АУДИТ БЕЗОПАСНОСТИ В КРЕДИТНЫХ ОРГАНИЗАЦИЯХ
1. Введение___________________________________________________________2
2. Предпосылки проведения аудитабезопасности___________________________2
3. Виды аудитабезопасности____________________________________________3
4. Состав работ по проведению аудитабезопасности________________________3
5. Сбор исходных данных для проведенияаудита___________________________4
6. Результаты аудитабезопасности_______________________________________7
7. Выводы по работе___________________________________________________8
8. Литература_________________________________________________________8
Введение
На сегодняшний день автоматизированные банковские системы (АБС) являютсякраеугольным камнем в обеспечении бизнес-процессов практически любой кредитнойорганизации вне зависимости от ее размеров и масштабов деятельности. От того,насколько хорошо защищена АБС от внешних и внутренних угроз, напрямую зависитустойчивость работы банка. Поэтому на определенном этапе развитияинформационной инфраструктуры кредитно-финансовой организации возникаетнеобходимость в оценке текущего уровня защищенности, систематизации действующихмер защиты и разработки стратегии в области информационной безопасности. Первымшагом для решения этих задач является проведение аудита информационнойбезопасности, различные аспекты которого рассматриваются в рамках статьи.
Аудит представляет собой периодический, независимый и документированныйпроцесс, целью которого является получение оценки текущего уровня защищенностиот возможных внешних и внутренних угроз. В рамках аудита проводится оценкаоперационных рисков банка, связанных с возможным нарушением информационнойбезопасности, и вырабатываются предложения по их минимизации до приемлемого уровня.
Как правило, для проведения аудита привлекаются внешние компании,которые предоставляют консалтинговые услуги в области информационнойбезопасности. Инициатором процедуры аудита может являться руководство банка,служба автоматизации или служба информационной безопасности организации. Аудитбезопасности проводится группой экспертов, численность и состав которой зависятот целей и задач обследования, а также сложности объекта оценки.
Предпосылки проведения аудита безопасности
Причины, по которым проводится аудит безопасности, зависят от тех целей,которые хочет достичь кредитно-финансовая организация в результате реализацииданного проекта. Так, аудит может проводиться с целью подготовки техническогозадания на проектирование и разработку комплексной системы защиты АБС,обеспечивающую эффективное управление операционными рисками. Необходимоотметить, что после внедрения такой системы защиты может проводиться повторныйаудит уже с целью оценки ее эффективности.
В ряде случаев аудит проводится в целях расследования происшедшегоинцидента, связанного с нарушением информационной безопасности. В этом случаеаудит носит прецедентный характер и направлен на установление причинпроисшедшего инцидента и выработку рекомендаций по их устранению.
Целью аудита также может являться приведение действующей системыбезопасности банка в соответствие требованиям российского или международногозаконодательства. В России одним из базовых нормативных документов в областиинформационной безопасности кредитно-финансовых организаций является СтандартБанка России СТО БР ИББС-1.0, вторая версия которого была введена в действие вначале 2006 г. Основной целью данного Стандарта является установление единыхтребований по обеспечению информационной безопасности, а также повышение эффективностимероприятий по защите информации. В настоящее время положения Стандарта БанкаРоссии носят рекомендательный характер, однако нельзя исключать, что вближайшем будущем его требования могут стать обязательными для выполнения.
Что касается зарубежных нормативных актов, регулирующих банковскийсектор, то одним из основных документов этой категории является СоглашениеБазель II, принятое Базельским комитетом в 2004 г. Данное Соглашениепредъявляет требования к оценке операционных, кредитных и иных рисков, а такжерезервированию капитала для их покрытия. Реализация положений данногоСоглашения требует внедрения комплекса организационных и технических мер,позволяющих минимизировать риски информационной безопасности.
Виды аудита безопасности
В настоящее время можно выделить следующие основные виды аудитаинформационной безопасности организаций кредитно-финансовой сферы:
– оценка соответствия требованиям Международного стандарта ISO 27001;
– оценка соответствия требованиям Стандарта Банка России СТО БР ИББС-1.0;
– оценка соответствия требованиям Базельского соглашения Базель II;
– инструментальный анализ защищенности, направленный на выявление иустранение уязвимостей программно-аппаратного обеспечения АБС;
– комплексный аудит, направленный на оценку рисков информационнойбезопасности.
Каждый из вышеперечисленных видов аудита может проводиться поотдельности или в комплексе в зависимости от тех задач, которые необходиморешить банку. В качестве объекта аудита может выступать как АБС в целом, так иее отдельные подсистемы, в которых проводится обработка информации, подлежащейзащите. В качестве таких подсистем может выступать интранет-портал, узелдоступа к сети Интернет, система электронного документооборота, система«клиент — банк» и др.
Состав работ по проведению аудита безопасности
В общем случае аудит безопасности вне зависимости от формы егопроведения состоит из четырех основных этапов, каждый из которыхпредусматривает выполнение определенного перечня задач (рис. 1).
