А В ТЮТЮННИК А С ШEВEЛEВ ИНФОРМАЦИОННЫE ТEХНОЛОГИИ В БАНКE (2003) 7

Утрата работоспособности или производительности

Данный вид нарушений не связан с информационными потоками. Его причины кроются в механизмах самой системы, в ее способности совершать различные действия. Ущерб от подобных нарушений зависит от степени частичного снижения или полной потери работоспособности. Как правило, ущерб от подобных сбоев определяется временем задержки работы и стоимостью работ на их устранение.
Выделим причины, связанные с работоспособностью:
* ошибки разработки и проектирования:
- ошибка в требованиях масштабируемости системы. К ним относятся потери производительности при росте числа пользователей или объема обрабатываемой информации;
- превышение критических размеров системы. Как правило, данная ошибка связана с работой баз данных и неправильной индексацией имеющейся информации. Запросы, которые в тестовом варианте работали моментально, часто начинают существенно тормозить при росте количества записей в таблице;
* технические проблемы, связанные с программно-аппаратным комплексом:
- неисправность оборудования и сбой в электропитании;
- конфликты между различными приложениями. Очень часто встречающийся вид технического сбоя в мультизадачных средах, особенно в операционной системе WINDOWS. Единственным эффективным средством устранения данной угрозы является разнесение задач по разным группам оборудования;
- ошибки администрирования. Примером может являться игнорирование профилактических процедур на базах данных, запуск различных оптимизаторов и неправильное распределение приоритетов между задачами;
- слабая защищенность от целенаправленных действий со стороны по снижению работоспособности или полному выводу из строя информационных систем организации.

Источники и мотивы нарушений

Разрабатывая систему информационной безопасности, необходимо четко понимать, кто или что может являться причиной нарушения, случайно ли данное нарушение или это целенаправленная акция, может ли повториться, какие механизмы устранения последствий доступны в тех или иных случаях.
Наиболее распространенной причиной нарушений в работе информационных систем являются ошибки их пользователей - непреднамеренные ошибки сотрудников организации. Как правило, данные нарушения не приводят к большому ущербу, хотя возможны и исключения. Особенностью данных нарушений является стремление всех сторон избежать появления таких ситуаций и минимизировать нанесенный ущерб. Вследствие этого рекомендуется применять административные санкции на совершившего ошибку сотрудника только в случае сокрытия им данной ошибки. Основными же виновниками данных ошибок являются бизнес-технологи и разработчики систем. Современные механизмы контроля и мониторинга позволяют почти полностью исключить этот тип нарушений. Однако из-за большого количества разновидностей ошибок создание системы, полностью исключающей их появление, как правило, невозможно или связано с неоправданными затратами.
Рассмотрим непреднамеренные ошибки сотрудников.
Ошибки ввода составляют более 80% ошибок персонала, связанных с информационными системами. Усталость, различные помехи, неразборчивые записи - все эти факторы могут стать причиной ошибки при ручном вводе данных. Подавляющее число данных ошибок носят не принципиальный характер, однако такие ошибки, как ввод неправильной суммы, неправильных реквизитов, могут привести к негативным последствиям. Основным средством борьбы с ошибками ручного ввода являются автоматизация ввода и развитие систем электронного документооборота. В случае, когда возможности данного решения исчерпаны, используются следующие механизмы:
- контроль ключевых параметров по справочнику;
- двойной ввод документов;
- использование шаблонов;
- снижение нагрузки на персонал;
- дополнительный визуальный контроль документа.
Ошибки в эксплуатации системы связаны с недостаточным опытом работы сотрудников с системой. Наиболее часто данный тип ошибок встречается при внедрении новых информационных систем или при изменении функционала уже существующих. Подобных ошибок следует также ожидать при изменении обязанностей сотрудников или при найме новых работников. В качестве мер по их предотвращению обычно используются более совершенная система обучения в организации и четкая система ограничения прав, не допускающая возможности неправильных действий пользователя.
Ошибки систематизации связаны с неправильной классификацией различных объектов, например установкой неправильной категории счета при его открытии. Данные ошибки достаточно редки и обычно не приводят к серьезным потерям. Наиболее вероятным следствием их являются ошибки в отчетах или ошибки при прохождении документов. Причиной таких ошибок в основном является недостаток знаний и опыта. Стоимость их устранения, как правило, зависит от гибкости информационной системы и скорости обнаружения. Защитой от ошибок могут стать автоматизация процесса принятия решения или автоматизированные фильтры, ограничивающие диапазон возможных значений. Но следует помнить, что поддержка данных механизмов в условиях меняющейся среды может быть очень дорогостоящей.
Небрежность, нарушение технологической цепочки. К сожалению, ошибки, связанные с небрежным отношением сотрудников к выполнению своих обязанностей, - не редкость. Данная группа нарушений - единственная из непреднамеренных ошибок, которая требует системы наказаний. Однако следует учитывать неопределенность формулировки данной группы. Очень трудно оценить, что явилось причиной - усталость сотрудника или небрежное отношение к работе.
Рассмотрим теперь преднамеренные действия сотрудников, нарушения, которые являются самыми сложными для предотвращения. Сотрудник организации, как правило, хорошо ориентируется во внутренних процессах и системах. Часто он знает о механизмах безопасности и, что более опасно, об их отсутствии в определенных модулях системы. У него есть время и возможность смоделировать и протестировать свои действия, оценить последствия.
Еще одним слабым местом в системе безопасности от умышленных действий сотрудников является доверие к ним других работников организации. Часто достаточно простой просьбы к администратору для получения доступа к закрытым данным или требования у разработчика добавления какой-либо, на первый взгляд безопасной, функции системы, чтобы впоследствии использовать ее для противоправных действий.
Причинами, побудившими сотрудников к умышленному нарушению информационной безопасности, являются:
- обида на действия менеджеров, как правило, связанная с конфликтами или увольнением сотрудника;
- попытка дополнительного заработка;
- попытка хищения денег из организации;
- попытка создания зависимости организации от конкретного сотрудника;
- карьерная борьба.
В качестве мер противостояния нарушениям данного типа наиболее эффективны социальные меры, разграничение доступа и мониторинг действий пользователей.
Еще одна группа причин нарушений в работе информационных систем - действия сторонних лиц криминального характера. Несмотря на постоянное обсуждение этой темы в прессе, большое количества фильмов о хакерах, бурное развитие информационных технологий, объем таких нарушений, повлекших реальный ущерб, скорее растет, чем снижается. Возможно, это вызвано именно завышенной рекламой данных нарушений, но следствием является максимальное количество затрат в области информационных технологий на защиту от них. Однако следует признать, что кредитные организации действительно являются объектом пристального внимания.
Цель у преступников, как правило, одна - деньги, однако методы ее достижения постоянно совершенствуются. Поэтому, анализируя потенциальные нарушения, в первую очередь следует выделять объекты возможной атаки (системы удаленных платежей, системы расчета пластиковыми картами и т.п.). В случае удачи у преступника много шансов остаться безнаказанным.
Другим объектом атаки могут стать информационные хранилища банка с последующим шантажом их публикации. В этом случае угроза наказания для преступника намного более высока, но задача, поставленная перед ним, может иметь более простое решение, так как носит характер нарушения конфиденциальности, а не внесения изменений в систему.
Третьим вариантом противоправных действий может стать создание помех в работе информационной системы кредитной организации с целью продвижения собственных услуг по их устранению. Как правило, подобные попытки легко просчитываются, поэтому данный вариант нарушений встречается достаточно редко и практикуется фирмами, не имеющими собственного имени на рынке услуг информационной безопасности.
Еще одной угрозой со стороны злоумышленников может стать внедрение измененных компонент системы. Это практически невозможно сделать без сотрудничества кого-либо из персонала банка, однако может привести к хищению значительных средств. Всем известны случаи, когда злоумышленники вносили изменения в алгоритмы округления и весь остаток переводили на свои счета. Выявить данный тип нарушения очень тяжело, поскольку у каждого участника расчетов крадется очень мелкая сумма. Единственной защитой от подобных атак может стать постоянный аудит используемых алгоритмов и параллельный независимый контроль сумм, определяемых в автоматическом режиме.
Перечисленные примеры криминальных атак на информационную систему не описывают всех возможных случаев. Преступники постоянно пытаются придумать новые пути хищения средств. И противостояние им является наиболее важной задачей системы информационной безопасности.
Следующая возможная причина - это деятельность конкурентов. Несмотря на то что законы банковского бизнеса требуют честной конкурентной борьбы, встречаются случаи использования информационных технологий для незаконной борьбы с соперниками. Здесь можно рассмотреть два варианта атаки на систему информационной безопасности.
Целью первого варианта является простой сбор данных: о клиентах, операциях, о рынке. Обычно все сводится к попытке купить какие-либо данные у сотрудников банка. Еще чаще недобросовестные сотрудники сами пытаются продать данные конкурентам. Противостоять этому можно различными социальными мерами, а также пресечением подобной деятельности сотрудников других организаций, пытающихся продать такую информацию вам.
Второй вариант атаки имеет смысл, когда конкурент напрямую заинтересован в доступе к информационной системе. В случае банковского бизнеса для этого могут быть привлечены огромные ресурсы. Противостоять подобной атаке на уровне менеджеров среднего звена практически невозможно. Решение данной проблемы лежит на высшем уровне и выходит за рамки данной книги.
Последняя по порядку, но далеко не последняя по смыслу причина - это аварии, стихийные бедствия и т.п.
Основная проблема в защите от случайных событий - это их непредсказуемость и отсутствие методики расчета степени риска. Малая вероятность подобных событий компенсируется высокой стоимостью последствий. Часто случайные события (пожар, стихийное бедствие или банальный разрыв трубы) приводят к полному уничтожению информационной системы. Если миссия организации требует продолжения работы даже в экстремальном случае, менеджер должен знать и использовать основные приемы защиты и в таких ситуациях.
Международная практика рекомендует несколько защитных мер в зависимости от доступного бюджета организации. В основном они связаны с резервным копированием системы. К ним относятся:
* для многофилиальных организаций - создание взаимных резервных копий различных подразделений на территории друг друга. В случае аварии данные восстанавливаются, и территория одного подразделения может использоваться как резервный офис для другого;
* для организаций с большим бюджетом - создание резервного офиса. Как правило, достаточно, чтобы данный офис дублировал базовые функции основного офиса и мог обеспечить работоспособность организации только в аварийном режиме. Для этого необходимы один сервер, 2-3 комнаты и выход к внешним информационным системам. Для банков это SWIFT, REUTERS, локальные расчетные системы. В случае аварии резервный офис должен обеспечить работоспособность организации не более чем в течение одной недели. За это время должен решиться вопрос или с восстановлением основного офиса, или арендой нового;
* для организаций с ограниченным бюджетом рекомендуется ежедневное резервное копирование информационной системы и хранение копий на другой территории. Это может быть либо дружественная структура, либо специализированная компания, предоставляющая услуги по хранению архивов.

