Экспресс-аудит безопасности информационной системы банка как средство выявления потенциальных рисков

УДК 004.056.53

Согласно Федеральному закону от 30.12.2008 №307-ФЗ «Об аудиторской деятельности», аудит – это «независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности». К информационной безопасности данный термин, упомянутый в этом законе, отношения не имеет, но так уж сложилось, что специалисты по информационной безопасности достаточно активно его используют в своей речи. В этом случае под аудитом понимается процесс независимой оценки деятельности исследуемого объекта. Аудит информационной безопасности проводится либо с целью проверки выполнения нормативных актов, либо с целью проверки обоснованности и защищенности применяемых решений.

В условиях современного бизнеса, когда время стоит дорого и, по сути, является невосполнимым ресурсом тратить большое его количество нерационально, а в некоторых случаях даже экономически невыгодно. Полноценная аудиторская проверка длится в среднем от трех месяцев, экспресс-аудит же своей целью не отличается от аудита полноценного, но незаменим, когда риски нужно выявить в минимально короткие сроки. Экспресс-проверки так же целесообразно проводить, когда система внешне кажется идеальной, в этом случае вовремя проведенная диагностика позволит либо подтвердить стабильность, либо показать пути для дальнейшего совершенствования.

Банковская деятельность имеет свою специфику, в основе информационной системы управления банковской деятельностью (ИСУБД) чаще всего лежит система модулей, позволяющая пользователям работать в различных секторах приема платежей, проведения и контроля банковских операций, внутренняя корпоративная сеть, средства взаимодействия с клиентами, такие как система дистанционного банковского обслуживания (ДБО). В условиях экспресс-проверки руководитель должен понимать в какой именно области необходимо выявить явные риски. Аудиту подлежит не вся система обеспечения информационной безопасности банка, а только одна или несколько из ее составных частей, что соответствует требованиям международного стандарта «ISO/IEC 27001:2005».

Экспресс-аудит условно можно разделить на традиционный и автоматизированный, так называемое пен-тестирование. Необходимо отметить, что в обоих случаях аудит должен проводиться отделом внутреннего аудита банка, сформированным из числа бывших сотрудников тех или иных подразделений – людей, имеющих представление о том, как именно работает ИСУБД, что позволит сократить время проведения проверки.

Понятие традиционный применимо тогда, когда аудиторы используют классические методы аудита, такие как анкетирование и интервьюирование и т.д. Выявление рисков при помощи автоматизированного экспресс-аудита или так называемый тест на проникновение осуществляется путем моделирования атак потенциальных злоумышленников на выбранные информационные системы. Оба эти вида имеют свои преимущества и недостатки, но оба позволяют достичь цели – выявления явных рисков ИСУБД.

При традиционном экспресс-аудите должен быть определен риск каждой функции ИСУБД без учета предпринимаемых или возможных мер контроля или снижения рисков. В первую очередь следует определить, какие функции, услуги и сервисы предоставляются, каковы типы обнаруженных операционных рисков, каким образом они присущи каждой из функций, используемых бизнес-единицами в постоянных процессах. Аудитор должен провести SWOT-анализ, чтобы оценить все сильные и слабые стороны внутренней и внешней информационной среды, определить актуальные и потенциальные угрозы. Таким образом, происходит идентификация и документирование рисков, присущих функциям и операциям в русле стратегических целей банка. В дальнейшем, исходя из наиболее явных операционных рисков, формируются анкеты для пользователей ИСУБД, позволяющие сделать окончательный вывод о структуре рисков, составить ранжированный список рисков различных функций ИСУБД и критических областей, с предлагаемым планом действий для снижения рисков до приемлемого уровня и предложениями механизмов контроля.
Также необходимо помнить о том, что иногда гораздо легче получить доступ к информационной системе и проникнуть в корпоративную сеть через сотрудников банка. Технологии социального инжиниринга или человеческий фактор проникновения в корпоративные сети может стать настоящим бедствием даже для системы, имеющей эффективные средства защиты, если сотрудники невольно или случайно распространяют ключевую информацию, например, в разговорах со своими коллегами о проектах организации во внерабочее время в неформальной обстановке. Если во время проведения аудита не выявлено явно выраженных рисков, стоит задуматься именно об этом варианте развития событий, к тому же нельзя исключать из внимания, например, дачу заведомо ложных сведений в анкетах или интервью.

Человеческий фактор исключен в автоматизированном тесте на проникновение. В настоящее время существует несколько международных

методик проведения тестирования, ориентированных в основном на моделирование атак, направленных на сетевую инфраструктуру организации. Наиболее любопытна с точки зрения вышеупомянутых опасений - Open Source Security Testing Methodology Manual (OSSTMM) – единственная методика, которая акцентирует внимание не только на технических тестах, но и на атаках связанных с социальной инженерией и направленных на пользователей корпоративной сети. Особенностью теста на проникновение по сравнению с традиционным аудитом информационной безопасности являются: обычно меньшая глубина охвата информационной инфраструктуры организации, но в то же время большая детализация найденных уязвимостей и, следовательно, более точная оценка рисков.

Выбор того или иного метода аудита остается за руководителем, который в идеале должен хорошо понимать взаимосвязь деятельности банка и информационной безопасности, а так же какое материальное выражение имеет информация и репутация банка. В нынешних условиях, к сожалению, приходится признавать, что основная цель аудита информационной безопасности банка – повышение доверия к его деятельности – мало кого интересует, ведь почти никто из клиентов банка не обращает внимания на уровень его безопасности или результаты аудита. К аудиту обращаются либо в случае выявления очень серьезного инцидента, приведшего к нанесению большого материального ущерба, либо в случае законодательных требований. Поэтому, возможно, первым шагом на пути к становлению и пониманию аудита как инструмента ни карательного, а помогающего строить и развивать бизнес станут именно внутренние экспресс-проверки, помогающие выявить наиболее явные риски, которые в будущем могут обернуться многомиллионными убытками.

Рецензии:

19.11.2013, 1:22 Назарова Ольга Петровна
Рецензия: Точный проведен анализ, только нет ссылки на литературу. Не является ли это все источником [1]? Доработать.

19.11.2013, 10:44 Туманов Владимир Евгеньевич
Рецензия: Научное направление работы. Информационные технологии Класс статьи: наблюдения из практики . Научная новизна: 1) Констатация известных фактов. Оценка достоверности представленных результатов. Практическая значимость. Предложены: 1) Даны частные или слишком общие, неконкретные рекомендации. Формальная характеристика статьи. Стиль изложения - хороший, но требует правки. ОБЩЕЕ ЗАКЛЮЧЕНИЕ. Статья не актуальна, не обладает научной и практической новизной, не рекомендуется для печати. В целом статья носит информативный характер. Для таких статей существует ряд нурналов, которые читают банковские работники, в том числе и в ИТ сфере. Я не думаю, что настоящий журнал будет читаться банкирами. Они любят журналы в глянцывых обложках.



Комментарии пользователей: