ИНФОРМАЦИОННЫE ТEХНОЛОГИИ В БАНКE 2003 8

- наличие верификации прав доступа (подтверждения одним пользователем действий другого) и последующего контроля за данными в информационных системах;
- корректность алгоритмов, результатов и периодичности автоматических процедур, которые, как правило, в современных банковских системах осуществляются без участия пользователя (расчет курсовой разницы, процентов по кредитам и депозитам, открытой валютной позиции, консолидация);
- корректность справочных данных, используемых при различных расчетах и операциях в информационных системах (курсы валют, процентные ставки, банковские идентификационные коды).
Направления проверки технологии организации и использования компьютерной обработки данных достаточно разнообразны:
* общая структура служб ИТ и ее соответствие поставленным задачам;
* существование и реализация плана развития информационных технологий, что является необходимым при современном темпе технологических нововведений;
* регламентация действий пользователей информационных систем как часть обязательного и с точки зрения общего управления, и с точки зрения управления качеством регламентирования всех внутренних банковских процессов;
* оценка системы поддержки (сопровождения) пользователей, так как при некачественном сопровождении повышается риск неправильных, ошибочных действий вследствие непонимания особенностей информационных систем;
* технология разработки и внедрения отдельных приложений, которая должна ограничивать банк от использования не соответствующих требованиям пользователей и содержащих большое количество ошибок программных продуктов, а также исключать зависимость от ключевого ИТ-персонала (при собственной разработке);
* технологии проведения отдельных операций с точки зрения их соответствия регламентам, политике информационной безопасности, удобства и эффективности их автоматизации;
* технология работы с особо критичными системами и их участками, прежде всего такими, как платежные терминалы и системы передачи данных между различными программными комплексами;
* наличие системы обеспечения деятельности при возникновении чрезвычайных ситуаций, а именно плана действий резервной вычислительной площадки и возможности быстрого восстановления данных.
Описанный выше подход является первой практической реакцией на требования дня. При более глубоком анализе проблемы становится очевидно, что следует широко (комплексно) подходить к ее решению. Необходимо дать аудиторам (как внутренним, так и внешним) методологию проверки, содержащую программу аудита, основные критичные циклы, систему оценки, возможность делать не только замечания, но и давать рекомендации по улучшению. Но многие аудиторы не имеют специальных технических знаний и самостоятельно не способны разработать методику проверки ИС. С другой стороны, для минимизации рисков в условиях компьютерной обработки данных необходимо не только проводить проверку, аудит ИС, но и правильно построить управление ими, внедрить эффективную систему внутреннего контроля. Что же делать в этой ситуации? К счастью, решение существует - это уже упоминавшийся СоblТ.
Нами были приведены общая схема описанных областей, их составляющие и система взаимодействия, которая в методологии СоblТ называется "золотое правило".
По каждой из областей эта методология содержит детальное описание аудита, рекомендации по оценке и совершенствованию внутреннего контроля, то есть все то, что мы уже отмечали и что так необходимо с точки зрения аудита в условиях компьютерной обработки данных. Методология СоblТ представляет собой набор из нескольких книг: руководство по аудиту, руководство для менеджмента, контрольные процедуры, руководство по внедрению.
Однако следует отметить, что внедрение подобной методологии является сложной задачей и не всегда может быть осуществлено без посторонней консалтинговой помощи. Это связано с тем, что в процессе внедрения необходимо оценить последовательность действий и сформулировать систему приоритетов. Также часто необходим практический опыт организации подобных процессов в других организациях.
Широкое использование информационных технологий в современной организации трансформирует задачи внутреннего и внешнего контроля и аудита, которые все больше переориентируются на компьютерные системы и технологии. Это соотносится с потребностью в аудите, обращенном не столько на проверку достоверности отчетности и соответствия учетных процедур, сколько на предотвращение негативных явлений в деятельности организаций, на глубинный анализ и прогнозирование финансового состояния, управление рисками, в том числе и информационных систем, что в конечном счете еще более укрепляет описанные выше тенденции и подталкивает организации на использование передовых международных подходов в области аудита в условиях компьютерной обработки данных.