Организация информационной безопасности

Организация информационной безопасности начинается с политики информационной безопасности - внутреннего документа, содержащего в себе основные принципы информационной безопасности организации, используемые защитные механизмы и правила их эксплуатации.
Основой политики информационной безопасности в коммерческом банке является общая политика безопасности организации. Часто информационная безопасность рассматриваются как часть общей системы безопасности. Постоянное сравнение базовых принципов защиты организации и механизмов защиты информационной системы может привести к значительному росту ее надежности и эффективности.
С другой стороны, система информационной безопасности тесно связана с техническими проблемами, решение которых может потребовать значительных сроков и ресурсов, что может привести к экономической нецелесообразности использования рассматриваемых механизмов. Наиболее эффективной схемой создания политики информационной безопасности является последовательная разработка ее составляющих с привлечением специалистов различных областей. Возможный порядок работ приведен на рис. 13.
Результатом данных работ становится рабочая система информационной безопасности, регламентируемая документом "Политика информационной безопасности" (табл. 11).
Такой документ позволит сотрудникам, ответственным за обеспечение информационной безопасности, контролировать систему в целом на основании общих правил, что существенно сократит расходы и потери в случае различных нарушений.

"Рис. 13. Схема организации информационной безопасности"

Таблица 11

Примерная структура политики информационной безопасности

---------------------T-----------------------------------------------T-----------------------------¬
¦ Глава документа ¦ Содержание ¦ Ответственные сотрудники ¦
+--------------------+-----------------------------------------------+-----------------------------+
¦ 1 ¦ 2 ¦ 3 ¦
+--------------------+-----------------------------------------------+-----------------------------+
¦Общее положение ¦Определяется статус документа ¦Руководитель высшего звена.¦
¦ ¦ ¦Представители службы¦
¦ ¦ ¦безопасности ¦
+--------------------+-----------------------------------------------+-----------------------------+
¦Классификация данных¦Определяются группы объектов информационной¦Технологи банка ¦
¦по степени¦системы, их владельцы и степень доступа к ним.¦ ¦
¦открытости. ¦Пример: аналитические счета банка,¦ ¦
¦Определение ¦синтетические счета, справочники ¦ ¦
¦владельцев ¦ ¦ ¦
¦информационных ¦ ¦ ¦
¦ресурсов ¦ ¦ ¦
+--------------------+-----------------------------------------------+-----------------------------+
¦Правила доступа и¦Определяются основные правила доступа к данным.¦Технологи банка,¦
¦группы пользователей¦Пример: доступ к данным на чтение -¦администратор системы ¦
¦ ¦руководитель должен видеть всю информацию, к¦ ¦
¦ ¦которой имеют доступ все его подчиненные ¦ ¦
+--------------------+-----------------------------------------------+-----------------------------+
¦Правила эксплуатации¦В этой главе описываются правила по технике¦Руководители подразделений,¦
¦ ¦информационной безопасности для пользователей¦сотрудник ¦
¦ ¦(правила хранения носителей информации,¦информационно-технических ¦
¦ ¦структура паролей, доступ к аппаратным¦служб, сотрудник отдела¦
¦ ¦составляющим системы) ¦безопасности ¦
+--------------------+-----------------------------------------------+-----------------------------+
¦Правила хранения¦Данная глава определяет: ¦Руководитель ¦
¦информационных ¦- какой программный продукт обеспечивает¦информационно-технических ¦
¦объектов в системе ¦хранение и обработку различных объектов; ¦подразделений, разработчики¦
¦ ¦- на каких процессорах (серверах или¦системы, внутренний аудит ¦
¦ ¦пользовательских станциях) выполняются¦ ¦
¦ ¦различные задачи; ¦ ¦
¦ ¦- как осуществляется резервное копирование¦ ¦
¦ ¦системы ¦ ¦
+--------------------+-----------------------------------------------+-----------------------------+
¦Правила разработки¦Данная глава включает в себя: ¦Руководители проектов,¦
¦информационной ¦- перечень технических и программных средств,¦внутренний аудит,¦
¦системы ¦допустимых к использованию в системе; ¦представители службы¦
¦ ¦- утвержденные алгоритмы криптографии и¦безопасности ¦
¦ ¦электронной подписи; ¦ ¦
¦ ¦- порядок ведения проектной документации ¦ ¦
+--------------------+-----------------------------------------------+-----------------------------+
¦Порядок внесения¦В данной главе описывается самый уязвимый этап¦Руководители проектов,¦
¦изменений, ¦в жизни информационной системы, связанный с¦внутренний аудит,¦
¦обновления и замены¦установкой и внедрением новых технологических¦представители службы¦
¦рабочей версии¦цепочек или программно-аппаратных решений ¦безопасности, руководители¦
¦информационной ¦ ¦подразделений ¦
¦системы ¦ ¦ ¦
+--------------------+-----------------------------------------------+-----------------------------+
¦Механизмы ¦В данной главе описывается перечень файлов¦Внутренний аудит, технические¦
¦мониторинга доступа¦протокола, которые ведутся системой, а также¦специалисты ¦
¦к объектам¦набор контрольных метрик, определяющих¦ ¦
¦информационной ¦состояние системы и угрозы нарушений в ее¦ ¦
¦системы ¦работе ¦ ¦
+--------------------+-----------------------------------------------+-----------------------------+
¦Обязанности ¦В этом разделе рассматриваются различные¦Руководитель ¦
¦должностных лиц в¦нарушения или угрозы нарушений, выявленные в¦информационно-технологическо-¦
¦случае нарушений¦результате анализа механизмов мониторинга, и¦го подразделения,¦
¦информационной ¦определяются действия должностных лиц по¦представители службы¦
¦безопасности системы¦устранению или предотвращению нарушений ¦безопасности ¦
L--------------------+-----------------------------------------------+------------------------------

