<< Пред.           стр. 8 (из 20)           След. >>

Список литературы по разделу

  - наличие верификации прав доступа (подтверждения одним пользователем действий другого) и последующего контроля за данными в информационных системах;
  - корректность алгоритмов, результатов и периодичности автоматических процедур, которые, как правило, в современных банковских системах осуществляются без участия пользователя (расчет курсовой разницы, процентов по кредитам и депозитам, открытой валютной позиции, консолидация);
  - корректность справочных данных, используемых при различных расчетах и операциях в информационных системах (курсы валют, процентные ставки, банковские идентификационные коды).
  Направления проверки технологии организации и использования компьютерной обработки данных достаточно разнообразны:
  * общая структура служб ИТ и ее соответствие поставленным задачам;
  * существование и реализация плана развития информационных технологий, что является необходимым при современном темпе технологических нововведений;
  * регламентация действий пользователей информационных систем как часть обязательного и с точки зрения общего управления, и с точки зрения управления качеством регламентирования всех внутренних банковских процессов;
  * оценка системы поддержки (сопровождения) пользователей, так как при некачественном сопровождении повышается риск неправильных, ошибочных действий вследствие непонимания особенностей информационных систем;
  * технология разработки и внедрения отдельных приложений, которая должна ограничивать банк от использования не соответствующих требованиям пользователей и содержащих большое количество ошибок программных продуктов, а также исключать зависимость от ключевого ИТ-персонала (при собственной разработке);
  * технологии проведения отдельных операций с точки зрения их соответствия регламентам, политике информационной безопасности, удобства и эффективности их автоматизации;
  * технология работы с особо критичными системами и их участками, прежде всего такими, как платежные терминалы и системы передачи данных между различными программными комплексами;
  * наличие системы обеспечения деятельности при возникновении чрезвычайных ситуаций, а именно плана действий резервной вычислительной площадки и возможности быстрого восстановления данных.
  Описанный выше подход является первой практической реакцией на требования дня. При более глубоком анализе проблемы становится очевидно, что следует широко (комплексно) подходить к ее решению. Необходимо дать аудиторам (как внутренним, так и внешним) методологию проверки, содержащую программу аудита, основные критичные циклы, систему оценки, возможность делать не только замечания, но и давать рекомендации по улучшению. Но многие аудиторы не имеют специальных технических знаний и самостоятельно не способны разработать методику проверки ИС. С другой стороны, для минимизации рисков в условиях компьютерной обработки данных необходимо не только проводить проверку, аудит ИС, но и правильно построить управление ими, внедрить эффективную систему внутреннего контроля. Что же делать в этой ситуации? К счастью, решение существует - это уже упоминавшийся СоblТ.
  Нами были приведены общая схема описанных областей, их составляющие и система взаимодействия, которая в методологии СоblТ называется "золотое правило".
  По каждой из областей эта методология содержит детальное описание аудита, рекомендации по оценке и совершенствованию внутреннего контроля, то есть все то, что мы уже отмечали и что так необходимо с точки зрения аудита в условиях компьютерной обработки данных. Методология СоblТ представляет собой набор из нескольких книг: руководство по аудиту, руководство для менеджмента, контрольные процедуры, руководство по внедрению.
  Однако следует отметить, что внедрение подобной методологии является сложной задачей и не всегда может быть осуществлено без посторонней консалтинговой помощи. Это связано с тем, что в процессе внедрения необходимо оценить последовательность действий и сформулировать систему приоритетов. Также часто необходим практический опыт организации подобных процессов в других организациях.
  Широкое использование информационных технологий в современной организации трансформирует задачи внутреннего и внешнего контроля и аудита, которые все больше переориентируются на компьютерные системы и технологии. Это соотносится с потребностью в аудите, обращенном не столько на проверку достоверности отчетности и соответствия учетных процедур, сколько на предотвращение негативных явлений в деятельности организаций, на глубинный анализ и прогнозирование финансового состояния, управление рисками, в том числе и информационных систем, что в конечном счете еще более укрепляет описанные выше тенденции и подталкивает организации на использование передовых международных подходов в области аудита в условиях компьютерной обработки данных.
