Примеры выявленных проблем

Для иллюстрации приведем отчет (табл. 9.9) по результатам аудита информа­ционных систем банка, проведенный внешним аудитором — международной консалтинговой компанией.

Таблица 9.9

Отчет по результатам аудита информационных систем банка

Ситуация

Риск

Рекомендация

Приоритет

Стратегия ИТ су­ществует, однако ее основные направ­ления не доведены до сведения многих работников банка и руководителей функ­циональных подраз­делений

Подобная ситуация может привести к несоответствию целей и задач ИТ и бизнес - стратегии, что, в свою оче­редь, может привести к неэффективному использо­ванию бюджета ИТ и повы­шенным затратам

Передать функцию стратегического пла­нирования в области ИТ высшему руко­водству банка.

Распределить обязанности по стратегиче­скому планированию в области ИТ. Фор­мализовать и задокументировать стра­тегический план в области ИТ, включая определение задач и потребностей для ИТ, анализ технологических решений и текущей инфраструктуры, оценку требуе­мых организационных изменений и суще­ствующих систем, направления развития ИТ на срок от трех до пяти лет. Разрабо­тать и внедрить процедуры оценки ри­сков ИТ как часть системы корректировки стратегии в области ИТ. Объединить стра­тегическое планирование в области ИТ с функцией бизнес-планирования. Распределить ответственность за рас­пространение информации о стратегии ИТ по всем функциональным подразде­лениям банка

Высокий

Низкий уровень доку­ментирования клю­чевых процессов в об­ласти ИТ

В ходе обследования мы отметили, что от­сутствуют внутрен­ние регламенты и документирование большинства направ­лении деятельности ИТ-служб

Отсутствие регламентов и документирования ИТ- процедур повышает уро­вень операционных и си­стемных рисков банка. При этой ситуации затруднен также контроль за функцио­нированием ИТ и их эффек­тивностью. Помимо этого отсутствие надлежащей до­кументации повышает риск зависимости от ключевых сотрудников службы ИТ, их опыта и знаний

Разработать и утвердить процедуры документирования для основных тех­нических и операционных процессов в области ИТ и осуществлять регулярный контроль за выполнением этих процедур со стороны руководства банка. Необхо­димо разработать процедуры, которые обеспечат возможность последующего контроля за соблюдением указанных процессов и стандартов ИТ

Средний

Отсутствие систе­мы анализа инвести­ций в ИТ

В ходе обзора мы от­метили, что процесс бюджетного планиро­вания, в том числе и для ИТ, ведется на ре­гулярной основе. Однако в банке от­сутствуют процедуры оценки эффективности вложений в ИТ, прак­тика отношения к рас­ходам на ИТ как к вну­тренним инвестициям

Неадекватная инвестици­онная политика резко уве­личивает риски дефицита бюджета, конфликта ресур - сов/инвестиций, а также риск низкой окупаемости инвестиций в области ИТ. Возможно неэффективное использование ресурсов банка.

В случае отсутствия пред­варительного планирова­ния в области инвестиций в ИТ высшее руководство может недооценить их зна­чимость для деятельности

Внедрить систему анализа инвестиций в ИТ. Полагаем, что политика инвестиций в области ИТ должна включать следую­щие пункты:

• определение ответственных за этот процесс сотрудников банка;

• систему показателей и алгоритм их рас­чета для инвестиций в области ИТ;

• расчет инвестиционной политики в об­ласти ИТ и окупаемости инвестиций с финансовой и нефинансовой точек зре­ния;

• оценку всех возможных альтернатив­ных вариантов инвестиций в ИТ;

• анализ передового опыта отрасли при выборе инвестиций в области ИТ;

Продолжение табл. 9.9

Ситуация

Риск

Рекомендация

Приоритет

банка и принимать управ­ленческие решения, не владея реальной информа­цией об отдаче от ИТ

• постоянный процесс совершенствова­ния инвестиционной политики в ней.