Рассмотрим основные механизмы защиты информационных систем. Реализация концепции информационной безопасности, как правило, строится на стандартных механизмах. Преимуществом использования типовых решений являются их надежность, наличие опыта их эксплуатации у персонала, прозрачность возможности реализации и низкая стоимость. Недостаток стандартных механизмов - их доступность для злоумышленника. Поэтому, используя типовые решения, следует знать об их слабых сторонах, особенно когда информация имеет высокую коммерческую стоимость и возможно привлечение злоумышленниками профессиональных специалистов в области информационной безопасности.
Меры информационной безопасности можно разделить на четыре категории.
1. Сдерживающие социальные меры. Как правило, направлены на устранение первичных причин нарушений в информационном пространстве организации. К ним относятся:
- создание здорового социального климата в организации;
- снижение нагрузки на персонал и развитие системы восстановления работоспособности сотрудников;
- разработка системы наказания за различные нарушения, в том числе за нарушение режима информационной безопасности. Информирование всех о применяемых наказаниях;
- ограничение знания сотрудников только областью их непосредственных обязанностей;
- контроль и анализ нетипичных действий сотрудников и сторонних лиц (партнеров, клиентов);
- четкая система обучения.
2. Установка систем защиты. Данные средства основываются на программно-аппаратных решениях. Обычно они предлагаются сторонними организациями и за определенную плату или бесплатно доступны для каждой организации. К техническим средствам защиты относятся:
- шифрование;
- электронные подписи и электронная аутентификация;
- развитие системы доступа к данным;
- система защиты программных ресурсов;
- система защиты аппаратных ресурсов;
- физическое ограничение доступа к аппаратным ресурсам системы.
3. Компенсационные меры направлены на ограничение последствий нарушений в системе. К ним относятся следующие решения:
- установка лимитов на выполнение операций;
- страхование рисков;
- создание резервных систем;
- моделирование нарушений;
- подробное регламентирование действий сотрудников в исключительных ситуациях.
4. Мониторинг нарушений. Цель мониторинга - распознавание нарушений в информационных системах, а именно:
- аудит информационной системы;
- сравнение показателей системы с независимыми источниками;
- система контрольных метрик.

Управление рисками

Основой разработки системы информационной безопасности является ее целесообразность. Современные средства позволяют свести к нулю практически любой вид нарушений в информационной системе. Однако стоимость идеальной защиты может многократно превышать любой ожидаемый ущерб. Поэтому при проведении работ, связанных с информационной безопасностью, следует соблюдать баланс между приемлемым уровнем риска и затратами на его снижение.
Основные этапы управления рисками:
* инициирование и планирование;
* сбор информации о существующих процедурах ИБ и внутреннего контроля;
* идентификация потенциальных угроз;
* оценка вероятности их наступления и возможных последствий;
* составление и обновление карты рисков;
* разработка дополнительных мер информационной безопасности и контрольных процедур;
* подготовка отчетов для руководства;
* контроль внедренных процедур.
В данной главе риск рассматривается как среднестатистическая сумма ущерба от негативного события, произведение вероятности события на сумму ущерба:

риск = вероятность х среднестатистическая сумма ущерба.

Очевидно, что каждая из составляющих носит приблизительный характер. Это объясняется отсутствием не только детальной статистики, но даже единой методики получения этих значений. Однако анализ уже имеющихся данных позволяет выявить некоторые зависимости для проведения корректировок в политике. Рассмотрим более детально обе составляющие этого выражения.
Под вероятностью нарушения системы безопасности подразумевается среднее количество подобных событий за определенный период времени.
Оценивая вероятность, необходимо учитывать, что:
1) часть нарушений непосредственно связана с каким-либо событием. Так, ошибки ввода информации пользователями связаны с количеством вводимых документов (рис. 14).

