Аудит информационной безопасности в кредитных организациях
Дата: 23.07.2004Источник: БРАТ5
Автор: Андрей Кудинов
... безопасности проводится с полным владением информацией о проверяемой организации, ее внутренней структуре, аппаратно-программной базе, с целью исследования ресурсов, которые должны состоять под аудитом.
Приступая к проведению аудита информационной безопасности, в первую очередь следует ознакомиться с заключением аудиторской фирмы, проводившей обязательную ежегодную проверку кредитной организации, а также с актами проверок службы внутреннего контроля банка, в которых должны быть отражены вопросы, касающиеся информационной безопасности, контроля за управлением информационными потоками (получением и передачей информации), компьютерными системами и т.п. Это позволит на начальном этапе проверки получить первичное представление о состоянии дел в проверяемой кредитной организации, установить выявленные ранее недостатки и ознакомиться с мерами, принимаемыми для их устранения.
К сожалению, на практике, аудиторские фирмы, проводящие ежегодный аудит в кредитных организациях, либо совсем не уделяют внимания вопросам информационной безопасности, либо освещают их поверхностно. То же самое можно сказать и о службах внутреннего контроля кредитных организаций.
Аудит информационной безопасности – это систематическая оценка того, как устроена и выполняется политика информационной безопасности организации, проверка эффективности ее применения. Наличие в кредитной организации политики безопасности, как обязательного внутреннего документа определяется положением Банка России от 16.12.2003 № 242-П (приложение 2) [13]. На практике же, такой документ во многих кредитных организациях отсутствует, находится в стадии разработки или недостаточно отражает вопросы информационной безопасности.
Отсутствие разработанной политики безопасности обычно указывает на недостаточное внимание организации к вопросам безопасности ее ресурсов. Вместе с тем отсутствие документа, определяющего политику информационной безопасности, совсем не означает, что организационно-технические мероприятия, направленные на ее обеспечение не проводятся. Аудиторская проверка информационной безопасности позволит проанализировать достаточность этих мероприятий и выявить слабые места в системе безопасности, проверить эффективность системы управления, работу служб безопасности и внутреннего контроля, подразделений автоматизации кредитной организации. При этом аудит информационной безопасности касается каждого работника, использующего информационные ресурсы внутри организации.
Общие организационные мероприятия.
Службы, ответственные за обеспечение и контроль информационной безопасности.
На данном этапе работы, посредством изучения внутренних документов и личных опросов работников, определяются общие организационные мероприятия, направленные на обеспечение информационной безопасности:
- включена ли в должностные обязанности руководителей ответственность за обеспечение информационной безопасности;
- насколько работники кредитной организации знакомы с политикой информационной безопасности;
- пересматривается ли политика безопасности в соответствии с вносимыми в систему изменениями;
- документы, определяющие ответственность работников за обеспечение информационной безопасности и банковской тайны, включена ли задача обеспечения информационной безопасности в должностные обязанности всех работников, осуществляется ли проверка персонала при приеме на работу;
- порядок обращения с информацией, подлежащей защите;
- инструкции и списки по допуску работников к информационным ресурсам;
- наличие типовых процедур расследования инцидентов в области информационной безопасности, документы реагирования на нарушения безопасности;
- наличие типовых процедур уничтожения носителей информации и действий при их поломке (уничтожение устройств, содержащих информацию; гарантированное стирание информации);
- планы действий персонала в случаях возникновения непредвиденных ситуаций и перечень непредвиденных обстоятельств, в отношении которых разработаны планы действий;
- планы мероприятий и тренинги персонала по вопросам безопасности, по действиям в случае аварийных ситуаций;
- и другие,
а также наличие отметок об ознакомлении работников с документами и инструкциями (в виде подписей).
Определяется, какими службами обеспечивается информационная безопасность и ее контроль (как правило, это служба безопасности, подразделение информатизации, служба внутреннего контроля). Ознакомлением с положениями о подразделениях и с должностными инструкциями работников этих подразделений определяется, какие функции выполняет каждое из них.