Как дополнительные моменты и пока­затели, которые необходимо учитывать при осуществлении инвестиционной по­литики, рекомендуем анализировать сле­дующие параметры:

• процент ИТ-проектов (от общего числа), не укладывающихся в бюджет;

• процент ИТ-проектов, для которых не производилась предварительная оцен­ка эффективности инвестиций;

• процент ИТ-проектов, которые после внедрения не достигли требуемых инвестиционных показателей (нормы рентабельности и времени самооку­паемости);

• число ИТ-проектов, при осуществлении которых, несмотря на наличие утверж­денного бюджета, возникли инвести­ционные конфликты (недостаток или несвоевременность инвестиций);

• время между возникновением откло­нения в осуществлении проекта и ре­шением этой проблемы руководством;

• процент ИТ-проектов, которые после внедрения так и не достигли требуемых бизнес-целей

Отсутствие риск- менеджмента в обла­сти ИТ

Анализ рисков в сфе­ре ИТ осуществляется только в отдельных, наиболее критиче­ских случаях на нере­гулярной основе. При этом не существует методологии оценки и управления риска­ми и утвержденных внутренних процедур на этот счет

Отсутствие системы управ­ления рисками ИТ может привести кувеличению чис­ла проектов, не закончен­ных вовремя или вышед­ших за рамки бюджета. Это также приводит к увеличе­нию количества нештатных ситуаций и сбоев в работе информационных систем. Неадекватное управление рисками может подорвать финансовое и стратегиче­ское положение банка

Сформировать функцию управления рисками внутри подразделения ИТ. Рас­пределить, задокументировать и утвер­дить на уровне высшего руководства систему ответственности процедуры риск-менеджмента. Разработать систе­му классификации и оценки рисков ИС. Анализировать результаты ИТ-проектов в ходе и после их завершения с точки зрения управления рисками. Сформиро­вать системы превентивных мер, направ­ленных на предотвращение и снижение рисков

Высокий

Продолжение табл. 9.9

Ситуация

Риск

Рекомендация

Приоритет

В банке отсутству­ет информационно - технологический комитет при правлении

Низкий уровень информи­рования высшего руковод­ства о проблемах в области ИТ; проблемы решаются недостаточно оперативно. Неэффективная система контроля за ИТ повышает внутренние риски

Создание комитета по ИТ или информа­ционно-технологического комитета при правлении поможет оптимизировать ра­боту подразделения ИТ и упростит про­цесс урегулирования проблем, с кото­рыми сталкивается это подразделение. Такой комитет должен оперативно ре­шать стратегические задачи в области ИТ, а также обеспечивать получение своев­ременной ответной реакции (обратную связь). Кроме того, комитет будет спо­собствовать повышению эффективности контроля за деятельностью ИТ-служб

Средний

Неэффективное по­строение обслужива­ния пользователей ИС

Отметим, что отсут­ствуют внутренние регламенты, регули­рующие отношения пользователей и сотрудников ИТ.

В банке отсутствует служба технической поддержки в форме «help-desk» с обяза­тельной регистраци­ей всех обращений и четкими стандар­тами на время и качество обработки запросов пользова­телей. В настоящее время их заявки не регистрируются и не анализируются. Соответственно, не осуществляется офи­циальный монито­ринг объема работы и видов проблем, с которыми сталкива­ются специалисты ИТ

Низкое качество обслужи­вания пользователей, не­оперативность решения проблем и ликвидации сбоев в информационных системах. В результате по­вышается риск сбоя систем, который может привести к потере информации. Отсут­ствие статистических дан­ных по типам и количеству ИТ-проблем затрудняет при­нятие управленческих ре­шений. Нет возможности контролировать и коорди­нировать работу службы технической поддержки

Необходимо разработать четкую проце­дуру, регламентирующую права и обязан­ности пользователей и сотрудников ИТ. Разработать базу данных службы тех­нической поддержки с тем, чтобы все заявки пользователей регистрирова­лись сотрудниками ИТ. Этот внутренний инструмент позволит оптимизировать работу специалистов ИТ и проводить ее мониторинг. Кроме того, такая база обеспечит аналитическую информацию об уровне компьютерной подготовки пользователей, наиболее типичных про­блемах, а также позволит определить те области в организации ИТ и информаци­онных систем, которые необходимо усо­вершенствовать