 
 Примеры выявленных проблем
 
  Для иллюстрации приведем отчет по результатам аудита информационных систем банка внешним аудитором - крупнейшей международной консалтинговой компанией (табл. 13).
 
  Таблица 13
 
 Отчет по результатам аудита информационных систем банка
 
 
 ----------------------T------------------------T------------------------------------------------T----------¬
 ¦ Ситуация ¦ Риск ¦ Рекомендация ¦ Приоритет¦
 +---------------------+------------------------+------------------------------------------------+----------+
 ¦ 1 ¦ 2 ¦ 3 ¦ 4 ¦
 +---------------------+------------------------+------------------------------------------------+----------+
 ¦Стратегия ИТ¦Подобная ситуация может¦Мы рекомендуем банку: передать функцию¦ !!! ¦
 ¦существует, однако ее¦привести к¦стратегического планирования в области ИТ¦ ¦
 ¦основные направления¦несоответствию целей и¦высшему руководству банка; ¦ ¦
 ¦не доведены до¦задач ИТ¦распределить обязанности по стратегическому¦ ¦
 ¦сведения многих¦бизнес-стратегии, что в¦планированию в области ИТ; ¦ ¦
 ¦работников банка и¦свою очередь может¦формализовать и задокументировать стратегический¦ ¦
 ¦руководителей ¦привести к¦план в области ИТ, включая определение¦ ¦
 ¦функциональных ¦неэффективному ¦бизнес-задач и потребностей для ИТ, анализ¦ ¦
 ¦подразделений ¦использованию бюджета ИТ¦технологических решений и текущей¦ ¦
 ¦ ¦и повышенным затратам ¦инфраструктуры, оценку требуемых организационных¦ ¦
 ¦ ¦ ¦изменений и существующих систем, направления¦ ¦
 ¦ ¦ ¦развития ИТ на срок от 3 до 5 лет; ¦ ¦
 ¦ ¦ ¦разработать и внедрить процедуры оценки рисков¦ ¦
 ¦ ¦ ¦ИТ как часть системы корректировки стратегии в¦ ¦
 ¦ ¦ ¦области ИТ; ¦ ¦
 ¦ ¦ ¦объединить стратегическое планирование в области¦ ¦
 ¦ ¦ ¦ИТ с функцией бизнес-планирования; распределить¦ ¦
 ¦ ¦ ¦ответственность за распространение информации о¦ ¦
 ¦ ¦ ¦стратегии ИТ по всем функциональным¦ ¦
 ¦ ¦ ¦подразделениям банка ¦ ¦
 +---------------------+------------------------+------------------------------------------------+----------+
 ¦Низкий уровень¦Отсутствие регламентов и¦Мы рекомендуем разработать и утвердить процедуры¦ !! ¦
 ¦документирования ¦документирования ¦документирования для основных технических и¦ ¦
 ¦ключевых процессов в¦ИТ-процедур повышает¦операционных процессов в области ИТ и¦ ¦
 ¦области ИТ. В ходе¦уровень операционных и¦осуществлять регулярный контроль за выполнением¦ ¦
 ¦обследования мы¦системных рисков банка.¦этих процедур со стороны руководства банка.¦ ¦
 ¦отметили, что¦Также при этой ситуации¦Необходимо разработать процедуры, которые¦ ¦
 ¦отсутствуют ¦затруднен контроль за¦обеспечат возможность последующего контроля за¦ ¦
 ¦внутренние регламенты¦функционированием ИТ и¦соблюдением указанных процессов и стандартов ИТ ¦ ¦
 ¦и документирование¦их эффективностью.¦ ¦ ¦
 ¦большинства ¦Помимо этого, отсутствие¦ ¦ ¦
 ¦направлений ¦надлежащей документации¦ ¦ ¦
 ¦деятельности ИТ-служб¦повышает риск¦ ¦ ¦