Примеры выявленных проблем

Для иллюстрации приведем отчет по результатам аудита информационных систем банка внешним аудитором - крупнейшей международной консалтинговой компанией (табл. 13).

Таблица 13

Отчет по результатам аудита информационных систем банка

----------------------T------------------------T------------------------------------------------T----------¬
¦ Ситуация ¦ Риск ¦ Рекомендация ¦ Приоритет¦
+---------------------+------------------------+------------------------------------------------+----------+
¦ 1 ¦ 2 ¦ 3 ¦ 4 ¦
+---------------------+------------------------+------------------------------------------------+----------+
¦Стратегия ИТ¦Подобная ситуация может¦Мы рекомендуем банку: передать функцию¦ !!! ¦
¦существует, однако ее¦привести к¦стратегического планирования в области ИТ¦ ¦
¦основные направления¦несоответствию целей и¦высшему руководству банка; ¦ ¦
¦не доведены до¦задач ИТ¦распределить обязанности по стратегическому¦ ¦
¦сведения многих¦бизнес-стратегии, что в¦планированию в области ИТ; ¦ ¦
¦работников банка и¦свою очередь может¦формализовать и задокументировать стратегический¦ ¦
¦руководителей ¦привести к¦план в области ИТ, включая определение¦ ¦
¦функциональных ¦неэффективному ¦бизнес-задач и потребностей для ИТ, анализ¦ ¦
¦подразделений ¦использованию бюджета ИТ¦технологических решений и текущей¦ ¦
¦ ¦и повышенным затратам ¦инфраструктуры, оценку требуемых организационных¦ ¦
¦ ¦ ¦изменений и существующих систем, направления¦ ¦
¦ ¦ ¦развития ИТ на срок от 3 до 5 лет; ¦ ¦
¦ ¦ ¦разработать и внедрить процедуры оценки рисков¦ ¦
¦ ¦ ¦ИТ как часть системы корректировки стратегии в¦ ¦
¦ ¦ ¦области ИТ; ¦ ¦
¦ ¦ ¦объединить стратегическое планирование в области¦ ¦
¦ ¦ ¦ИТ с функцией бизнес-планирования; распределить¦ ¦
¦ ¦ ¦ответственность за распространение информации о¦ ¦
¦ ¦ ¦стратегии ИТ по всем функциональным¦ ¦
¦ ¦ ¦подразделениям банка ¦ ¦
+---------------------+------------------------+------------------------------------------------+----------+
¦Низкий уровень¦Отсутствие регламентов и¦Мы рекомендуем разработать и утвердить процедуры¦ !! ¦
¦документирования ¦документирования ¦документирования для основных технических и¦ ¦
¦ключевых процессов в¦ИТ-процедур повышает¦операционных процессов в области ИТ и¦ ¦
¦области ИТ. В ходе¦уровень операционных и¦осуществлять регулярный контроль за выполнением¦ ¦
¦обследования мы¦системных рисков банка.¦этих процедур со стороны руководства банка.¦ ¦
¦отметили, что¦Также при этой ситуации¦Необходимо разработать процедуры, которые¦ ¦
¦отсутствуют ¦затруднен контроль за¦обеспечат возможность последующего контроля за¦ ¦
¦внутренние регламенты¦функционированием ИТ и¦соблюдением указанных процессов и стандартов ИТ ¦ ¦
¦и документирование¦их эффективностью.¦ ¦ ¦
¦большинства ¦Помимо этого, отсутствие¦ ¦ ¦
¦направлений ¦надлежащей документации¦ ¦ ¦
¦деятельности ИТ-служб¦повышает риск¦ ¦ ¦
