Публикация научных статей.
Вход на сайт
E-mail:
Пароль:
Запомнить
Регистрация/
Забыли пароль?

Научные направления

Поделиться:
Разделы: Информационные технологии
Размещена 18.11.2013. Последняя правка: 18.11.2013.
Просмотров - 3177

Экспресс-аудит безопасности информационной системы банка как средство выявления потенциальных рисков

Беспалова Наталья Николаевна

-

НГТУ, NVision Group Сибирь

Магистрант, инженер-стажер

Любченко В.И. - руководитель направления информационной безопасности технического отдела Энвижн – Сибирь (Новосибирск)


Аннотация:
Своевременно проведенный экспресс-аудит безопасности информационной системы банка сможет помочь проверить не только выполнение нормативных актов, но и обоснованность, защищенность применяемых решений. Экспресс-аудит должен стать первым шагом на пути к пониманию аудита как инструмента, помогающего повышать доверия клиентов к банку.


Abstract:
In due time carried out express audit security of information system of Bank will be able to help to check not only implementation of regulations, but also validity, security of applied decisions. Express audit has to become the first step on a way to understanding of audit as the tool helping to raise trust of bank's clients.


Ключевые слова:
экспресс-аудит, информационная безопасность

Keywords:
express audit, information security


УДК 004.056.53

Согласно Федеральному закону от 30.12.2008 №307-ФЗ «Об аудиторской деятельности», аудит – это «независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности». К информационной безопасности данный термин, упомянутый в этом законе, отношения не имеет, но так уж сложилось, что специалисты по информационной безопасности достаточно активно его используют в своей речи. В этом случае под аудитом понимается процесс независимой оценки деятельности исследуемого объекта. Аудит информационной безопасности проводится либо с целью проверки выполнения нормативных актов, либо с целью проверки обоснованности и защищенности применяемых решений.

В условиях современного бизнеса, когда время стоит дорого и, по сути, является невосполнимым ресурсом тратить большое его количество нерационально, а в некоторых случаях даже экономически невыгодно. Полноценная аудиторская проверка длится в среднем от трех месяцев, экспресс-аудит же своей целью не отличается от аудита полноценного, но незаменим, когда риски нужно выявить в минимально короткие сроки. Экспресс-проверки так же целесообразно проводить, когда система внешне кажется идеальной, в этом случае вовремя проведенная диагностика позволит либо подтвердить стабильность, либо показать пути для дальнейшего совершенствования.

Банковская деятельность имеет свою специфику, в основе информационной системы управления банковской деятельностью (ИСУБД) чаще всего лежит система модулей, позволяющая пользователям работать в различных секторах приема платежей, проведения и контроля банковских операций, внутренняя корпоративная сеть, средства взаимодействия с клиентами, такие как система дистанционного банковского обслуживания (ДБО). В условиях экспресс-проверки руководитель должен понимать в какой именно области необходимо выявить явные риски. Аудиту подлежит не вся система обеспечения информационной безопасности банка, а только одна или несколько из ее составных частей, что соответствует требованиям международного стандарта «ISO/IEC 27001:2005».

Экспресс-аудит условно можно разделить на традиционный и автоматизированный, так называемое пен-тестирование. Необходимо отметить, что в обоих случаях аудит должен проводиться отделом внутреннего аудита банка, сформированным из числа бывших сотрудников тех или иных подразделений – людей, имеющих представление о том, как именно работает ИСУБД, что позволит сократить время проведения проверки.

Понятие традиционный применимо тогда, когда аудиторы используют классические методы аудита, такие как анкетирование и интервьюирование и т.д. Выявление рисков при помощи автоматизированного экспресс-аудита или так называемый тест на проникновение осуществляется путем моделирования атак потенциальных злоумышленников на выбранные информационные системы. Оба эти вида имеют свои преимущества и недостатки, но оба позволяют достичь цели – выявления явных рисков ИСУБД.

При традиционном экспресс-аудите должен быть определен риск каждой функции ИСУБД без учета предпринимаемых или возможных мер контроля или снижения рисков. В первую очередь следует определить, какие функции, услуги и сервисы предоставляются, каковы типы обнаруженных операционных рисков, каким образом они присущи каждой из функций, используемых бизнес-единицами в постоянных процессах. Аудитор должен провести SWOT-анализ, чтобы оценить все сильные и слабые стороны внутренней и внешней информационной среды, определить актуальные и потенциальные угрозы. Таким образом, происходит идентификация и документирование рисков, присущих функциям и операциям в русле стратегических целей банка. В дальнейшем, исходя из наиболее явных операционных рисков, формируются анкеты для пользователей ИСУБД, позволяющие сделать окончательный вывод о структуре рисков, составить ранжированный список рисков различных функций ИСУБД и критических областей, с предлагаемым планом действий для снижения рисков до приемлемого уровня и предложениями механизмов контроля.
Также необходимо помнить о том, что иногда гораздо легче получить доступ к информационной системе и проникнуть в корпоративную сеть через сотрудников банка. Технологии социального инжиниринга или человеческий фактор проникновения в корпоративные сети может стать настоящим бедствием даже для системы, имеющей эффективные средства защиты, если сотрудники невольно или случайно распространяют ключевую информацию, например, в разговорах со своими коллегами о проектах организации во внерабочее время в неформальной обстановке. Если во время проведения аудита не выявлено явно выраженных рисков, стоит задуматься именно об этом варианте развития событий, к тому же нельзя исключать из внимания, например, дачу заведомо ложных сведений в анкетах или интервью.

