АУДИТ БЕЗОПАСНОСТИ В КРЕДИТНЫХ ОРГАНИЗАЦИЯХ
1. Введение___________________________________________________________2
2. Предпосылки проведения аудита безопасности___________________________2
3. Виды аудита безопасности____________________________________________3
4. Состав работ по проведению аудита безопасности________________________3
5. Сбор исходных данных для проведения аудита___________________________4
6. Результаты аудита безопасности_______________________________________7
7. Выводы по работе___________________________________________________8
8. Литература_________________________________________________________8
Введение
На сегодняшний день автоматизированные банковские системы (АБС) являются краеугольным камнем в обеспечении бизнес-процессов практически любой кредитной организации вне зависимости от ее размеров и масштабов деятельности. От того, насколько хорошо защищена АБС от внешних и внутренних угроз, напрямую зависит устойчивость работы банка. Поэтому на определенном этапе развития информационной инфраструктуры кредитно-финансовой организации возникает необходимость в оценке текущего уровня защищенности, систематизации действующих мер защиты и разработки стратегии в области информационной безопасности. Первым шагом для решения этих задач является проведение аудита информационной безопасности, различные аспекты которого рассматриваются в рамках статьи.
Аудит представляет собой периодический, независимый и документированный процесс, целью которого является получение оценки текущего уровня защищенности от возможных внешних и внутренних угроз. В рамках аудита проводится оценка операционных рисков банка, связанных с возможным нарушением информационной безопасности, и вырабатываются предложения по их минимизации до приемлемого уровня.
Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может являться руководство банка, служба автоматизации или служба информационной безопасности организации. Аудит безопасности проводится группой экспертов, численность и состав которой зависят от целей и задач обследования, а также сложности объекта оценки.
Предпосылки проведения аудита безопасности
Причины, по которым проводится аудит безопасности, зависят от тех целей, которые хочет достичь кредитно-финансовая организация в результате реализации данного проекта. Так, аудит может проводиться с целью подготовки технического задания на проектирование и разработку комплексной системы защиты АБС, обеспечивающую эффективное управление операционными рисками. Необходимо отметить, что после внедрения такой системы защиты может проводиться повторный аудит уже с целью оценки ее эффективности.
В ряде случаев аудит проводится в целях расследования происшедшего инцидента, связанного с нарушением информационной безопасности. В этом случае аудит носит прецедентный характер и направлен на установление причин происшедшего инцидента и выработку рекомендаций по их устранению.
Целью аудита также может являться приведение действующей системы безопасности банка в соответствие требованиям российского или международного законодательства. В России одним из базовых нормативных документов в области информационной безопасности кредитно-финансовых организаций является Стандарт Банка России СТО БР ИББС-1.0, вторая версия которого была введена в действие в начале 2006 г. Основной целью данного Стандарта является установление единых требований по обеспечению информационной безопасности, а также повышение эффективности мероприятий по защите информации. В настоящее время положения Стандарта Банка России носят рекомендательный характер, однако нельзя исключать, что в ближайшем будущем его требования могут стать обязательными для выполнения.
Что касается зарубежных нормативных актов, регулирующих банковский сектор, то одним из основных документов этой категории является Соглашение Базель II, принятое Базельским комитетом в 2004 г. Данное Соглашение предъявляет требования к оценке операционных, кредитных и иных рисков, а также резервированию капитала для их покрытия. Реализация положений данного Соглашения требует внедрения комплекса организационных и технических мер, позволяющих минимизировать риски информационной безопасности.
Виды аудита безопасности
В настоящее время можно выделить следующие основные виды аудита информационной безопасности организаций кредитно-финансовой сферы:
- оценка соответствия требованиям Международного стандарта ISO 27001;
- оценка соответствия требованиям Стандарта Банка России СТО БР ИББС-1.0;
- оценка соответствия требованиям Базельского соглашения Базель II;
- инструментальный анализ защищенности, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения АБС;
- комплексный аудит, направленный на оценку рисков информационной безопасности.
Каждый из вышеперечисленных видов аудита может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить банку. В качестве объекта аудита может выступать как АБС в целом, так и ее отдельные подсистемы, в которых проводится обработка информации, подлежащей защите. В качестве таких подсистем может выступать интранет-портал, узел доступа к сети Интернет, система электронного документооборота, система "клиент - банк" и др.
Состав работ по проведению аудита безопасности
В общем случае аудит безопасности вне зависимости от формы его проведения состоит из четырех основных этапов, каждый из которых предусматривает выполнение определенного перечня задач (рис. 1).
Основные этапы работ при проведении аудита безопасности
┌──────────────────────────┐ ┌──────────────────────────────┐
│ 1. Разработка регламента ├─>│ 2. Сбор исходных данных │
│ проведения аудита банка │ │ │
└──────────────────────────┘ └───────────────┬──────────────┘
\│/
┌──────────────────────────┐ ┌───────────────┴──────────────┐
│4. Разработка рекомендаций│ │ 3. Анализ полученных данных │
│по повышению уровня защиты│<─┤с целью оценки текущего уровня│
│ банка │ │ безопасности банка │
└──────────────────────────┘ └──────────────────────────────┘
Рис. 1
На первом этапе совместно с заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента заключается в определении границ, в рамках которых будет проведено обследование банка. Регламент является тем документом, который позволяет избежать взаимных претензий по завершению аудита, поскольку четко определяет обязанности сторон. Как правило, регламент содержит следующую основную информацию:
- состав рабочих групп от исполнителя и заказчика, участвующих в процессе проведения аудита;
- состав информационных систем АБС, которые используются для реализации платежных и информационных технологических процессов банка. Именно эти системы будут являться объектами для проведения аудита информационной безопасности;
- перечень информации, которая будет предоставлена исполнителю для проведения аудита;
- список и местоположение объектов заказчика, подлежащих аудиту;
- перечень ресурсов, которые рассматриваются в качестве объектов защиты (информационные активы, программные ресурсы, физические ресурсы, банковские процессы и т.д.);
- модель угроз информационной безопасности, на основе которой проводится аудит;
- категории пользователей, которые рассматриваются в качестве потенциальных нарушителей.
На втором этапе в соответствии с согласованным регламентом осуществляется сбор исходной информации. Методы его осуществления включают интервьюирование сотрудников банка, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, а также использование специализированных инструментальных средств. Структура опросных листов зависит от формы проведения аудита информационной безопасности.
Третий этап работ предполагает проведение анализа собранной информации с целью оценки текущего уровня защищенности банка. На данном этапе проводится оценка операционных рисков, связанных с угрозами информационной безопасности. По результатам проведенного анализа на четвертом этапе проводится разработка рекомендаций по повышению уровня защищенности от угроз информационной безопасности.
Далее более подробно рассматриваются этапы аудита, связанные со сбором информации, ее анализом и разработкой рекомендаций по повышению уровня защиты банка.
Сбор исходных данных для проведения аудита
Страницы: 1, 2, 3
