Аудит безопасности кредитных учрежденийПервым шагом для решения этих задач является проведение аудита информационной безопасности, различные аспекты которого рассматриваются в рамках статьи. Аудит представляет собой периодический, независимый и документированный процесс, целью которого является получение оценки текущего уровня защищенности от возможных внешних и внутренних угроз. В рамках аудита проводится оценка операционных рисков банка, связанных с возможным нарушением информационной безопасности, и вырабатываются предложения по их минимизации до приемлемого уровня. Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может являться руководство банка, служба автоматизации или служба информационной безопасности организации. Аудит безопасности проводится группой экспертов, численность и состав которой зависят от целей и задач обследования, а также сложности объекта оценки. Предпосылки проведения аудита безопасности Причины, по которым проводится аудит безопасности, зависят от тех целей, которые хочет достичь кредитно-финансовая организация в результате реализации данного проекта. Так, аудит может проводиться с целью подготовки технического задания на проектирование и разработку комплексной системы защиты АБС, обеспечивающую эффективное управление операционными рисками. Необходимо отметить, что после внедрения такой системы защиты может проводиться повторный аудит уже с целью оценки ее эффективности. В ряде случаев аудит проводится в целях расследования происшедшего инцидента, связанного с нарушением информационной безопасности. В этом случае аудит носит прецедентный характер и направлен на установление причин происшедшего инцидента и выработку рекомендаций по их устранению. Целью аудита также может являться приведение действующей системы безопасности банка в соответствие требованиям российского или международного законодательства. В России одним из базовых нормативных документов в области информационной безопасности кредитно-финансовых организаций является Стандарт Банка России СТО БР ИББС-1.0, вторая версия которого была введена в действие в начале 2006 г. Основной целью данного Стандарта является установление единых требований по обеспечению информационной безопасности, а также повышение эффективности мероприятий по защите информации. В настоящее время положения Стандарта Банка России носят рекомендательный характер, однако нельзя исключать, что в ближайшем будущем его требования могут стать обязательными для выполнения. Что касается зарубежных нормативных актов, регулирующих банковский сектор, то одним из основных документов этой категории является Соглашение Базель II, принятое Базельским комитетом в 2004 г. Данное Соглашение предъявляет требования к оценке операционных, кредитных и иных рисков, а также резервированию капитала для их покрытия. Реализация положений данного Соглашения требует внедрения комплекса организационных и технических мер, позволяющих минимизировать риски информационной безопасности. Виды аудита безопасности В настоящее время можно выделить следующие основные виды аудита информационной безопасности организаций кредитно-финансовой сферы: - оценка соответствия требованиям Международного стандарта ISO 27001; - оценка соответствия требованиям Стандарта Банка России СТО БР ИББС-1.0; - оценка соответствия требованиям Базельского соглашения Базель II; - инструментальный анализ защищенности, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения АБС; - комплексный аудит, направленный на оценку рисков информационной безопасности. Каждый из вышеперечисленных видов аудита может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить банку. В качестве объекта аудита может выступать как АБС в целом, так и ее отдельные подсистемы, в которых проводится обработка информации, подлежащей защите. В качестве таких подсистем может выступать интранет-портал, узел доступа к сети Интернет, система электронного документооборота, система 'клиент - банк' и др. Состав работ по проведению аудита безопасности В общем случае аудит безопасности вне зависимости от формы его проведения состоит из четырех основных этапов, каждый из которых предусматривает выполнение определенного перечня задач (рис. 1). Основные этапы работ при проведении аудита безопасности 1. Разработка регламента > 2. Сбор исходных данных проведения аудита банка / 4. Разработка рекомендаций 3. Анализ полученных данных по повышению уровня защиты банка безопасности банка Рис. 1 На первом этапе совместно с заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента заключается в определении границ, в рамках которых будет проведено обследование банка. Регламент является тем документом, который позволяет избежать взаимных претензий по завершению аудита, поскольку четко определяет обязанности сторон. Как правило, регламент содержит следующую основную информацию: - состав рабочих групп от исполнителя и заказчика, участвующих в процессе проведения аудита; - состав информационных систем АБС, которые используются для реализации платежных и информационных технологических процессов банка. Именно эти системы будут являться объектами для проведения аудита информационной безопасности; - перечень информации, которая будет предоставлена исполнителю для проведения аудита; - список и местоположение объектов заказчика, подлежащих аудиту; - перечень ресурсов, которые рассматриваются в качестве объектов защиты (информационные активы, программные ресурсы, физические ресурсы, банковские процессы и т.