 ¦ ¦зависимости от ключевых¦ ¦ ¦
 ¦ ¦сотрудников службы ИТ,¦ ¦ ¦
 ¦ ¦их опыта и знаний ¦ ¦ ¦
 +---------------------+------------------------+------------------------------------------------+----------+
 ¦Отсутствие системы¦Неадекватная ¦Мы рекомендуем внедрить систему анализа¦ !! ¦
 ¦анализа инвестиций в¦инвестиционная политика¦инвестиций в ИТ. Мы полагаем, что политика¦ ¦
 ¦ИТ. В ходе обзора мы¦резко увеличивает риски¦инвестиций в области ИТ должна включать¦ ¦
 ¦отметили, что процесс¦дефицита бюджета,¦следующие пункты: определение ответственных за¦ ¦
 ¦бюджетного ¦конфликта ресурсов¦этот процесс сотрудников банка; ¦ ¦
 ¦планирования, в том¦/инвестиций, а также¦систему показателей и алгоритм расчета¦ ¦
 ¦числе и для ИТ,¦риск низкой окупаемости¦инвестиций в области ИТ; ¦ ¦
 ¦ведется на регулярной¦инвестиций в области ИТ.¦расчет инвестиционной политики в области ИТ и¦ ¦
 ¦основе. Однако в¦Возможно неэффективное¦окупаемости инвестиций с финансовой и¦ ¦
 ¦банке отсутствуют¦использование ресурсов¦нефинансовой точек зрения; оценка всех возможных¦ ¦
 ¦процедуры оценки¦банка. В случае¦альтернативных вариантов инвестиций в ИТ; ¦ ¦
 ¦эффективности ¦отсутствия ¦анализ передового опыта отрасли при выборе¦ ¦
 ¦вложений в ИТ,¦предварительного ¦инвестиций в области ИТ; ¦ ¦
 ¦практика отношения к¦планирования в области¦постоянный процесс совершенствования¦ ¦
 ¦расходам на ИТ как к¦инвестиций в ИТ высшее¦инвестиционной политики в области ИТ. ¦ ¦
 ¦внутренним ¦руководство может¦Как дополнительные моменты и показатели, которые¦ ¦
 ¦инвестициям ¦недооценить их¦необходимо учитывать при осуществлении¦ ¦
 ¦ ¦значимость для¦инвестиционной политики, мы рекомендуем¦ ¦
 ¦ ¦деятельности банка и¦анализировать следующие параметры: процент¦ ¦
 ¦ ¦принимать управленческие¦ИТ-проектов (от общего числа), не укладывающихся¦ ¦
 ¦ ¦решения, не владея¦в бюджет; ¦ ¦
 ¦ ¦реальной информацией об¦процент ИТ-проектов, для которых не¦ ¦
 ¦ ¦отдаче от ИТ ¦производилась предварительная оценка¦ ¦
 ¦ ¦ ¦эффективности инвестиций; процент ИТ-проектов,¦ ¦
 ¦ ¦ ¦которые после внедрения не достигли требуемых¦ ¦
 ¦ ¦ ¦инвестиционных показателей (нормы рентабельности¦ ¦
 ¦ ¦ ¦и времени самоокупаемости); число ИТ-проектов,¦ ¦
 ¦ ¦ ¦при осуществлении которых, несмотря на наличие¦ ¦
 ¦ ¦ ¦утвержденного бюджета, возникли инвестиционные¦ ¦
 ¦ ¦ ¦конфликты (недостаток или несвоевременность¦ ¦
 ¦ ¦ ¦инвестиций); ¦ ¦
 ¦ ¦ ¦время между возникновением отклонения в¦ ¦
 ¦ ¦ ¦осуществлении проекта и решением этой проблемы¦ ¦
 ¦ ¦ ¦руководством; процент ИТ-проектов, которые после¦ ¦
 ¦ ¦ ¦внедрения так и не достигли требуемых¦ ¦
 ¦ ¦ ¦бизнес-целей ¦ ¦
 +---------------------+------------------------+------------------------------------------------+----------+
 ¦Отсутствие ¦Отсутствие системы¦Мы рекомендуем следующие мероприятия:¦ !!! ¦
 ¦риск-менеджмента в¦управления рисками ИТ¦сформировать функцию управления рисками внутри¦ ¦