"Рис. 14. Зависимость ошибочных действий от объема операций"

Пик в начале графика связан с отсутствием у пользователей постоянной практики в выполнении рассматриваемой функции, что приводит к росту ошибок для редких событий. Правый конец графика также носит условный характер, поскольку на него начинают оказывать факторы усталости сотрудника или рефлексы, например информационное поле заполняется без осмысления вводимого значения. Для наиболее часто используемых ручных операций пользователи разрабатывают собственные приемы ускорения ввода данных (шаблоны, копирование), которые также влияют на вероятность ошибки;
2) вероятность злоупотребления имеет линейную зависимость от количества людей, знающих о возможности злоупотребления, а также от количества людей, знающих всю последовательность действий. В тоже время вероятность обратно пропорциональна количеству необходимых участников и количеству альтернативных систем. Последний фактор часто оказывается ключевым в расчете эффективности интернет-службы банка. Вероятность взлома сервера этой службы случайным хакером невелика, поскольку существует множество других серверов, предоставляющих такой же интерес;
3) вероятность технического сбоя в дублируемой системе, имеющей модульную структуру, равна:

вероятность = SUMi (V2i х Тi),

где Vi - вероятность сбоя i-го модуля;
Тi - время устранения неисправности для данного модуля;
4) вероятность несанкционированного доступа к копируемым данным равна сумме вероятностей несанкционированного доступа к каждой копии;
5) количество сбоев в программном обеспечении, как правило, носит случайный характер, однако следует знать, что существует почти линейная зависимость ошибок разработки от количества используемых систем и от количества связей между ними. Если системы образуют сетевую архитектуру, то зависимость становится квадратичной.
Приведенный анализ носит условный характер, однако он позволяет оценить эффективность принимаемых мер для обеспечения информационной безопасности.
Что касается оценки возможного ущерба, то она тоже носит до определенной степени относительный характер. При оценке ущерба от исключительной ситуации в информационной системе необходимо рассматривать два вида нарушений: нарушение, приводящее к разовому ущербу, и нарушение, приносящее ущерб во весь период своего действия. Во втором случае сумма ущерба является функцией, зависимой от времени устранения последствий. Форма данной функции зависит от типа нарушения (табл. 12).

Таблица 12

Зависимость алгоритма расчета ожидаемого ущерба от типа нарушения

-----------------------T---------------------------------------------T-----------------------------¬
¦ Тип нарушения ¦ Ущерб от нарушения ¦ Стоимость восстановительных ¦
¦ ¦ ¦ работ ¦
+----------------------+---------------------------------------------+-----------------------------+
¦Нарушение ¦Обычно разовый. Реже зависит от времени. Для¦Нет, так как не приводит к¦
¦конфиденциальности ¦анализа можно использовать формулу ¦изменениям системы ¦
¦ ¦S = S1 + дельтаS х T, ¦ ¦
¦ ¦где S1 - стоимость информации; ¦ ¦
¦ ¦дельтаS - стоимость обновления; ¦ ¦
¦ ¦Т - период утечки данных ¦ ¦
+----------------------+---------------------------------------------+-----------------------------+
¦Изменения в¦Зависит от частоты обращения к измененной¦Стоимость восстановительных¦
¦системе, включая¦области. Если данная область является¦работ здесь зависит от двух¦
¦технические сбои и¦ключевой в системе, то зависит от времени¦составляющих: S = S1 х T +¦
¦умышленные действия ¦устранения данного нарушения. Аналитической¦S2, где S1 - стоимость поиска¦
¦ ¦формулой оценки здесь является следующее¦неисправности; ¦
¦ ¦выражение: ¦Т - время поиска¦
¦ ¦S = суммаi (S1i + Se x T1i + Sp (T2i + T3i), ¦неисправности; ¦
¦ ¦где S1i - разовый ущерб для каждого случая; ¦S2 - стоимость устранения ¦
¦ ¦Se - стоимость эксплуатации с неисправной¦ ¦
¦ ¦системой; ¦ ¦
¦ ¦Т1i - время обнаружения факта нарушения,¦ ¦
¦ ¦может меняться от случая к случаю; ¦ ¦
¦ ¦Sp(t) - ущерб от простоя системы связанный с¦ ¦
¦ ¦устранением последствий. Данная функция часто¦ ¦
¦ ¦носит ступенчатый характер; ¦ ¦
¦ ¦T2i - время диагностики; ¦ ¦
¦ ¦T3i - время устранения неисправности ¦ ¦
L----------------------+---------------------------------------------+------------------------------

Рассмотренные алгоритмы носят достаточно условный характер и должны быть адаптированы и детализированы в зависимости от более подробной классификации ожидаемых нарушений, структуры информационной системы и особенностей организации.