д.); - модель угроз информационной безопасности, на основе которой проводится аудит; - категории пользователей, которые рассматриваются в качестве потенциальных нарушителей. На втором этапе в соответствии с согласованным регламентом осуществляется сбор исходной информации. Методы его осуществления включают интервьюирование сотрудников банка, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, а также использование специализированных инструментальных средств. Структура опросных листов зависит от формы проведения аудита информационной безопасности. Третий этап работ предполагает проведение анализа собранной информации с целью оценки текущего уровня защищенности банка. На данном этапе проводится оценка операционных рисков, связанных с угрозами информационной безопасности. По результатам проведенного анализа на четвертом этапе проводится разработка рекомендаций по повышению уровня защищенности от угроз информационной безопасности. Далее более подробно рассматриваются этапы аудита, связанные со сбором информации, ее анализом и разработкой рекомендаций по повышению уровня защиты банка. Сбор исходных данных для проведения аудита Качество проводимого аудита безопасности во многом зависит от полноты и точности информации, которая была получена в процессе сбора исходных данных. Поэтому информация должна включать в себя: существующую организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении АБС, информацию о средствах защиты, установленных в АБС, и т.д. Сбор исходных данных может осуществляться с использованием следующих методов: - интервьюирование сотрудников заказчика, обладающих необходимой информацией. При этом интервью, как правило, проводится как с техническими специалистами, так и с представителями руководящего звена банка. Привлечение представителей руководящего звена обусловлено необходимостью сбора информации не только технического характера, но и определения бизнес-процессов организации. Необходимо отметить, что перечень вопросов, которые планируется обсудить в процессе интервью, согласовывается заранее; - предоставление опросных листов по определенной тематике, самостоятельно заполняемых сотрудниками заказчика. В тех случаях, когда представленные материалы не полностью дают ответы на необходимые вопросы, проводится дополнительное интервьюирование; - анализ существующей организационно-технической документации, используемой в банке. К такой документации относятся действующая политика информационной безопасности, IT-стратегия банка, регламенты работы с информационными ресурсами, должностные инструкции персонала и т.д.; - использование специализированных программных средств, которые позволяют получить необходимую информацию о составе и настройках программно-аппаратного обеспечения АБС. Оценка уровня информационной безопасности банка После сбора необходимой информации проводится ее анализ с целью оценки текущего уровня защищенности системы. В процессе такого анализа определяются операционные риски информационной безопасности, которым может быть подвержен банк. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять информационным атакам. Обычно выделяют две основные группы методов расчета рисков безопасности. Первая группа позволяет установить уровень риска путем оценки степени соответствия определенному набору требований по обеспечению информационной безопасности. В качестве источников таких требований могут выступать требования Стандарта Банка России. Вторая группа методов оценки рисков информационной безопасности базируется на определении вероятности реализации угрозы, а также уровней их ущерба. В данном случае значение риска вычисляется отдельно для каждой угрозы и в общем случае представляется как произведение вероятности реализации угрозы на величину возможного ущерба от этой угрозы - Риск (а) = Р (а) x Ущерб (а). Значение ущерба определяется собственником информационного ресурса, а вероятность атаки вычисляется группой экспертов, проводящих процедуру аудита. Методы первой и второй группы могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности. В первом случае риск и все его параметры выражаются в числовых значениях. Так, при использовании количественных шкал вероятность реализации угрозы Р (а) может выражаться числом в интервале (0, 1), а ущерб может задаваться в виде денежного эквивалента материальных потерь, которые может понести банк в случае успешного проведения атаки. При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определенный интервал количественной шкалы оценки. Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков. Ах, ы подлый вор, украл мою курсовую работу и выдаешь ее за свою. В табл. 1 и 2 приведены примеры качественных шкал оценки рисков информационной безопасности, в которых для оценки уровней ущерба и вероятности атаки используется пять понятийных уровней. Таблица 1 Качественная шкала оценки уровня ущерба N Уровень Описание ущерба 1 Малый ущерб Приводит к незначительным потерям материальных активов, которые быстро восстанавливаются, или к незначительному влиянию на репутацию банка 2 Умеренный Вызывает заметные потери материальных активов или ущерб приводит к умеренному влиянию на репутацию банка 3 Ущерб Приводит к существенным потерям материальных средней активов или значительному урону репутации банка тяжести 4 Большой Вызывает большие потери материальных активов ущерб и наносит большой урон репутации банка 5 Критический Приводит к критическим потерям материальных ущерб активов или к полной потере репутации компании на рынке, что делает невозможным дальнейшую деятельность банка Таблица 2 Качественная шкала оценки вероятности реализации угрозы N Уровень Описание вероятности 1 Очень Угроза практически никогда не будет реализована. низкая Уровень соответствует числовому интервалу вероятности (0, 0,25) 2 Низкая Вероятность реализации угрозы достаточно низкая. Уровень соответствует числовому интервалу вероятности (0,25, 0,5) 3 Средняя Вероятность реализации угрозы приблизительно равна 0,5 4 Высокая Угроза, скорее всего, будет реализована. Уровень соответствует числовому интервалу вероятности (0,5, 0,75) 5 Очень Угроза почти наверняка будет реализована. Уровень высокая соответствует числовому интервалу вероятности (0,75, 1) Тебе право сдавать работу не давали: скачал, прочитал, пиши сам, на основе этой работы. При использовании качественных шкал для вычисления уровня риска применяются специальные таблицы, в которых в первом столбце задаются понятийные уровни ущерба, а в первой строке - уровни вероятности атаки. Ячейки же таблицы, расположенные на пересечении первой строки и столбца, содержат уровень риска безопасности. Размерность таблицы зависит от количества концептуальных уровней вероятности атаки и ущерба. Пример таблицы, на основе которой можно определить уровень риска, приведен ниже. И вообще тут три предложения, включая это, которые говорят. Что работа скачана из Сети интернет, а не написаны тобою. Таблица 3 Пример таблицы определения уровня риска информационной безопасности Ущерб Вероятность атаки Очень низкая Низкая Средняя Высокая Очень высокая Малый Низкий риск Низкий Низкий Средний Средний риск риск риск риск Умеренный Низкий риск Низкий Средний Средний Высокий риск риск риск риск Средней Низкий риск Средний Средний Средний Высокий риск тяжести риск риск риск Большой Средний риск Средний Средний Средний Высокий риск риск риск риск Критический Средний риск Высокий Высокий Высокий Высокий риск риск риск риск Необходимо отметить, что выбор конкретной методики оценки рисков зависит от формы проведения аудита и специфики АБС банка. Результаты аудита безопасности На последнем этапе проведения аудита разрабатываются рекомендации по совершенствованию организационно-технического обеспечения информационной безопасности банка. Такие рекомендации могут включать в себя следующие типы действий, направленных на минимизацию выявленных рисков: - уменьшение риска за счет использования дополнительных организационных и технических средств защиты, позволяющих снизить вероятность реализации угрозы или уменьшить возможный ущерб от нее. Так, установка межсетевых экранов в точке подключения АБС к сети Интернет позволяет существенно снизить вероятность проведения успешной атаки на общедоступные информационные ресурсы АБС, такие как web-серверы, почтовые серверы и т.д.; - уклонение от риска путем изменения архитектуры или схемы информационных потоков АБС, что позволяет исключить возможность проведения той или иной атаки. Например, физическое отключение от сети Интернет сегмента АБС, в котором обрабатывается конфиденциальная информация, позволяет исключить атаки на конфиденциальную информацию этой сети; - изменение характера риска в результате принятия мер по страхованию. В качестве примеров такого изменения характера риска можно привести страхование оборудования АБС от пожара или страхование информационных ресурсов от возможного нарушения их конфиденциальности, целостности или доступности; - принятие риска в том случае, если он уменьшен до того уровня, на котором не представляет опасности для банка. В большинстве случаев полностью устранить все риски информационной безопасности невозможно, поэтому разработанные рекомендации направлены на их минимизацию до приемлемого остаточного уровня. В завершение процедуры аудита его результаты оформляются в виде отчетного документа, который предоставляется заказчику. В общем случае этот документ состоит из следующих основных разделов: - описание