 ¦области ИТ. Анализ¦может привести к¦подразделения ИТ; ¦ ¦
 ¦рисков в сфере ИТ¦увеличению числа¦распределить, задокументировать и утвердить на¦ ¦
 ¦осуществляется только¦проектов, незаконченных¦уровне высшего руководства систему¦ ¦
 ¦в отдельных, наиболее¦вовремя или вышедших за¦ответственности и процедуры риск-менеджмента; ¦ ¦
 ¦критичных, случаях на¦рамки бюджета. Это также¦разработать систему классификации и оценки¦ ¦
 ¦нерегулярной основе.¦приводит к увеличению¦рисков ИС; ¦ ¦
 ¦При этом не¦количества нештатных¦анализировать результаты ИТ-проектов в ходе и¦ ¦
 ¦существует ¦ситуаций и сбоев в¦после их завершения с точки зрения управления¦ ¦
 ¦методологии оценки и¦работе информационных¦рисками; ¦ ¦
 ¦управления рисками и¦систем. Неадекватное¦сформировать системы превентивных мер,¦ ¦
 ¦утвержденных ¦управление рисками может¦направленных на предотвращение и снижение рисков¦ ¦
 ¦внутренних процедур¦подорвать финансовое и¦ ¦ ¦
 ¦на этот счет ¦стратегическое положение¦ ¦ ¦
 ¦ ¦банка ¦ ¦ ¦
 +---------------------+------------------------+------------------------------------------------+----------+
 ¦В банке отсутствует¦Низкий уровень¦Создание комитета по ИТ или¦ !! ¦
 ¦информационно-техно- ¦информирования высшего¦информационно-технологического комитета при¦ ¦
 ¦логический комитет¦руководства о проблемах¦правлении поможет оптимизировать работу¦ ¦
 ¦при правлении ¦в области ИТ; проблемы¦подразделения ИТ и упростит процесс¦ ¦
 ¦ ¦решаются недостаточно¦урегулирования проблем, с которыми сталкивается¦ ¦
 ¦ ¦оперативно. ¦подразделение ИТ. Комитет по ИТ должен¦ ¦
 ¦ ¦Неэффективная система¦оперативно решать стратегические задачи в¦ ¦
 ¦ ¦контроля за ИТ повышает¦области ИТ, а также обеспечивать получение¦ ¦
 ¦ ¦внутренние риски ¦своевременной ответной реакции (обратную связь).¦ ¦
 ¦ ¦ ¦Кроме этого, комитет по ИТ будет способствовать¦ ¦
 ¦ ¦ ¦повышению эффективности контроля за¦ ¦
 ¦ ¦ ¦деятельностью ИТ-служб ¦ ¦
 +---------------------+------------------------+------------------------------------------------+----------+
 ¦Неэффективное ¦Низкое качество¦Необходимо разработать четкую процедуру,¦ ! ¦
 ¦построение ¦обслуживания ¦регламентирующую права и обязанности¦ ¦
 ¦обслуживания ¦пользователей, ¦пользователей и сотрудников ИТ. Мы рекомендуем¦ ¦
 ¦пользователей ИС. Мы¦неоперативность решения¦разработать базу данных службы технической¦ ¦
 ¦отметили, что¦проблем и ликвидации¦поддержки с тем, чтобы все заявки пользователей¦ ¦
 ¦отсутствуют ¦сбоев в информационных¦регистрировались сотрудниками ИТ. Этот¦ ¦
 ¦внутренние ¦системах. В результате¦внутренний инструмент позволит оптимизировать¦ ¦
 ¦регламенты, ¦повышается риск сбоя¦деятельность специалистов ИТ и проводить¦ ¦
 ¦регулирующие ¦систем, который может¦мониторинг их работы. Кроме того, база данных¦ ¦
 ¦отношения ¦привести к потере¦обеспечит аналитическую информацию об уровне¦ ¦
 ¦пользователей и¦информации. Отсутствие¦компьютерной подготовки пользователей, наиболее¦ ¦