¦ ¦зависимости от ключевых¦ ¦ ¦
¦ ¦сотрудников службы ИТ,¦ ¦ ¦
¦ ¦их опыта и знаний ¦ ¦ ¦
+---------------------+------------------------+------------------------------------------------+----------+
¦Отсутствие системы¦Неадекватная ¦Мы рекомендуем внедрить систему анализа¦ !! ¦
¦анализа инвестиций в¦инвестиционная политика¦инвестиций в ИТ. Мы полагаем, что политика¦ ¦
¦ИТ. В ходе обзора мы¦резко увеличивает риски¦инвестиций в области ИТ должна включать¦ ¦
¦отметили, что процесс¦дефицита бюджета,¦следующие пункты: определение ответственных за¦ ¦
¦бюджетного ¦конфликта ресурсов¦этот процесс сотрудников банка; ¦ ¦
¦планирования, в том¦/инвестиций, а также¦систему показателей и алгоритм расчета¦ ¦
¦числе и для ИТ,¦риск низкой окупаемости¦инвестиций в области ИТ; ¦ ¦
¦ведется на регулярной¦инвестиций в области ИТ.¦расчет инвестиционной политики в области ИТ и¦ ¦
¦основе. Однако в¦Возможно неэффективное¦окупаемости инвестиций с финансовой и¦ ¦
¦банке отсутствуют¦использование ресурсов¦нефинансовой точек зрения; оценка всех возможных¦ ¦
¦процедуры оценки¦банка. В случае¦альтернативных вариантов инвестиций в ИТ; ¦ ¦
¦эффективности ¦отсутствия ¦анализ передового опыта отрасли при выборе¦ ¦
¦вложений в ИТ,¦предварительного ¦инвестиций в области ИТ; ¦ ¦
¦практика отношения к¦планирования в области¦постоянный процесс совершенствования¦ ¦
¦расходам на ИТ как к¦инвестиций в ИТ высшее¦инвестиционной политики в области ИТ. ¦ ¦
¦внутренним ¦руководство может¦Как дополнительные моменты и показатели, которые¦ ¦
¦инвестициям ¦недооценить их¦необходимо учитывать при осуществлении¦ ¦
¦ ¦значимость для¦инвестиционной политики, мы рекомендуем¦ ¦
¦ ¦деятельности банка и¦анализировать следующие параметры: процент¦ ¦
¦ ¦принимать управленческие¦ИТ-проектов (от общего числа), не укладывающихся¦ ¦
¦ ¦решения, не владея¦в бюджет; ¦ ¦
¦ ¦реальной информацией об¦процент ИТ-проектов, для которых не¦ ¦
¦ ¦отдаче от ИТ ¦производилась предварительная оценка¦ ¦
¦ ¦ ¦эффективности инвестиций; процент ИТ-проектов,¦ ¦
¦ ¦ ¦которые после внедрения не достигли требуемых¦ ¦
¦ ¦ ¦инвестиционных показателей (нормы рентабельности¦ ¦
¦ ¦ ¦и времени самоокупаемости); число ИТ-проектов,¦ ¦
¦ ¦ ¦при осуществлении которых, несмотря на наличие¦ ¦
¦ ¦ ¦утвержденного бюджета, возникли инвестиционные¦ ¦
¦ ¦ ¦конфликты (недостаток или несвоевременность¦ ¦
¦ ¦ ¦инвестиций); ¦ ¦
¦ ¦ ¦время между возникновением отклонения в¦ ¦
¦ ¦ ¦осуществлении проекта и решением этой проблемы¦ ¦
¦ ¦ ¦руководством; процент ИТ-проектов, которые после¦ ¦
¦ ¦ ¦внедрения так и не достигли требуемых¦ ¦
¦ ¦ ¦бизнес-целей ¦ ¦
+---------------------+------------------------+------------------------------------------------+----------+
¦Отсутствие ¦Отсутствие системы¦Мы рекомендуем следующие мероприятия:¦ !!! ¦
¦риск-менеджмента в¦управления рисками ИТ¦сформировать функцию управления рисками внутри¦ ¦
