осуществляют «взгляд со стороны».

Аудитор информационных систем вне зависимости от того, является

ли он внешним или внутренним (приглашенным) специалисгом, высту-

пает от имени акционеров и руководства организации. При этом вне-

шние аудиторы больше акцентируют свое внимание на независимом

подтверждении надежности и адекватности системы внутреннего конт-

роля ИТ, а внутренние на обеспечении эффективности системы внут-

реннего контроля ИТ. Аудиторы ИТ помимо весьма глубокого понима-

ния современных информационных технологий должны обладать зна-

нием целей и задач внутреннего контроля и опытом организации его

системы в области ИТ.

Регулирование аудита

информационных систем

Вопросу аудита и внутреннего контроля за информационными систе-

мами посвящены несколько зарубежных стандартов аудита и специаль-

ный российский стандарт «Аудит в условиях компьютерной обработки

данных (КОД)». Из зарубежных источников можно отметить междуна-

родный стандарт аудита ISA 401, положения по международной практи-

ке аудита 1002, 1003, 1004, 1008, 1009. В них отражены вопросы практи-

ки аудита в среде компьютерных информационных систем, оценки рис-

ков и надежности системы внутреннего контроля в условиях КОД, техника

проведения аудита с учетом использования современных информацион-

ных технологий.

Российский стандарт содержит общие требования к проведению аудита

в условиях КОД, описывает действия аудитора, аудиторские доказатель-

ства и документирование, процедуры аудита и требования по компетен-

тности аудитора; достаточно детально рассматривается, каким образом

трансформируется практика проверок в организациях, где компьютер-

ТОЛЬКО для ОЗНАКОМЛЕНИЯ www.moimirknig.com для www.mirknig.com

ная обработка данных охватывает все основные циклы работ, и какие

цели должна преследовать проверка информационных систем.

К сожалению, ли стандарты в большей степени лишь очерчивают

проблематику, не давая практических рекомендаций но аудиту органи-

заций со значительным объемом компьютерной обработки как в бухгал-

терской, так и в бизнес-деятельности и не описывают подходов к аудиту

самих информационных систем.

Технология аудита

информационных систем

Рассмотрим

1СХНОЛОГИЮ

аудита

информационных систем в базовом,

наиболее простом понимании. Такой подход может бы iь применим в не-

больших и средних организациях

При проведении проверки информационных систем внимание ауди-

торов, как правило, направлено натри основных блока: техническое обес-

печение, программное обеспечение, технологии организации и использо-

вания компьютерной обработки данных. Каждая их этих сфер достаточ-

но важна и служит источником потенциального риска и вероятных потерь.

С точки зрения технического обеспечения необходимо постоянно от-

слеживать следующие моменты:

• отказоустойчивость технической базы, под которой понимают спо-

собность технических средств функционировать практически без сбоев и

остановок;

• степень надежности хранения данных и возможности их восстанов-

ления, включая средства резервного копирования;

• физический доступ к компьютерному оборудованию, который дол-

жен быть ограничен, так как может быть причиной несанкционирован-

ных действий,

• маштабируемость компьютерных систем, которая состоит в возмож-

ности их наращивания и является залогом их более длительного исполь-

зования;

• достаточность вычислительной мощности технических средств для

обработки данных в организации;

• соответствие технической политики бизнес-задачам организации и

ее экономическая эффективность.

В части контроля за программным обеспечением регулярной провер-

ке подлежат:

• лицензионная чистота программного обеспечения, так как помимо

юридических проблем при отсутствии лицензий сопровождение програм-

мных продуктов производителями не осуществляется и это может приве-

сти к серьезным сбоям в работе;

• логическое разграничение прав доступа к данным на системном и

прикладном уровнях, в том числе политика информационной безопасно-

сти и ее выполнение, что предотвращает несанкционированные действия

и ограничивает доступ к конфиденциальной информации;

ТОЛЬКО для ОЗНАКОМЛЕНИЯ www.moimirknig.com для www.mirknig.com

• порядок внесения изменений в программные продукты, смены вер-

сий, санкционнрованность и проработанность подобных действий, так как

именно процесс изменений не только сам по себе несет существенные

риски, но и способствует выявлению или обострению смежных проблем;

• протоколирование всех действий пользователей в информационных

системах, что предоставляет возможность оперативного контроля и про-

ведения внутренних расследований;

• надежность системного программного обеспечения и используемой

СУБД, коюрые так же, как и технические средства, являются источни-

ком повышенного риска;

• достаточность функциональных возможностей и удобство осуще-

ствления операций в системах автоматизации, что необходимо для дос-

тижения большей эффективности от использования современных ИТ;

• наличие верификации прав доступа (подтверждения одним пользо-

вателем действий другого) и последующего контроля за данными в ин-

формационных системах;

• корректность алгоритмов, результатов и периодичности автомати-

ческих процедур, которые, как правило, в современных банковских сис-

темах осуществляются без участия пользователя (расчет курсовой раз-

ницы, процентов по кредитам и депозитам, открытой валютной позиции,

консолидация);

• корректность справочных данных, используемых при различных

расчетах и операциях в информационных системах (курсы валют, про-

центные ставки, банковские идентификационные коды).