 ¦сотрудников ИТ. В¦статистических данных по¦типичных проблемах, а также позволит определить¦ ¦
 ¦банке отсутствует¦типам и количеству¦те области в организации ИТ и информационных¦ ¦
 ¦служба технической¦ИТ-проблем затрудняет¦систем, которые необходимо усовершенствовать ¦ ¦
 ¦поддержки в форме¦принятие управленческих¦ ¦ ¦
 ¦help-desk с¦решений. Нет возможности¦ ¦ ¦
 ¦обязательной ¦контролировать и¦ ¦ ¦
 ¦регистрацией всех¦координировать работу¦ ¦ ¦
 ¦обращений и четкими¦службы технической¦ ¦ ¦
 ¦стандартами на время¦поддержки ¦ ¦ ¦
 ¦и качество обработки¦ ¦ ¦ ¦
 ¦запросов ¦ ¦ ¦ ¦
 ¦пользователей. В¦ ¦ ¦ ¦
 ¦настоящее время¦ ¦ ¦ ¦
 ¦заявки пользователей¦ ¦ ¦ ¦
 ¦не регистрируются и¦ ¦ ¦ ¦
 ¦не анализируются.¦ ¦ ¦ ¦
 ¦Соответственно не¦ ¦ ¦ ¦
 ¦осуществляется ¦ ¦ ¦ ¦
 ¦официальный ¦ ¦ ¦ ¦
 ¦мониторинг объема¦ ¦ ¦ ¦
 ¦работы и видов¦ ¦ ¦ ¦
 ¦проблем, с которыми¦ ¦ ¦ ¦
 ¦сталкиваются ¦ ¦ ¦ ¦
 ¦специалисты ИТ ¦ ¦ ¦ ¦
 +---------------------+------------------------+------------------------------------------------+----------+
 ¦Отсутствие члена¦Затруднения при¦Возложение ответственности за ИТ на члена¦ !! ¦
 ¦правления банка,¦оперативном решении¦правления банка будет способствовать оптимизации¦ ¦
 ¦курирующего ИТ ¦проблем ИТ, низкий¦процесса решения проблем и повышению¦ ¦
 ¦ ¦уровень информирования¦эффективности деятельности подразделения ИТ ¦ ¦
 ¦ ¦правления о проблемах в¦ ¦ ¦
 ¦ ¦области ИТ ¦ ¦ ¦
 +---------------------+------------------------+------------------------------------------------+----------+
 ¦Политика ¦Конфиденциальность и¦Мы рекомендуем обновить и детализировать¦ !! ¦
 ¦информационной ¦стабильность ¦официальное положение по информационной¦ ¦
 ¦безопасности банка¦информационных систем¦безопасности. За основу может быть взята¦ ¦
 ¦недостаточно детальна¦имеет большое значение¦следующая структура этого документа. ¦ ¦
 ¦ ¦для деятельности банка.¦Часть 1. Управление информационной¦ ¦
 ¦ ¦Неадекватное управление¦безопасностью. ¦ ¦
 ¦ ¦информационной ¦1.1. Введение. ¦ ¦
 ¦ ¦безопасностью может¦1.2. Обязанности руководства и сотрудников. ¦ ¦
 ¦ ¦привести к финансовым¦1.3. Ключевые позиции. ¦ ¦
 ¦ ¦потерям и раскрытию¦1.4. Основные требования к пользователям ИС. ¦ ¦
 ¦ ¦конфиденциальной ¦1.5. Классификация и анализ рисков. ¦ ¦
 ¦ ¦информации ¦1.6. Классификация информации. ¦ ¦
 ¦ ¦ ¦1.7. Использование сетевого и¦ ¦
 ¦ ¦ ¦телекоммуникационного оборудования. ¦ ¦
 ¦ ¦ ¦1.8. Правила резервирования данных. ¦ ¦
 ¦ ¦ ¦1.9. Поддержка информационной безопасности.¦ ¦
 ¦ ¦ ¦Часть 2. Стандарты информационной защиты. ¦ ¦
 ¦ ¦ ¦2.1. Аппаратная защита. ¦ ¦
 ¦ ¦ ¦2.2. Защита от несанкционированных действий. ¦ ¦
 ¦ ¦ ¦2.3. Программная защита. ¦ ¦
 ¦ ¦ ¦2.4. Защита локальной вычислительной сети. ¦ ¦
 ¦ ¦ ¦2.5. Стандарты информационной безопасности при¦ ¦
 ¦ ¦ ¦разработке и модернизации программ. ¦ ¦
 ¦ ¦ ¦2.6. Информационная защита серверов и¦ ¦
