-
НГТУ, NVision Group Сибирь
Магистрант, инженер-стажер
Любченко В.И. - руководитель направления информационной безопасности технического отдела Энвижн – Сибирь (Новосибирск)
УДК 004.056.53
Согласно Федеральному закону от 30.12.2008 №307-ФЗ «Об аудиторской деятельности», аудит – это «независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности». К информационной безопасности данный термин, упомянутый в этом законе, отношения не имеет, но так уж сложилось, что специалисты по информационной безопасности достаточно активно его используют в своей речи. В этом случае под аудитом понимается процесс независимой оценки деятельности исследуемого объекта. Аудит информационной безопасности проводится либо с целью проверки выполнения нормативных актов, либо с целью проверки обоснованности и защищенности применяемых решений.
В условиях современного бизнеса, когда время стоит дорого и, по сути, является невосполнимым ресурсом тратить большое его количество нерационально, а в некоторых случаях даже экономически невыгодно. Полноценная аудиторская проверка длится в среднем от трех месяцев, экспресс-аудит же своей целью не отличается от аудита полноценного, но незаменим, когда риски нужно выявить в минимально короткие сроки. Экспресс-проверки так же целесообразно проводить, когда система внешне кажется идеальной, в этом случае вовремя проведенная диагностика позволит либо подтвердить стабильность, либо показать пути для дальнейшего совершенствования.
Банковская деятельность имеет свою специфику, в основе информационной системы управления банковской деятельностью (ИСУБД) чаще всего лежит система модулей, позволяющая пользователям работать в различных секторах приема платежей, проведения и контроля банковских операций, внутренняя корпоративная сеть, средства взаимодействия с клиентами, такие как система дистанционного банковского обслуживания (ДБО). В условиях экспресс-проверки руководитель должен понимать в какой именно области необходимо выявить явные риски. Аудиту подлежит не вся система обеспечения информационной безопасности банка, а только одна или несколько из ее составных частей, что соответствует требованиям международного стандарта «ISO/IEC 27001:2005».
Экспресс-аудит условно можно разделить на традиционный и автоматизированный, так называемое пен-тестирование. Необходимо отметить, что в обоих случаях аудит должен проводиться отделом внутреннего аудита банка, сформированным из числа бывших сотрудников тех или иных подразделений – людей, имеющих представление о том, как именно работает ИСУБД, что позволит сократить время проведения проверки.
Понятие традиционный применимо тогда, когда аудиторы используют классические методы аудита, такие как анкетирование и интервьюирование и т.д. Выявление рисков при помощи автоматизированного экспресс-аудита или так называемый тест на проникновение осуществляется путем моделирования атак потенциальных злоумышленников на выбранные информационные системы. Оба эти вида имеют свои преимущества и недостатки, но оба позволяют достичь цели – выявления явных рисков ИСУБД.
При традиционном экспресс-аудите должен быть определен риск каждой функции ИСУБД без учета предпринимаемых или возможных мер контроля или снижения рисков. В первую очередь следует определить, какие функции, услуги и сервисы предоставляются, каковы типы обнаруженных операционных рисков, каким образом они присущи каждой из функций, используемых бизнес-единицами в постоянных процессах. Аудитор должен провести SWOT-анализ, чтобы оценить все сильные и слабые стороны внутренней и внешней информационной среды, определить актуальные и потенциальные угрозы. Таким образом, происходит идентификация и документирование рисков, присущих функциям и операциям в русле стратегических целей банка. В дальнейшем, исходя из наиболее явных операционных рисков, формируются анкеты для пользователей ИСУБД, позволяющие сделать окончательный вывод о структуре рисков, составить ранжированный список рисков различных функций ИСУБД и критических областей, с предлагаемым планом действий для снижения рисков до приемлемого уровня и предложениями механизмов контроля.
Также необходимо помнить о том, что иногда гораздо легче получить доступ к информационной системе и проникнуть в корпоративную сеть через сотрудников банка. Технологии социального инжиниринга или человеческий фактор проникновения в корпоративные сети может стать настоящим бедствием даже для системы, имеющей эффективные средства защиты, если сотрудники невольно или случайно распространяют ключевую информацию, например, в разговорах со своими коллегами о проектах организации во внерабочее время в неформальной обстановке. Если во время проведения аудита не выявлено явно выраженных рисков, стоит задуматься именно об этом варианте развития событий, к тому же нельзя исключать из внимания, например, дачу заведомо ложных сведений в анкетах или интервью.