Низкий

Отсутствие члена правления банка, ку­рирующего ИТ

Затруднения при оператив­ном решении проблем ИТ, низкий уровень информи­рования правления о про­блемах в области ИТ

Возложение ответственности за ИТ на члена правления банка будет способ­ствовать оптимизации процесса решения проблем и повышению эффективности деятельности подразделения ИТ

Средний

Политика информа­ционной безопасно­сти банка недоста­точно детальна

Конфиденциальность и ста­бильность информационных систем имеет большое зна­чение для деятельности банка.

Обновить и детализировать официаль­ное положение по информационной без­опасности. За основу может быть взята следующая структура этого документа.

Средний

Продолжение табл. 9.9

Ситуация

Риск

Рекомендация

Приоритет

Неадекватное управление инОормационной безопас­ностью может привести к финансовым потерям и рас­крытию конфиденциальной иноормации

Часть 1. Управление информационной безопасностью.

1.1. Введение.

1.2. Обязанности руководства и сотруд­ников.

1.3. Ключевые позиции.

1.4. Основные требования к пользова­телям ИС.

1.5. Классификация и анализ рисков.

1.6. Классификация информации.

1.7. Использование сетевого и телеком­муникационного оборудования.

1.8. Правила резервирования данных.

1.9. Поддержка информационной безо­пасности.

Часть 2. Стандарты информационной за­щиты.

2.1. Аппаратная защита.

2.2. Защита от несанкционированных действий.

2.3. Программная защита.

2.4. Защита локальной вычислительной сети.

2.5. Стандарты информационной безо­пасности при разработке и модер­низации программ.

2.6. Информационная защита серверов и автоматизированных рабочих мест.

2.7. Взаимодействие с третьими лицами.

2.8. Хранение данных

Требования «Внутрен - него положения по управлению досту­пом» не выполняются. Внутренним по­ложением банка введена позиция его администратора, одна­ко сотрудника, выпол­няющего эти функции, нет. Нарушается также ряд положений, огра­ничивающих доступ к наиболее критичным информационным ресурсам

Отсутствие сотрудника, по­стоянно контролирующего иноормационную безопас­ность, может привести к несоблюдению внутренних норм в этой области и как следствие — к увеличению риска несанкционирован­ных действий с информа­цией

Назначить администратора по безопас­ности в соответствии с существующими требованиями и провести внутреннюю проверку соблюдения корпоративных норм информационной безопасности

Средний

Отсутствие внутрен­него аудита информа­ционных систем

Неадекватный контроль за ИТ повышает риск сбоя в их работе. Отсутствие функции аудита ИС может привести к неточному и ненадежному процессу обработки дан­ных, а также снизить инфор­мационную безопасность

Внедрить и использовать эффективную систему внутреннего контроля при обра­ботке данных. По нашему мнению, банку следует предпринять следующие шаги:

• разработать письменное руководство по проведению аудита ИС;

• назначить внутренних аудиторов;

Средний

Продолжение табл. 9.9

Ситуация

Риск

Рекомендация

Приоритет

• правление должно регулярно анализи­ровать и подтверждать квалификацию и независимость аудиторов;

• определить объем и частоту проведе­ния аудиторских проверок, а также ме­тодики проведения аудита;

• разработать план действий руководства для устранения существенных недостат­ков, отмеченных в отчетах аудиторов.