 ¦ ¦ ¦автоматизированных рабочих мест. ¦ ¦
 ¦ ¦ ¦2.7. Взаимодействие с третьими лицами. ¦ ¦
 ¦ ¦ ¦2.8. Хранение данных ¦ ¦
 +---------------------+------------------------+------------------------------------------------+----------+
 ¦Требования временного¦Отсутствие сотрудника,¦Мы рекомендуем назначить администратора по¦ !! ¦
 ¦положения по¦постоянно ¦безопасности в соответствии с существующими¦ ¦
 ¦управлению доступом¦контролирующего ¦требованиями и провести внутреннюю проверку¦ ¦
 ¦не выполняются.¦информационную ¦соблюдения корпоративных норм информационной¦ ¦
 ¦Некоторые требования¦безопасность, может¦безопасности ¦ ¦
 ¦временного положения¦привести к несоблюдению¦ ¦ ¦
 ¦банка об управлении¦внутренних норм в этой¦ ¦ ¦
 ¦доступом ¦области и, как¦ ¦ ¦
 ¦пользователей ¦следствие, к увеличению¦ ¦ ¦
 ¦нарушаются. В¦риска ¦ ¦ ¦
 ¦частности, внутренним¦несанкционированных ¦ ¦ ¦
 ¦положением банка¦действий с информацией ¦ ¦ ¦
 ¦введена позиция¦ ¦ ¦ ¦
 ¦администратора банка,¦ ¦ ¦ ¦
 ¦однако сотрудника,¦ ¦ ¦ ¦
 ¦выполняющего эти¦ ¦ ¦ ¦
 ¦функции, в банке нет.¦ ¦ ¦ ¦
 ¦Также нарушается ряд¦ ¦ ¦ ¦
 ¦положений, ¦ ¦ ¦ ¦
 ¦ограничивающих доступ¦ ¦ ¦ ¦
 ¦к наиболее критичным¦ ¦ ¦ ¦
 ¦информационным ¦ ¦ ¦ ¦
 ¦ресурсам ¦ ¦ ¦ ¦
 +---------------------+------------------------+------------------------------------------------+----------+
 ¦Отсутствие ¦Неадекватный контроль за¦Мы рекомендуем внедрить и использовать¦ !!! ¦
 ¦внутреннего аудита¦ИТ повышает риск сбоя в¦эффективную систему внутреннего контроля при¦ ¦
 ¦информационных систем¦работе ИТ. Отсутствие¦обработке данных. По нашему мнению, банку¦ ¦
 ¦ ¦функции аудита ИС может¦следует предпринять следующие шаги: разработать¦ ¦
 ¦ ¦привести к неточному и¦письменное руководство по проведению аудита ИС; ¦ ¦
 ¦ ¦ненадежному процессу¦назначить внутренних аудиторов; правление должно¦ ¦
 ¦ ¦обработки данных, а¦регулярно анализировать и подтверждать¦ ¦
 ¦ ¦также снизить¦квалификацию и независимость аудиторов;¦ ¦
 ¦ ¦информационную ¦определить объем и частоту проведения¦ ¦
 ¦ ¦безопасность ¦аудиторских проверок, а также методики¦ ¦
 ¦ ¦ ¦проведения аудита; разработать план действий¦ ¦
 ¦ ¦ ¦руководства для устранения существенных¦ ¦
 ¦ ¦ ¦недостатков, отмеченных в отчетах аудиторов. ¦ ¦
 ¦ ¦ ¦Мы рекомендуем проводить внешние независимые¦ ¦
 ¦ ¦ ¦аудиторские проверки ИС по крайней мере раз в¦ ¦
 ¦ ¦ ¦два года, даже если в банке регулярно проводится¦ ¦
 ¦ ¦ ¦внутренний аудит ¦ ¦
 +---------------------+------------------------+------------------------------------------------+----------+
 ¦Большое количество¦Применение различных¦Мы рекомендуем рассмотреть возможность¦ ! ¦
 ¦используемых ¦платформ может привести¦сокращения количества используемых платформ. По¦ ¦
 ¦технологических ¦к проблемам при¦нашему мнению, было бы целесообразно отказаться¦ ¦
 ¦платформ. В ходе¦интеграции данных, а¦от использования, например, платформы Windows NT¦ ¦
 ¦проверки мы отметили,¦также существенно¦ ¦ ¦