Как показывает практика инспекционных проверок кредитных организаций и их филиалов, службы безопасности обеспечивают контроль физического доступа к информации, а целостность электронной информации и разграничение доступа к ней обеспечивается подразделениями информатизации. Службы внутреннего контроля практически не уделяют внимания проверкам информационной безопасности. Такое положение дел не является правильным и обусловлено тем, что специалисты в области компьютерных технологий имеются, как правило, только в подразделениях информатизации кредитных организаций. Возможно, с выходом положения Банка России от 16.12.2003 № 242-П [13], кредитными организациями будет уделяться больше внимания контролю информационной безопасности.
Применяемые аппаратно-программное обеспечение и сетевые технологии.
Проводя аудит информационной безопасности надо ознакомиться с аппаратно-программным обеспечением, применяемым в кредитной организации для автоматизации банковской деятельности:
o Количественный и качественный состав средств вычислительной техники (СВТ):
количество серверов, рабочих станций, терминалов, мобильных компьютеров, сетевых принтеров; их конфигурация.
o Программное обеспечение, предназначенное для управления компьютерным оборудованием и базами данных:
операционные системы (ОС), средства разработки, средства управления базами данных (СУБД), офисные приложения; наличие лицензий на эти программные продукты.
o Специализированное банковское программное обеспечение:
автоматизированные банковские системы (АБС) (устанавливается, какие участки банковской деятельности они автоматизируют; наличие технической документации; договора с разработчиками АБС на сопровождение и техподдержку).
o Специализированное банковское оборудование:
банкоматы, терминалы и т.п.
o Аппаратно-программные комплексы и средства защиты и шифрования данных, антивирусного контроля.
Средства вычислительной техники кредитных организаций работают в компьютерных сетях, поэтому также необходимо ознакомиться и с используемыми банком сетевыми технологиями и телекоммуникационным оборудованием:
o Общая структура сети:
используемые сетевые технологии, протоколы и сервисы, выделенные каналы связи; работа в корпоративных (Intranet) и международных сетях (Internet, Х25 и т.п.); системы удаленного доступа, системы клиент-банк и пр.
o Коммуникационное оборудование:
межсетевые экраны, маршрутизаторы, модемы и т.п.
Также определяется, какие виды информации представляют ценность и нуждаются в обязательной защите (ресурсы, содержащие финансовую информацию, а также информацию, представляющую ценность для кредитной организации, ее клиентов, ее партнеров или конкурентов), места размещения информационных ресурсов.
Анализ информационных рисков.
На данном этапе аудиторской проверки рассматривается, какие работы проводились кредитной организацией по определению и оценке уровней информационных рисков в собственной информационной системе; определению потенциальных угроз возможного ущерба от их возникновения; оценке эффективности существующей практики по обеспечению информационной безопасности и применяемых мер и средств защиты информации.
При анализе информационных рисков в обязательном порядке необходимо обратить внимание на следующие мероприятия:
o Оценены ли существующие в информационной системе риски ресурсов по информации и классу угроз.
o Проводилась ли классификация средств вычислительной техники (серверов, рабочих станций, мобильных компьютеров), на которых размещается ценная информация или осуществляется доступ к ней.
o Проводилась ли классификация автоматизированных систем, которыми обеспечивается обработка и хранение ценной информации, с точки зрения ее защиты.
o Применяется ли разделение информационной системы на максимально изолированные друг от друга среды: операционная среда (непосредственное выполнение операций), тестовая среда, среда разработки.
o Существуют ли правила и процедуры переноса информации из одной среды в другую, система разграничения доступа к тестовой среде и контроль за немедленным удалением рабочей информации из тестовой среды сразу после окончания тестов.
o В случае введения в эксплуатацию новых информационных систем (подсистем), существуют ли обязательные требования по их тестированию и проверке на соответствие существующей политики безопасности.
o Производилась ли оценка ущерба, который может понести организация в случае реализации одной из классических угроз, направленных на информацию (отказе в обслуживании, нарушении целостности, утраты конфиденциальности).
Здесь следует отметить, что анализ информационных рисков является достаточно трудоемким процессом, требует полного владения информацией об информационной системе проверяемой организации, аппаратно-программной базе, применяемых средствах телекоммуникаций и сетевых технологиях.
Вместе с тем, на сегодняшний день одной из серьезных практических и теоретических проблем в ИТ индустрии является недостаточность приемлемых на практике методик и разработанных на их основе программных продуктов...
Добавить комментарий |
Всего 0 комментариев |