Влияние систем защиты на развитие бизнеса

Рассматривая вопросы информационной безопасности, нельзя не затронуть взаимную зависимость между ними и общими задачами кредитной организации. Часто приходится сталкиваться с ситуациями, когда развитие отдельных направлений бизнеса просто блокируется требованиями безопасности. Обычно это имеет смысл, так как затраты на защиту информационного ресурса того или иного бизнеса вместе с остаточным риском больше, чем ожидаемый доход. Однако ошибки в подобных расчетах означают потерю конкурентного преимущества и, как следствие, намного больший ущерб для организации в целом. Эта угроза заставляет многие банки идти на риск, игнорируя риски информационной безопасности, скрывая возникающие проблемы. Рассмотрим некоторые критерии, облегчающие принятие решений в этой области.
Следуя общему правилу экономической целесообразности, определяется следующее выражение:

(S(T) - S) x T + 1%(Т) > (S1 x (%)t + Sa x Т)/К,

где S(T) - функция ожидаемого дохода от нового продукта, зависит от времени;
S - сумма требуемого дохода от рассматриваемого продукта;
Т - рассматриваемый промежуток времени;
1%(Т) - получаемая прибыль за счет вторичного использования средств, полученных в качестве дохода от рассматриваемого продукта;
S1 - разовая инвестиция в систему информационной безопасности;
(%)t - потерянная прибыль от использования вложенных средств;
Sa - затраты на сопровождение;
К - коэффициент доли использования, определяется исходя из использования необходимых в данном случае элементов системы безопасности другими продуктами.
Рассматривая данную формулу, нетрудно заметить, что в случае возникновения противоречия между развитием бизнеса и уязвимостью его информационной системы можно использовать следующие типовые решения:
* создание системы общей защиты для всей информационной среды организации, а не для отдельных модулей. Это может стоить дороже, однако снижаются затраты на сопровождение и на внедрение новых решений;
* стандартизация решений, что также позволит снизить стоимость сопровождения и обеспечения информационной безопасности;
* снижение требуемого уровня рентабельности новой услуги;
* применение решений, проверенных в других организациях.
Но в любом случае, анализируя систему информационной безопасности, к ней следует относиться не как к злу, дополнительным и неоправданным затратам, а как к части общих услуг, предлагаемых клиенту, гарантирующих конфиденциальность его бизнеса и сохранность его денег.

Аудит информационных систем

Практически ни одна компания, в какой бы индустрии она не работала, не в состоянии сегодня обходиться без использования современных информационных технологий. А в некоторых отраслях (таких, как финансы, телекоммуникациия или автоматизация) стала неотъемлемой частью бизнес-деятельности, без которой просто невозможно осуществление операций. В то же время информационные технологии с каждым годом все более усложняются. Они поглощают огромные финансовые и временные ресурсы, при этом не всегда предоставляя адекватный эффект. Положительные аспекты оттеняются новыми рисками, связанными с широким использованием информационных технологий, которые требуют дополнительного контроля со стороны высшего менеджмента, внешнего и внутреннего аудита.