 ¦что банк применяет¦усложняет их¦ ¦ ¦
 ¦различные платформы,¦обслуживание и¦ ¦ ¦
 ¦включая Windows NT,¦поддержку. Кроме того,¦ ¦ ¦
 ¦Novell NetWare и¦обслуживание данных¦ ¦ ¦
 ¦Unix. Windows NT¦платформ сопряжено с¦ ¦ ¦
 ¦используется для¦существенными затратами,¦ ¦ ¦
 ¦некоторых специальных¦которые могут быть¦ ¦ ¦
 ¦задач, например для¦снижены при¦ ¦ ¦
 ¦обеспечения услуг¦использовании меньшего¦ ¦ ¦
 ¦внутренней почты.¦количества разнородных¦ ¦ ¦
 ¦Novell NetWare¦платформ ¦ ¦ ¦
 ¦используется как¦ ¦ ¦ ¦
 ¦файловый сервер, a¦ ¦ ¦ ¦
 ¦Unix - для АБС XXX ¦ ¦ ¦ ¦
 +---------------------+------------------------+------------------------------------------------+----------+
 ¦Отсутствие ¦Обслуживание базы данных¦Мы рекомендуем назначить сертифицированного¦ !! ¦
 ¦сертифицированного ¦Oracle требует наличия¦администратора базы данных Oracle (DBA) или¦ ¦
 ¦администратора базы¦определенных навыков и¦организовать специальное обучение¦ ¦
 ¦данных. Мы отметили,¦опыта. Неадекватное¦администраторов Oracle, работающих в настоящее¦ ¦
 ¦что в банке¦обслуживание базы данных¦время в банке ¦ ¦
 ¦отсутствует ¦Oracle может привести к¦ ¦ ¦
 ¦сертифицированный ¦замедлению или даже сбою¦ ¦ ¦
 ¦администратор базы¦в работе этой базы¦ ¦ ¦
 ¦данных Oracle ¦данных ¦ ¦ ¦
 +---------------------+------------------------+------------------------------------------------+----------+
 ¦Использование ¦Дальнейшие разработки в¦Банку следует рассмотреть возможность замены¦ !!! ¦
 ¦неподдерживаемого ¦системе SWIFT не будут¦программного обеспечения, обеспечивающего¦ ¦
 ¦разработчиком ПО.¦поддерживаться ¦интерфейс с системой SWIFT ¦ ¦
 ¦Установленное ¦существующим интерфейсом¦ ¦ ¦
 ¦программное ¦SWIFT ¦ ¦ ¦
 ¦обеспечение для SWIFT¦ ¦ ¦ ¦
 ¦не поддерживается¦ ¦ ¦ ¦
 ¦разработчиком (MERVA)¦ ¦ ¦ ¦
 +---------------------+------------------------+------------------------------------------------+----------+
 ¦Файлы аудита действий¦Несанкционированные ¦Файлы аудита действий пользователей в ЛВС¦ !! ¦
 ¦пользователей ЛВС не¦действия, которые¦(лог-файлы) должны быть активизированы в¦ ¦
 ¦анализируются. Работа¦потенциально могут быть¦операционных системах - Windows NT, Novell¦ ¦
 ¦сотрудников и внешних¦осуществлены ¦NetWare и Unix. Сотрудники службы ИТ или¦ ¦
 ¦консультантов в¦пользователями, не будут¦информационной безопасности должны иметь доступ¦ ¦
 ¦локальной ¦вовремя выявлены ¦к данным файлам и регулярно анализировать их в¦ ¦
 ¦вычислительной сети¦ ¦целях контроля за действиями персонала. Также¦ ¦
 ¦контролируется при¦ ¦можно рекомендовать использование специальных¦ ¦
 ¦помощи файлов аудита¦ ¦программ для анализа и эффективного мониторинга¦ ¦
 ¦(лог-файлов), с¦ ¦действий пользователей. В ходе процесса¦ ¦
 ¦помощью которых¦ ¦резервирования необходимо также периодически¦ ¦
 ¦возможно ¦ ¦создавать резервные копии лог-файлов ¦ ¦

<< Пред.           стр. 8 (из 20)           След. >>

Список литературы по разделу