¦области ИТ. Анализ¦может привести к¦подразделения ИТ; ¦ ¦
¦рисков в сфере ИТ¦увеличению числа¦распределить, задокументировать и утвердить на¦ ¦
¦осуществляется только¦проектов, незаконченных¦уровне высшего руководства систему¦ ¦
¦в отдельных, наиболее¦вовремя или вышедших за¦ответственности и процедуры риск-менеджмента; ¦ ¦
¦критичных, случаях на¦рамки бюджета. Это также¦разработать систему классификации и оценки¦ ¦
¦нерегулярной основе.¦приводит к увеличению¦рисков ИС; ¦ ¦
¦При этом не¦количества нештатных¦анализировать результаты ИТ-проектов в ходе и¦ ¦
¦существует ¦ситуаций и сбоев в¦после их завершения с точки зрения управления¦ ¦
¦методологии оценки и¦работе информационных¦рисками; ¦ ¦
¦управления рисками и¦систем. Неадекватное¦сформировать системы превентивных мер,¦ ¦
¦утвержденных ¦управление рисками может¦направленных на предотвращение и снижение рисков¦ ¦
¦внутренних процедур¦подорвать финансовое и¦ ¦ ¦
¦на этот счет ¦стратегическое положение¦ ¦ ¦
¦ ¦банка ¦ ¦ ¦
+---------------------+------------------------+------------------------------------------------+----------+
¦В банке отсутствует¦Низкий уровень¦Создание комитета по ИТ или¦ !! ¦
¦информационно-техно- ¦информирования высшего¦информационно-технологического комитета при¦ ¦
¦логический комитет¦руководства о проблемах¦правлении поможет оптимизировать работу¦ ¦
¦при правлении ¦в области ИТ; проблемы¦подразделения ИТ и упростит процесс¦ ¦
¦ ¦решаются недостаточно¦урегулирования проблем, с которыми сталкивается¦ ¦
¦ ¦оперативно. ¦подразделение ИТ. Комитет по ИТ должен¦ ¦
¦ ¦Неэффективная система¦оперативно решать стратегические задачи в¦ ¦
¦ ¦контроля за ИТ повышает¦области ИТ, а также обеспечивать получение¦ ¦
¦ ¦внутренние риски ¦своевременной ответной реакции (обратную связь).¦ ¦
¦ ¦ ¦Кроме этого, комитет по ИТ будет способствовать¦ ¦
¦ ¦ ¦повышению эффективности контроля за¦ ¦
¦ ¦ ¦деятельностью ИТ-служб ¦ ¦
+---------------------+------------------------+------------------------------------------------+----------+
¦Неэффективное ¦Низкое качество¦Необходимо разработать четкую процедуру,¦ ! ¦
¦построение ¦обслуживания ¦регламентирующую права и обязанности¦ ¦
¦обслуживания ¦пользователей, ¦пользователей и сотрудников ИТ. Мы рекомендуем¦ ¦
¦пользователей ИС. Мы¦неоперативность решения¦разработать базу данных службы технической¦ ¦
¦отметили, что¦проблем и ликвидации¦поддержки с тем, чтобы все заявки пользователей¦ ¦
¦отсутствуют ¦сбоев в информационных¦регистрировались сотрудниками ИТ. Этот¦ ¦
¦внутренние ¦системах. В результате¦внутренний инструмент позволит оптимизировать¦ ¦
¦регламенты, ¦повышается риск сбоя¦деятельность специалистов ИТ и проводить¦ ¦
¦регулирующие ¦систем, который может¦мониторинг их работы. Кроме того, база данных¦ ¦
¦отношения ¦привести к потере¦обеспечит аналитическую информацию об уровне¦ ¦
