Аудит безопасности кредитных учреждений
Реферат - Экономика
Другие рефераты по предмету Экономика
?е объекта аудита может выступать как АБС в целом, так и ее отдельные подсистемы, в которых проводится обработка информации, подлежащей защите. В качестве таких подсистем может выступать интранет-портал, узел доступа к сети Интернет, система электронного документооборота, система "клиент - банк" и др.
Состав работ по проведению аудита безопасности
В общем случае аудит безопасности вне зависимости от формы его проведения состоит из четырех основных этапов, каждый из которых предусматривает выполнение определенного перечня задач (рис. 1).
Основные этапы работ при проведении аудита безопасности
---------------------------¬ -------------------------------¬
¦ 1. Разработка регламента +->¦ 2. Сбор исходных данных ¦
¦ проведения аудита банка ¦ ¦ ¦
L--------------------------- L---------------T---------------
\¦/
---------------------------¬ ----------------+--------------¬
¦4. Разработка рекомендаций¦ ¦ 3. Анализ полученных данных ¦
¦по повышению уровня защиты¦<-+с целью оценки текущего уровня¦
¦ банка ¦ ¦ безопасности банка ¦
L--------------------------- L-------------------------------
Рис. 1
На первом этапе совместно с заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента заключается в определении границ, в рамках которых будет проведено обследование банка. Регламент является тем документом, который позволяет избежать взаимных претензий по завершению аудита, поскольку четко определяет обязанности сторон. Как правило, регламент содержит следующую основную информацию:
- состав рабочих групп от исполнителя и заказчика, участвующих в процессе проведения аудита;
- состав информационных систем АБС, которые используются для реализации платежных и информационных технологических процессов банка. Именно эти системы будут являться объектами для проведения аудита информационной безопасности;
- перечень информации, которая будет предоставлена исполнителю для проведения аудита;
- список и местоположение объектов заказчика, подлежащих аудиту;
- перечень ресурсов, которые рассматриваются в качестве объектов защиты (информационные активы, программные ресурсы, физические ресурсы, банковские процессы и т.д.);
- модель угроз информационной безопасности, на основе которой проводится аудит;
- категории пользователей, которые рассматриваются в качестве потенциальных нарушителей.
На втором этапе в соответствии с согласованным регламентом осуществляется сбор исходной информации. Методы его осуществления включают интервьюирование сотрудников банка, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, а также использование специализированных инструментальных средств. Структура опросных листов зависит от формы проведения аудита информационной безопасности.
Третий этап работ предполагает проведение анализа собранной информации с целью оценки текущего уровня защищенности банка. На данном этапе проводится оценка операционных рисков, связанных с угрозами информационной безопасности. По результатам проведенного анализа на четвертом этапе проводится разработка рекомендаций по повышению уровня защищенности от угроз информационной безопасности.
Далее более подробно рассматриваются этапы аудита, связанные со сбором информации, ее анализом и разработкой рекомендаций по повышению уровня защиты банка.
Сбор исходных данных для проведения аудита
Качество проводимого аудита безопасности во многом зависит от полноты и точности информации, которая была получена в процессе сбора исходных данных. Поэтому информация должна включать в себя: существующую организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении АБС, информацию о средствах защиты, установленных в АБС, и т.д.
Сбор исходных данных может осуществляться с использованием следующих методов:
- интервьюирование сотрудников заказчика, обладающих необходимой информацией. При этом интервью, как правило, проводится как с техническими специалистами, так и с представителями руководящего звена банка. Привлечение представителей руководящего звена обусловлено необходимостью сбора информации не только технического характера, но и определения бизнес-процессов организации. Необходимо отметить, что перечень вопросов, которые планируется обсудить в процессе интервью, согласовывается заранее;
- предоставление опросных листов по определенной тематике, самостоятельно заполняемых сотрудниками заказчика. В тех случаях, когда представленные материалы не полностью дают ответы на необходимые вопросы, проводится дополнительное интервьюирование;
- анализ существующей организационно-технической документации, используемой в банке. К такой документации относятся действующая политика информационной безопасности, IT-стратегия банка, регламенты работы с информационными ресурсами, должностные инструкции персонала и т.д.;
- использование специализированных программных средств, которые позволя?/p>