Проводить внешние независимые ауди­торские проверки ИС по крайней мере раз в два года, даже если в банке регуляр­но проводится внутренний аудит

Большое количество используемых техно­логических платформ В ходе проверки от­мечено, что банк при­меняет различные платформы, включая Windows NT, Novell NetWare и UNIX. Windows NT исполь­зуется для некоторых специальных задач, например для обе­спечения услуг вну­тренней почты. Novell NetWare используется как файловый сервер, a UNIX —для АБС XXX

Применение различных платформ может привести к проблемам при интегра­ции данных, а также суще­ственно усложняет их об­служивание и поддержку. Кроме того, обслуживание данных платформ сопряже­но с существенными затра­тами, которые могут быть снижены при использова­нии меньшего количества разнородных платформ

Рассмотреть возможность сокращения количества используемых платформ. По нашему мнению, было бы целесообразно отказаться от использования, например, платформы Windows NT

Низкий

Отсутствие серти­фицированного ад­министратора базы данных

Отметим, что в банке отсутствует сертифицированный администратор базы данных Oracle

Обслуживание базы дан­ных Oracle требует нали­чия определенных навы­ков и опыта. Неадекватное обслуживание этой базы данных может привести к замедлению или даже сбою в ее работе

Назначить сертифицированного ад­министратора базы данных Oracle или организовать специальное обучение ад­министраторов Oracle, работающих в на­стоящее время в банке

Средний

Использование не под­держиваемого разра­ботчиком ПО Установленное про­граммное обеспе­чение для SWIFT не поддерживается раз­работчиком (MERVA)

Дальнейшие разработки в системе SWIFT не будут поддерживаться существу­ющим интерфейсом SWIh 1

Банку следует рассмотреть возможность замены программного обеспечения ин­терфейса с системой SWIFT

Высокий

Файлы аудита дей­ствий пользователей ЛВС не анализируются Работа сотрудников и внешних консультантов

Несанкционированные действия, которые потенци­ально могут быть осущест­влены пользователями, не будут вовремя выявлены

Файлы аудита действий пользователей в ЛВС (лог-файлы) должны быть акти­визированы в операционных системах Windows NT, Novell NetWare и UNIX. Со­трудники службы ИТ или информационной

Средний

Продолжение табл. 9.9

Ситуация

Риск

Рекомендация

Приоритет

в локальной вы­числительной сети контролируются при помощи файлов аудита (лог-файлов), с помощью которых возможно прото­колирование всех действий пользо­вателей. Однако сотрудники ИТ не имеют возможности регулярно анализиро вать информацию о работе пользовате­лей в основном из-за нехватки кадровых ресурсов

безопасности должны иметь доступ к данным файлам и регулярно анализиро­вать их в целях контроля за действиями персонала. Можно также рекомендовать использование специальных программ для анализа и эффективного мониторин­га действий пользователей. В ходе про­цесса резервирования необходимо пе­риодически создавать резервные копии лог-файлов

Передача конфиден­циальных данных по открытым каналам В настоящее время банк и его филиалы обмениваются инфор­мацией через открытые каналы, не защищен­ные криптографически­ми механизмами

Передача информации через открытые каналы повышает риск несанкцио­нированного доступа, мо - диоикации, раскрытия или потери информации

Для защиты информации при передаче по внешним каналам связи необходимо применять соответствующие процедуры криптографической защиты

Высокий

Доступ к директории платежей

В ходе нашего обзора мы отметили, что четыре сотрудника расчетного отдела имеют доступ к ди­ректории платежей ЦБ РФ. Кроме того, к указанной директо­рии имеют доступ не­которые сотрудники подразделения ИТ

Данный факт повышает риск несанкционирован­ного доступа к платежной системе и мошенничества при осуществлении пла­тежных операций банка

Ограничить существующие права досту­па к критичным сетевым директориям. Права доступа к директории, предназна­ченной для отправки платежей в ЦБ РФ, должны быть предоставлены только тем сотрудникам, которые работают с указан­ной директорией в ходе выполнения воз­ложенных на них функций. Сотрудники ИТ должны быть лишены права доступа к ней

Высокий

Недостаточная дли­на паролей Отметим, что не­которые сотрудники ИТ не ВЫПОЛНЯЮТ заявленных вну­тренними регламен­тами требований к количеству символов пароля к ИС. Один из сотрудников службы ИТ использует

Пароли с несоответствую­щей длиной повышают риск несанкционированно­го доступа к базе данных, что, в свою очередь, может привести к несанкциони­рованному раскрытию или изменению информации

Провести проверку соблюдения пароль­ной политики и не допускать использо­вания паролей менее чем из шести сим­волов