¦пользователей и¦информации. Отсутствие¦компьютерной подготовки пользователей, наиболее¦ ¦
¦сотрудников ИТ. В¦статистических данных по¦типичных проблемах, а также позволит определить¦ ¦
¦банке отсутствует¦типам и количеству¦те области в организации ИТ и информационных¦ ¦
¦служба технической¦ИТ-проблем затрудняет¦систем, которые необходимо усовершенствовать ¦ ¦
¦поддержки в форме¦принятие управленческих¦ ¦ ¦
¦help-desk с¦решений. Нет возможности¦ ¦ ¦
¦обязательной ¦контролировать и¦ ¦ ¦
¦регистрацией всех¦координировать работу¦ ¦ ¦
¦обращений и четкими¦службы технической¦ ¦ ¦
¦стандартами на время¦поддержки ¦ ¦ ¦
¦и качество обработки¦ ¦ ¦ ¦
¦запросов ¦ ¦ ¦ ¦
¦пользователей. В¦ ¦ ¦ ¦
¦настоящее время¦ ¦ ¦ ¦
¦заявки пользователей¦ ¦ ¦ ¦
¦не регистрируются и¦ ¦ ¦ ¦
¦не анализируются.¦ ¦ ¦ ¦
¦Соответственно не¦ ¦ ¦ ¦
¦осуществляется ¦ ¦ ¦ ¦
¦официальный ¦ ¦ ¦ ¦
¦мониторинг объема¦ ¦ ¦ ¦
¦работы и видов¦ ¦ ¦ ¦
¦проблем, с которыми¦ ¦ ¦ ¦
¦сталкиваются ¦ ¦ ¦ ¦
¦специалисты ИТ ¦ ¦ ¦ ¦
+---------------------+------------------------+------------------------------------------------+----------+
¦Отсутствие члена¦Затруднения при¦Возложение ответственности за ИТ на члена¦ !! ¦
¦правления банка,¦оперативном решении¦правления банка будет способствовать оптимизации¦ ¦
¦курирующего ИТ ¦проблем ИТ, низкий¦процесса решения проблем и повышению¦ ¦
¦ ¦уровень информирования¦эффективности деятельности подразделения ИТ ¦ ¦
¦ ¦правления о проблемах в¦ ¦ ¦
¦ ¦области ИТ ¦ ¦ ¦
+---------------------+------------------------+------------------------------------------------+----------+
¦Политика ¦Конфиденциальность и¦Мы рекомендуем обновить и детализировать¦ !! ¦
¦информационной ¦стабильность ¦официальное положение по информационной¦ ¦
¦безопасности банка¦информационных систем¦безопасности. За основу может быть взята¦ ¦
¦недостаточно детальна¦имеет большое значение¦следующая структура этого документа. ¦ ¦
¦ ¦для деятельности банка.¦Часть 1. Управление информационной¦ ¦
¦ ¦Неадекватное управление¦безопасностью. ¦ ¦
¦ ¦информационной ¦1.1. Введение. ¦ ¦
¦ ¦безопасностью может¦1.2. Обязанности руководства и сотрудников. ¦ ¦
¦ ¦привести к финансовым¦1.3. Ключевые позиции. ¦ ¦
¦ ¦потерям и раскрытию¦1.4. Основные требования к пользователям ИС. ¦ ¦
¦ ¦конфиденциальной ¦1.5. Классификация и анализ рисков. ¦ ¦
¦ ¦информации ¦1.6. Классификация информации. ¦ ¦
¦ ¦ ¦1.7. Использование сетевого и¦ ¦
¦ ¦ ¦телекоммуникационного оборудования. ¦ ¦
¦ ¦ ¦1.8. Правила резервирования данных. ¦ ¦
¦ ¦ ¦1.9. Поддержка информационной безопасности.¦ ¦
¦ ¦ ¦Часть 2. Стандарты информационной защиты. ¦ ¦
¦ ¦ ¦2.1. Аппаратная защита. ¦ ¦
¦ ¦ ¦2.2. Защита от несанкционированных действий. ¦ ¦
¦ ¦ ¦2.3. Программная защита. ¦ ¦
¦ ¦ ¦2.4. Защита локальной вычислительной сети. ¦ ¦
¦ ¦ ¦2.5. Стандарты информационной безопасности при¦ ¦
¦ ¦ ¦разработке и модернизации программ. ¦ ¦
¦ ¦ ¦2.6. Информационная защита серверов и¦ ¦