Цели и задачи аудита ИС

Целью ИТ-аудита является совершенствование системы контроля за ИТ. Для этого аудиторы выполняют следующие задачи:
- осуществляют оценку рисков ИТ;
- содействуют предотвращению и смягчению сбоев ИС;
- участвуют в управлении рисками ИТ, в том числе в ведении карты рисков;
- помогают подготавливать нормативные документы;
- пропагандируют высокую роль ИТ для бизнеса;
- помогают связать бизнес-риски и средства автоматизированного контроля;
- осуществляют проведение периодических проверок;
- содействуют ИТ-менеджерам в правильной организации управления ИТ;
- осуществляют "взгляд со стороны".
Аудитор информационных систем вне зависимости от того, является ли он внешним или внутренним (приглашенным) специалистом, выступает от имени акционеров и руководства организации. При этом внешние аудиторы больше акцентируют свое внимание на независимом подтверждении надежности и адекватности системы внутреннего контроля за ИТ, а внутренние аудиторы - на обеспечении эффективности системы внутреннего контроля ИТ. Аудиторы ИТ помимо весьма глубокого понимания современных информационных технологий должны обладать знанием целей и задач внутреннего контроля и опытом организации системы внутреннего контроля в области ИТ.

Регулирование аудита информационных систем

Вопросу аудита и внутреннего контроля за информационными системами посвящены несколько зарубежных стандартов аудита и специальный российский стандарт "Аудит в условиях компьютерной обработки данных (КОД)". Из зарубежных источников можно отметить международный стандарт аудита ISA 401, положения по международной практике аудита 1002, 1003, 1004, 1008, 1009. В них отражены вопросы практики аудита в среде компьютерных информационных систем, оценки рисков и надежности системы внутреннего контроля в условиях КОД, техника проведения аудита с учетом использования современных информационных технологий.
Российский стандарт содержит общие требования к проведению аудита в условиях КОД, описывает действия аудитора, аудиторские доказательства и документирование, процедуры аудита и требования по компетентности аудитора. В нем достаточно детально рассматривается, каким образом трансформируется практика проверок в организациях, где компьютерная обработка данных охватывает все основные циклы работ, и какие цели должна преследовать проверка информационных систем.
К сожалению, данные стандарты в большей степени лишь очерчивают проблематику, не давая практических рекомендаций по аудиту организаций со значительным объемом компьютерной обработки как в бухгалтерской, так и в бизнес-деятельности. Они не описывают подходов к аудиту самих информационных систем.

Технология аудита информационных систем

Рассмотрим технологию аудита информационных систем в "базовом", наиболее простом понимании. Такой подход может быть применим в небольших и средних организациях.
При проведении проверки информационных систем внимание аудиторов, как правило, направлено на три основных блока: техническое обеспечение, программное обеспечение, технологии организации и использования компьютерной обработки данных. Каждая их этих сфер достаточно важна и служит источником потенциального риска и вероятных потерь.
С точки зрения технического обеспечения необходимо постоянно отслеживать следующие моменты:
* отказоустойчивость технической базы, под которой понимают способность технических средств функционировать практически без сбоев и остановок;
* степень надежности хранения данных и возможности их восстановления, включая средства резервного копирования;
* физический доступ к компьютерному оборудованию, который должен быть ограничен, так как может стать причиной несанкционированных действий;
* масштабируемость компьютерных систем, которая состоит в возможности их наращивания и является залогом их более длительного использования;
* достаточность вычислительной мощности технических средств для обработки данных в организации;
* соответствие технической политики бизнес-задачам организации и ее экономическая эффективность.
В части контроля за программным обеспечением регулярной проверке подлежат:
- лицензионная чистота программного обеспечения, так как помимо юридических проблем при отсутствии лицензий сопровождение программных продуктов производителями не осуществляется и это может привести к серьезным сбоям в их работе;
- логическое разграничение прав доступа к данным на системном и прикладном уровнях, в том числе политика информационной безопасности и ее выполнение, что предотвращает несанкционированные действия и ограничивает доступ к конфиденциальной информации;
- порядок внесения изменений в программные продукты, смены версий, санкционированность и проработанность подобных действий, так как именно процесс изменений не только сам по себе несет существенные риски, но и способствует выявлению или обострению смежных проблем;
- система протоколирования всех действий пользователей в информационных системах, предоставляющая возможность оперативного контроля и проведения внутренних расследований;
- надежность системного программного обеспечения и используемой СУБД (системы управления базой данных), которые так же, как и технические средства, являются повышенным источником риска;
- достаточность функциональных возможностей и удобство осуществления операций в системах автоматизации, что необходимо для достижения большей эффективности от использования современных ИТ;

<< Пред. стр. 7 (из 20) След. >>

Список литературы по разделу