Человеческий фактор исключен в автоматизированном тесте на проникновение. В настоящее время существует несколько международных

методик проведения тестирования, ориентированных в основном на моделирование атак, направленных на сетевую инфраструктуру организации. Наиболее любопытна с точки зрения вышеупомянутых опасений - Open Source Security Testing Methodology Manual (OSSTMM) – единственная методика, которая акцентирует внимание не только на технических тестах, но и на атаках связанных с социальной инженерией и направленных на пользователей корпоративной сети. Особенностью теста на проникновение по сравнению с традиционным аудитом информационной безопасности являются: обычно меньшая глубина охвата информационной инфраструктуры организации, но в то же время большая детализация найденных уязвимостей и, следовательно, более точная оценка рисков.

Выбор того или иного метода аудита остается за руководителем, который в идеале должен хорошо понимать взаимосвязь деятельности банка и информационной безопасности, а так же какое материальное выражение имеет информация и репутация банка. В нынешних условиях, к сожалению, приходится признавать, что основная цель аудита информационной безопасности банка – повышение доверия к его деятельности – мало кого интересует, ведь почти никто из клиентов банка не обращает внимания на уровень его безопасности или результаты аудита. К аудиту обращаются либо в случае выявления очень серьезного инцидента, приведшего к нанесению большого материального ущерба, либо в случае законодательных требований. Поэтому, возможно, первым шагом на пути к становлению и пониманию аудита как инструмента ни карательного, а помогающего строить и развивать бизнес станут именно внутренние экспресс-проверки, помогающие выявить наиболее явные риски, которые в будущем могут обернуться многомиллионными убытками.

Библиографический список:

1. Лукацкий А. Аудит информационной безопасности: какой, кому, зачем?. - БО №10 (165), октябрь 2012




Рецензии:

19.11.2013, 1:22 Назарова Ольга Петровна
Рецензия: Точный проведен анализ, только нет ссылки на литературу. Не является ли это все источником [1]? Доработать.

19.11.2013, 10:44 Туманов Владимир Евгеньевич
Рецензия: Научное направление работы. Информационные технологии Класс статьи: наблюдения из практики . Научная новизна: 1) Констатация известных фактов. Оценка достоверности представленных результатов. Практическая значимость. Предложены: 1) Даны частные или слишком общие, неконкретные рекомендации. Формальная характеристика статьи. Стиль изложения - хороший, но требует правки. ОБЩЕЕ ЗАКЛЮЧЕНИЕ. Статья не актуальна, не обладает научной и практической новизной, не рекомендуется для печати. В целом статья носит информативный характер. Для таких статей существует ряд нурналов, которые читают банковские работники, в том числе и в ИТ сфере. Я не думаю, что настоящий журнал будет читаться банкирами. Они любят журналы в глянцывых обложках.



Комментарии пользователей:

20.11.2013, 7:26 Беспалова Наталья Николаевна
Отзыв: Спасибо за критику, но если Вы внимательно читали статью[1], то могли заметить, что ее автор рассматривает, во-первых традиционный аудит, вернее насколько можно назвать его традиционным с учетом достаточно нового понятия именно аудита информационной безопасности. Во-вторых, делает анализ существующих стандартов, в требованиях которых наблюдается разрозненность, в частности, например международный стандарт ISO 27001, который не является обязательным, и, например, комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы, по которому собственно и проводятся все существующие проверки, но и цель в данном случае преследуется другая. Экспресс-аудит информационной безопасности является сравнительно молодым направлением, которое я бы хотела предложить именно для выявления явных рисков, в условиях ограниченности времени, а так же вне рамок официальных проверок, в том числе и как подготовка к ним. Я наделась на отзывы о предложенной классификации видов экспресс-аудита, последней не встречала нигде в первоисточниках и насколько с точки зрения читателя обоснованно, например, включение в автоматизированный вид экспресс-аудита именно пен-тестирования. Разработкой более подробной методологии я занимаюсь в настоящее время, но даже в этом случае приходится делать скидку на то, что для каждого клиента она обладает индивидуальными характеристиками в зависимости от различного рода факторов. И, прощу прощения, но мне не понятна критика в адрес банкиров, откуда такая предвзятость? А во-вторых, банк был взят лишь потому, что в этом случае достаточно легко провести параллель между денежными убытками и информационной безопасностью, на предприятии другой отрасли эти процессы более латентны.


Оставить комментарий


 
 

Вверх