¦ ¦ ¦автоматизированных рабочих мест. ¦ ¦
¦ ¦ ¦2.7. Взаимодействие с третьими лицами. ¦ ¦
¦ ¦ ¦2.8. Хранение данных ¦ ¦
+---------------------+------------------------+------------------------------------------------+----------+
¦Требования временного¦Отсутствие сотрудника,¦Мы рекомендуем назначить администратора по¦ !! ¦
¦положения по¦постоянно ¦безопасности в соответствии с существующими¦ ¦
¦управлению доступом¦контролирующего ¦требованиями и провести внутреннюю проверку¦ ¦
¦не выполняются.¦информационную ¦соблюдения корпоративных норм информационной¦ ¦
¦Некоторые требования¦безопасность, может¦безопасности ¦ ¦
¦временного положения¦привести к несоблюдению¦ ¦ ¦
¦банка об управлении¦внутренних норм в этой¦ ¦ ¦
¦доступом ¦области и, как¦ ¦ ¦
¦пользователей ¦следствие, к увеличению¦ ¦ ¦
¦нарушаются. В¦риска ¦ ¦ ¦
¦частности, внутренним¦несанкционированных ¦ ¦ ¦
¦положением банка¦действий с информацией ¦ ¦ ¦
¦введена позиция¦ ¦ ¦ ¦
¦администратора банка,¦ ¦ ¦ ¦
¦однако сотрудника,¦ ¦ ¦ ¦
¦выполняющего эти¦ ¦ ¦ ¦
¦функции, в банке нет.¦ ¦ ¦ ¦
¦Также нарушается ряд¦ ¦ ¦ ¦
¦положений, ¦ ¦ ¦ ¦
¦ограничивающих доступ¦ ¦ ¦ ¦
¦к наиболее критичным¦ ¦ ¦ ¦
¦информационным ¦ ¦ ¦ ¦
¦ресурсам ¦ ¦ ¦ ¦
+---------------------+------------------------+------------------------------------------------+----------+
¦Отсутствие ¦Неадекватный контроль за¦Мы рекомендуем внедрить и использовать¦ !!! ¦
¦внутреннего аудита¦ИТ повышает риск сбоя в¦эффективную систему внутреннего контроля при¦ ¦
¦информационных систем¦работе ИТ. Отсутствие¦обработке данных. По нашему мнению, банку¦ ¦
¦ ¦функции аудита ИС может¦следует предпринять следующие шаги: разработать¦ ¦
¦ ¦привести к неточному и¦письменное руководство по проведению аудита ИС; ¦ ¦
¦ ¦ненадежному процессу¦назначить внутренних аудиторов; правление должно¦ ¦
¦ ¦обработки данных, а¦регулярно анализировать и подтверждать¦ ¦
¦ ¦также снизить¦квалификацию и независимость аудиторов;¦ ¦
¦ ¦информационную ¦определить объем и частоту проведения¦ ¦
¦ ¦безопасность ¦аудиторских проверок, а также методики¦ ¦
¦ ¦ ¦проведения аудита; разработать план действий¦ ¦
¦ ¦ ¦руководства для устранения существенных¦ ¦
¦ ¦ ¦недостатков, отмеченных в отчетах аудиторов. ¦ ¦
¦ ¦ ¦Мы рекомендуем проводить внешние независимые¦ ¦
¦ ¦ ¦аудиторские проверки ИС по крайней мере раз в¦ ¦
¦ ¦ ¦два года, даже если в банке регулярно проводится¦ ¦
¦ ¦ ¦внутренний аудит ¦ ¦
+---------------------+------------------------+------------------------------------------------+----------+
¦Большое количество¦Применение различных¦Мы рекомендуем рассмотреть возможность¦ ! ¦
¦используемых ¦платформ может привести¦сокращения количества используемых платформ. По¦ ¦
¦технологических ¦к проблемам при¦нашему мнению, было бы целесообразно отказаться¦ ¦
¦платформ. В ходе¦интеграции данных, а¦от использования, например, платформы Windows NT¦ ¦