Направления проверки технологии организации и использования ком-

пьютерной обработки данных достаточно разнообразны:

• общая структура служб ИТ и ее соответствие поставленным за-

дачам;

• существование и реализация плана развития информационных тех-

нологий, что является необходимым при современном темпе технологи-

ческих нововведений;

• регламентация действий пользователей информационных систем как

часть обязательного и с точки зрения общего управления, и с точки зре-

ния управления качеством регламентирования всех внутренних банковс-

ких процессов;

• оценка системы поддержки (сопровождения) пользователей, так как

при некачественном сопровождении повышается риск неправильных,

ошибочных действий вследствие непонимания особенностей информаци-

онных систем;

• технология разработки и внедрения отдельных приложений, кото-

рая должна удерживать банк от применения не соответствующих тре-

бованиям пользователей и содержащих большое количество ошибок про-

граммных продуктов, а также исключать зависимость от ключевого

ИТ-персонала (при собственной разработке);

• технологии проведения отдельных операций с точки зрения их со-

ответствия регламентам, политике информационной безопасности, удоб-

ства и эффективности их автоматизации;

ТОЛЬКО для ОЗНАКОМЛЕНИЯ www.moimirknig.com для www.mirknig.com

• технология работы с особо критичными системами и их участками,

прежде всего такими, как платежные терминалы и системы передачи

данных между различными программными комплексами,

• наличие системы обеспечения деятельносги при возникновении чрез-

вычайных ситуаций, а именно плана действий, резервной вычислитель-

ной площадки и возможности быстрого восстановления данных.

Описанный выше подход является первой практической реакцией

на требования дня. При более глубоком анализе проблемы становится

очевидно, что следует более широко, комплексно, подходить к ее реше-

нию. Необходимо дать аудиторам (как внутренним, гак и внешним)

методологию проверки, содержащую программу аудита, основные кри-

тичные циклы, систему оценки, возможность делап> не юлько замеча-

ния, но и давать рекомендации по улучшению. Однако многие аудито-

ры не имеют специальных технических знаний и самостоятельно не

способны разработать методику проверки ИТ. В то же время для мини-

мизации рисков в условиях компьютерной обработки данных, помимо

периодического аудита, необходимо правильно построить ИТ-менедж-

мент, внедрить эффективную систему внутреннего контроля. Что же

делать в этой ситуации* К счастью, решение существует - это уже

упоминавшийся СоЫТ.

Выше была приведена общая схема описанных областей, их состав-

ляющие и система взаимодействия, которая в меюдологии СоЫТ назы-

вается «золотое правило».

По каждой из областей эта методология содержит легальное описа-

ние аудита, рекомендации по оценке и совершенствованию внутренне-

го контроля, т. е. все то, что мы уже отмечали и что так необходимо с

точки зрения аудита в условиях компьютерной обработки данных. Ме-

тодология CobIT представляет собой набор из нескольких книг: руко-

водства по аудиту, по внедрению, для менеджмента, контрольные про-

цедуры.

Однако необходимо отметить, что внедрение подобной методологии

является сложной задачей и не всегда может быть осуществлено без по-

сторонней консалтинговой помощи. Это связано с тем, что в процессе

внедрения необходимо оценить последовательность действий и сформу-

лировать систему приоритетов. Част необходим также практический

опыт подобных процессов в других организациях.

Широкое использование информационных технологий трансформи-

рует задачи внутреннего и внешнего контроля и аудита, которые все

больше переориентируются на компьютерные системы и технологии. Воз-

растает потребность в аудите, обращенном не столько на проверку дос-

товерности отчетности и соответствия учетных процедур, сколько на

предотвращение негативных явлений в деятельности организаций, на глу-

бинный анализ и прогнозирование финансового состояния, управление

рисками, в том числе и информационных систем. Это в конечном счете

еще более укрепляет описанные выше тенденции и подталкивает органи-

зации на использование передовых международных подходов в области

аудита в условиях компьютерной обработки данных.

ТОЛЬКО для ОЗНАКОМЛЕНИЯ www.moimirknig.com для www.mirknig.com

Примеры выявленных проблем

Для иллюстрации приведем отчет (табл. 9.9) ио результатам аудита

информационных систем банка, проведенный внешним аудитором - меж-

дународной консалтинговой компанией.

Таблица 99

Огме! но результатам аудита информационных систем банка

ТОЛЬКО для ОЗНАКОМЛЕНИЯ www.moimirknig.com для www.mirknig.com