Человеческий фактор исключен в автоматизированном тесте на проникновение. В настоящее время существует несколько международных
методик проведения тестирования, ориентированных в основном на моделирование атак, направленных на сетевую инфраструктуру организации. Наиболее любопытна с точки зрения вышеупомянутых опасений - Open Source Security Testing Methodology Manual (OSSTMM) – единственная методика, которая акцентирует внимание не только на технических тестах, но и на атаках связанных с социальной инженерией и направленных на пользователей корпоративной сети. Особенностью теста на проникновение по сравнению с традиционным аудитом информационной безопасности являются: обычно меньшая глубина охвата информационной инфраструктуры организации, но в то же время большая детализация найденных уязвимостей и, следовательно, более точная оценка рисков.
Выбор того или иного метода аудита остается за руководителем, который в идеале должен хорошо понимать взаимосвязь деятельности банка и информационной безопасности, а так же какое материальное выражение имеет информация и репутация банка. В нынешних условиях, к сожалению, приходится признавать, что основная цель аудита информационной безопасности банка – повышение доверия к его деятельности – мало кого интересует, ведь почти никто из клиентов банка не обращает внимания на уровень его безопасности или результаты аудита. К аудиту обращаются либо в случае выявления очень серьезного инцидента, приведшего к нанесению большого материального ущерба, либо в случае законодательных требований. Поэтому, возможно, первым шагом на пути к становлению и пониманию аудита как инструмента ни карательного, а помогающего строить и развивать бизнес станут именно внутренние экспресс-проверки, помогающие выявить наиболее явные риски, которые в будущем могут обернуться многомиллионными убытками.
Рецензии:
19.11.2013, 1:22 Назарова Ольга Петровна
Рецензия: Точный проведен анализ, только нет ссылки на литературу. Не является ли это все источником [1]?
Доработать.
19.11.2013, 10:44 Туманов Владимир Евгеньевич
Рецензия: Научное направление работы. Информационные технологии
Класс статьи: наблюдения из практики
.
Научная новизна: 1) Констатация известных фактов.
Оценка достоверности представленных результатов.
Практическая значимость. Предложены: 1) Даны частные или слишком общие, неконкретные рекомендации.
Формальная характеристика статьи.
Стиль изложения - хороший, но требует правки.
ОБЩЕЕ ЗАКЛЮЧЕНИЕ. Статья не актуальна, не обладает научной и практической новизной, не рекомендуется для печати.
В целом статья носит информативный характер. Для таких статей существует ряд нурналов, которые читают банковские работники, в том числе и в ИТ сфере. Я не думаю, что настоящий журнал будет читаться банкирами. Они любят журналы в глянцывых обложках.
Комментарии пользователей:
20.11.2013, 7:26 Беспалова Наталья Николаевна Отзыв: Спасибо за критику, но если Вы внимательно читали статью[1], то могли заметить, что ее автор рассматривает, во-первых традиционный аудит, вернее насколько можно назвать его традиционным с учетом достаточно нового понятия именно аудита информационной безопасности. Во-вторых, делает анализ существующих стандартов, в требованиях которых наблюдается разрозненность, в частности, например международный стандарт ISO 27001, который не является обязательным, и, например, комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы, по которому собственно и проводятся все существующие проверки, но и цель в данном случае преследуется другая. Экспресс-аудит информационной безопасности является сравнительно молодым направлением, которое я бы хотела предложить именно для выявления явных рисков, в условиях ограниченности времени, а так же вне рамок официальных проверок, в том числе и как подготовка к ним. Я наделась на отзывы о предложенной классификации видов экспресс-аудита, последней не встречала нигде в первоисточниках и насколько с точки зрения читателя обоснованно, например, включение в автоматизированный вид экспресс-аудита именно пен-тестирования. Разработкой более подробной методологии я занимаюсь в настоящее время, но даже в этом случае приходится делать скидку на то, что для каждого клиента она обладает индивидуальными характеристиками в зависимости от различного рода факторов. И, прощу прощения, но мне не понятна критика в адрес банкиров, откуда такая предвзятость? А во-вторых, банк был взят лишь потому, что в этом случае достаточно легко провести параллель между денежными убытками и информационной безопасностью, на предприятии другой отрасли эти процессы более латентны. |