¦проверки мы отметили,¦также существенно¦ ¦ ¦
¦что банк применяет¦усложняет их¦ ¦ ¦
¦различные платформы,¦обслуживание и¦ ¦ ¦
¦включая Windows NT,¦поддержку. Кроме того,¦ ¦ ¦
¦Novell NetWare и¦обслуживание данных¦ ¦ ¦
¦Unix. Windows NT¦платформ сопряжено с¦ ¦ ¦
¦используется для¦существенными затратами,¦ ¦ ¦
¦некоторых специальных¦которые могут быть¦ ¦ ¦
¦задач, например для¦снижены при¦ ¦ ¦
¦обеспечения услуг¦использовании меньшего¦ ¦ ¦
¦внутренней почты.¦количества разнородных¦ ¦ ¦
¦Novell NetWare¦платформ ¦ ¦ ¦
¦используется как¦ ¦ ¦ ¦
¦файловый сервер, a¦ ¦ ¦ ¦
¦Unix - для АБС XXX ¦ ¦ ¦ ¦
+---------------------+------------------------+------------------------------------------------+----------+
¦Отсутствие ¦Обслуживание базы данных¦Мы рекомендуем назначить сертифицированного¦ !! ¦
¦сертифицированного ¦Oracle требует наличия¦администратора базы данных Oracle (DBA) или¦ ¦
¦администратора базы¦определенных навыков и¦организовать специальное обучение¦ ¦
¦данных. Мы отметили,¦опыта. Неадекватное¦администраторов Oracle, работающих в настоящее¦ ¦
¦что в банке¦обслуживание базы данных¦время в банке ¦ ¦
¦отсутствует ¦Oracle может привести к¦ ¦ ¦
¦сертифицированный ¦замедлению или даже сбою¦ ¦ ¦
¦администратор базы¦в работе этой базы¦ ¦ ¦
¦данных Oracle ¦данных ¦ ¦ ¦
+---------------------+------------------------+------------------------------------------------+----------+
¦Использование ¦Дальнейшие разработки в¦Банку следует рассмотреть возможность замены¦ !!! ¦
¦неподдерживаемого ¦системе SWIFT не будут¦программного обеспечения, обеспечивающего¦ ¦
¦разработчиком ПО.¦поддерживаться ¦интерфейс с системой SWIFT ¦ ¦
¦Установленное ¦существующим интерфейсом¦ ¦ ¦
¦программное ¦SWIFT ¦ ¦ ¦
¦обеспечение для SWIFT¦ ¦ ¦ ¦
¦не поддерживается¦ ¦ ¦ ¦
¦разработчиком (MERVA)¦ ¦ ¦ ¦
+---------------------+------------------------+------------------------------------------------+----------+
¦Файлы аудита действий¦Несанкционированные ¦Файлы аудита действий пользователей в ЛВС¦ !! ¦
¦пользователей ЛВС не¦действия, которые¦(лог-файлы) должны быть активизированы в¦ ¦
¦анализируются. Работа¦потенциально могут быть¦операционных системах - Windows NT, Novell¦ ¦
¦сотрудников и внешних¦осуществлены ¦NetWare и Unix. Сотрудники службы ИТ или¦ ¦
¦консультантов в¦пользователями, не будут¦информационной безопасности должны иметь доступ¦ ¦
¦локальной ¦вовремя выявлены ¦к данным файлам и регулярно анализировать их в¦ ¦
¦вычислительной сети¦ ¦целях контроля за действиями персонала. Также¦ ¦
¦контролируется при¦ ¦можно рекомендовать использование специальных¦ ¦
¦помощи файлов аудита¦ ¦программ для анализа и эффективного мониторинга¦ ¦
¦(лог-файлов), с¦ ¦действий пользователей. В ходе процесса¦ ¦
¦помощью которых¦ ¦резервирования необходимо также периодически¦ ¦
¦возможно ¦ ¦создавать резервные копии лог-файлов ¦ ¦

<< Пред. стр. 8 (из 20) След. >>

Список литературы по разделу