Высокий

Продолжение табл. 9.9

Ситуация

Риск

Рекомендация

Приоритет

пароль для системы «Новая Афина», состоящий из трех символов. При этом он имеет полный до­ступ к базе данных

Доступ в серверную комнату не ограничен должным образом Серверы располо­жены в комнате, ко­торая запирается на стандартный замок. Как правило, дверь серверной комнаты не закрывается. Су­ществует свободный доступ к компью­терам и ключевым системам

Повышается риск несанк­ционированного доступа к критичному компьютер­ному оборудованию

Серверная комната должна закрываться при помощи электронного замка. Следу­ет рассмотреть возможность установки системы видеонаблюдения

Высокий

Физический доступ к платежным тер­миналам SWIFT и ру­блевых платежей не ограничен Данные терминалы расположены в большом зале, доступ в который практи­чески не ограничен. Здесь функционируют четыре различных подразделения, не имеющих отношения к терминалам. Кроме того, там же находится копировальный ап­парат, используемый сотрудниками банка, и производится обслу­живание клиентов

Данная ситуация повышает риск несанкционирован­ного доступа к функции внешних платежей и повы­шает возможность несанк­ционированных переводов денежных средств от име­ни банка

Ограничить физический доступ к указан­ным терминалам исключительно уполно­моченными сотрудниками. Терминалы SWIFT и терминал рублевых платежей должны быть расположены в отдельной комнате. Следует рассмотреть возмож­ность установки системы видеонаблюде­ния за терминалами

Высокий

Хранение ключевых дискет не соответ­ствует требованиям

В ходе обзора от­мечено, что ключевая дискета программы отправки рублевых платежей «Конва» не хранится в сейфе, как того требуют внутрен­ние положения банка и инструкции ЦБ РФ

Повышается риск несанк­ционированного доступа к платежным терминалам

Ключевая дискета должна храниться в сейфе

Высокий

Окончание табл. 9.9

Ситуация

Риск

Рекомендация

Приоритет

В банке отсутству­ет план действий на случай чрезвычайной ситуации В настоящее время ИТ-службой разра­ботан ряд отдельных мер по восстанов­лению данных и замене оборудования в случае его выхода из строя. Однако на сегодняшний момент не существует плана восстановления ком­пьютерных систем в случае чрезвычайных ситуаций

Компьютерные системы банка являются важным компонентом в его успеш­ной операционной дея­тельности, и, если в них произойдет продолжитель­ный сбой, это может ска­заться самым негативным образом на его деятельно­сти и привести к дополни­тельным потерям

Провести анализ возможных рисков деятельности банка, определить наи­более критические сферы деятельности и подготовить общий порядок действий сотрудников банка при возникновении чрезвычайных ситуаций. Такой порядок действий должен предусматривать чет­кое распределение ответственности между специалистами банка по восста­новлению работоспособности системы, примерный перечень действий, возмож­ные причины возникновения ситуации, а также масштаб возможных потерь для деятельности банка. Разработанный до­кумент должен быть утвержден руковод­ством банка и доведен до сведения всех ответственных специалистов

Средний

Отсутствие сторон­него хранения резерв­ных копий данных В банке внедрены процедуры создания резервных файлов. Однако все резерв­ные копии хранятся в этом же здании

Ввиду того, что все резерв­ные файлы хранятся в одном и том же здании, аварийная ситуация, например пожар в здании, может полностью уничтожить критичную ин­формацию. В результате этого банку, возможно, при­дется приостановить свои операции

Хранить резервные копии за пределами основного здания банка (например, на территории удаленного отделения или филиала, в арендованной банковской ячейке и т. п.)

Средний

Серверная комната не оборудована про­тивопожарной газо­вой системой

Риск повреждения или вы­хода из строя ключевого оборудования в случае по­жара возрастает

• Разработать и протестировать план ту­шения пожара и эвакуации ключевого оборудования.

• Обеспечить наличие автоматической газовой системы пожаротушения в сер­верных комнатах

Высокий

Комментарии закрыты.