границ, в рамках которых был проведен аудит безопасности; - описание структуры АБС банка; - методы и средства, которые использовались в процессе проведения аудита; - описание выявленных уязвимостей и недостатков, включая уровень их риска; - рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности АБС; - предложения по плану реализации первоочередных мер, направленных на минимизацию выявленных рисков. Выводы по работе Аудит информационной системы банка предоставляет следующие преимущества: - увеличение доверия со стороны инвестиционных компаний, как следствие, рост инвестиционной поддержки на развитие мощностей и совершенствование производственных процессов; - увеличение доверия со стороны страховых компаний на заключение соответствующих договоров о страховании; - повышение стабильности функционирования банка; - предотвращение и (или) снижение ущерба от инцидентов информационной безопасности; - обеспечение прозрачности внутренних процессов. Резюмируя изложенное, можно сказать, что аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищенности банка от различных информационных угроз. |
Педагогика
Социология
Компьютерные сети
Историческая личность
Международные экономические и валютно-кредитные отношения
Экономическая теория, политэкономия, макроэкономика
Музыка
Гражданское право
Криминалистика и криминология
Биология
Бухгалтерский учет
История
Правоохранительные органы
География, Экономическая география
Менеджмент (Теория управления и организации)
Психология, Общение, Человек
Философия
Литература, Лингвистика
Культурология
Политология, Политистория
Химия
Микроэкономика, экономика предприятия, предпринимательство
Право
Конституционное (государственное) право зарубежных стран
Медицина
Финансовое право
Страховое право
Программирование, Базы данных
История государства и права зарубежных стран
История отечественного государства и права
Трудовое право
Технология
Математика
Уголовное право
Транспорт
Радиоэлектроника
Теория государства и права
Экономика и Финансы
Экономико-математическое моделирование
Международное право
Физкультура и Спорт
Компьютеры и периферийные устройства
Техника
Материаловедение
Программное обеспечение
Налоговое право
Маркетинг, товароведение, реклама
Охрана природы, Экология, Природопользование
Банковское дело и кредитование
Биржевое дело
Здоровье
Административное право
Сельское хозяйство
Геодезия, геология
Хозяйственное право
Физика
Международное частное право
История экономических учений
Экскурсии и туризм
Религия
Искусство
Экологическое право
Разное
Уголовное и уголовно-исполнительное право
Астрономия
Военная кафедра
Геодезия
Конституционное (государственное) право России
Таможенное право
Нероссийское законодательство
Ветеринария
Металлургия
Государственное регулирование, Таможня, Налоги
Гражданское процессуальное право
Архитектура
Геология
Уголовный процесс
Теория систем управления
Подобные работы
Организация кредитования юридических лиц (на примере московского филиала ОАО КБ «Сантк-Петербург»)
echo "Примечания _______________________________________________________________________________________________________ Введение Глава 1. Теоретические основы организации кредитования 1.1. Кредитован
Ипотечные кредиты (модели и особенности)
echo "Улучшение жилищных условий - евро ВТБ24 EUR 9.80 – 12.00 % 5 – 25 лет от 0 % Приобретение квартиры или комнаты на вторичном рынке жилья без первоначального взноса. Квартира на втори
Развитие финансовых систем, основанных на рыночных принципах
echo "Успешная реформа коммерческой банковской системы, в свою очередь предполагает одновременное преобразование центральной банковской системы. По крайней мере и в первую очередь при преобразовании ц
Государственные билеты к гос экзаменам по специальности "Финансы и кредит"
echo "Факторы, влияющие на изменение спроса. Эластичность спроса по цене и доходу 3. Предложение товаров и услуг. Закон предложения. Факторы, влияющие на закон предложения. Эластичность предложения
Шпоры для госэкзамена по финансам и кредиту
echo "Покупатель опциона выплачивает его продавцу вознаграждение (премию). Покупатель опциона может реализовать или не реализовать купленное право. В отличие от фьючерса опцион позволяет инвесторам и
Аудит безопасности кредитных учреждений
echo "Первым шагом для решения этих задач является проведение аудита информационной безопасности, различные аспекты которого рассматриваются в рамках статьи. Аудит представляет собой периодический, не
Операции коммерческих банков на валютном рынке
echo "Внешнеэкономические связи, международные валютные и кредитные отношения - неотъемлемая часть мирового хозяйства. Регулирование этих отношений осуществляется через рыночный механизм, а также пос
Реализация денежно-кредитной политики Центральным Банком РФ на современном этапе
echo "Денежно-кредитная политика - очень действенный инструмент воздействия на экономику страны, не нарушающий суверенитета большинства субъектов системы бизнеса. Хотя при этом и происходит ограничени