Основные этапы работ при проведении аудита безопасности
┌──────────────────────────┐ ┌──────────────────────────────┐
│ 1. Разработка регламента ├─>│ 2. Сбор исходных данных │
│ проведения аудита банка│ │ │
└──────────────────────────┘ └───────────────┬──────────────┘
│/
┌──────────────────────────┐ ┌───────────────┴──────────────┐
│4. Разработка рекомендаций│ │ 3. Анализ полученных данных │
│по повышению уровня защиты│
│ банка │ │ безопасности банка │
└──────────────────────────┘ └──────────────────────────────┘
Рис. 1
На первом этапе совместно с заказчиком разрабатывается регламент,устанавливающий состав и порядок проведения работ. Основная задача регламентазаключается в определении границ, в рамках которых будет проведено обследованиебанка. Регламент является тем документом, который позволяет избежать взаимныхпретензий по завершению аудита, поскольку четко определяет обязанности сторон.Как правило, регламент содержит следующую основную информацию:
– состав рабочих групп от исполнителя и заказчика, участвующих впроцессе проведения аудита;
– состав информационных систем АБС, которые используются для реализацииплатежных и информационных технологических процессов банка. Именно эти системыбудут являться объектами для проведения аудита информационной безопасности;
– перечень информации, которая будет предоставлена исполнителю дляпроведения аудита;
– список и местоположение объектов заказчика, подлежащих аудиту;
– перечень ресурсов, которые рассматриваются в качестве объектов защиты(информационные активы, программные ресурсы, физические ресурсы, банковскиепроцессы и т.д.);
– модель угроз информационной безопасности, на основе которой проводитсяаудит;
– категории пользователей, которые рассматриваются в качествепотенциальных нарушителей.
На втором этапе в соответствии с согласованным регламентомосуществляется сбор исходной информации. Методы его осуществления включаютинтервьюирование сотрудников банка, заполнение опросных листов, анализпредоставленной организационно-распорядительной и технической документации, атакже использование специализированных инструментальных средств. Структураопросных листов зависит от формы проведения аудита информационной безопасности.
Третий этап работ предполагает проведение анализа собранной информации сцелью оценки текущего уровня защищенности банка. На данном этапе проводитсяоценка операционных рисков, связанных с угрозами информационной безопасности.По результатам проведенного анализа на четвертом этапе проводится разработкарекомендаций по повышению уровня защищенности от угроз информационнойбезопасности.
Далее более подробно рассматриваются этапы аудита, связанные со сбороминформации, ее анализом и разработкой рекомендаций по повышению уровня защитыбанка.
Сбор исходных данных для проведения аудита
Качество проводимого аудита безопасности во многом зависит от полноты иточности информации, которая была получена в процессе сбора исходных данных. Поэтомуинформация должна включать в себя: существующую организационно-распорядительнуюдокументацию, касающуюся вопросов информационной безопасности, сведения опрограммно-аппаратном обеспечении АБС, информацию о средствах защиты,установленных в АБС, и т.д.
Сбор исходных данных может осуществляться с использованием следующихметодов:
– интервьюирование сотрудников заказчика, обладающих необходимойинформацией. При этом интервью, как правило, проводится как с техническимиспециалистами, так и с представителями руководящего звена банка. Привлечениепредставителей руководящего звена обусловлено необходимостью сбора информациине только технического характера, но и определения бизнес-процессоворганизации. Необходимо отметить, что перечень вопросов, которые планируетсяобсудить в процессе интервью, согласовывается заранее;
– предоставление опросных листов по определенной тематике,самостоятельно заполняемых сотрудниками заказчика. В тех случаях, когдапредставленные материалы не полностью дают ответы на необходимые вопросы,проводится дополнительное интервьюирование;
– анализ существующей организационно-технической документации,используемой в банке. К такой документации относятся действующая политикаинформационной безопасности, IT-стратегия банка, регламенты работы синформационными ресурсами, должностные инструкции персонала и т.д.;
– использование специализированных программных средств, которыепозволяют получить необходимую информацию о составе и настройкахпрограммно-аппаратного обеспечения АБС.
Оценка уровня информационной безопасности банка
После сбора необходимой информации проводится ее анализ с целью оценкитекущего уровня защищенности системы. В процессе такого анализа определяютсяоперационные риски информационной безопасности, которым может быть подверженбанк. Фактически риск представляет собой интегральную оценку того, насколькоэффективно существующие средства защиты способны противостоять информационныматакам.
Обычно выделяют две основные группы методов расчета рисков безопасности.Первая группа позволяет установить уровень риска путем оценки степенисоответствия определенному набору требований по обеспечению информационнойбезопасности. В качестве источников таких требований могут выступать требованияСтандарта Банка России.
Вторая группа методов оценки рисков информационной безопасностибазируется на определении вероятности реализации угрозы, а также уровней ихущерба. В данном случае значение риска вычисляется отдельно для каждой угрозы ив общем случае представляется как произведение вероятности реализации угрозы навеличину возможного ущерба от этой угрозы — Риск (а) = Р (а) x Ущерб (а).Значение ущерба определяется собственником информационного ресурса, авероятность атаки вычисляется группой экспертов, проводящих процедуру аудита.
Методы первой и второй группы могут использовать количественные иликачественные шкалы для определения величины риска информационной безопасности.В первом случае риск и все его параметры выражаются в числовых значениях. Так,при использовании количественных шкал вероятность реализации угрозы Р (а) можетвыражаться числом в интервале (0, 1), а ущерб может задаваться в виде денежногоэквивалента материальных потерь, которые может понести банк в случае успешногопроведения атаки. При использовании качественных шкал числовые значениязаменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню вэтом случае будет соответствовать определенный интервал количественной шкалыоценки. Количество уровней может варьироваться в зависимости от применяемыхметодик оценки рисков.
Ах, ы подлый вор, украл мою курсовую работу и выдаешь ее за свою.
В табл. 1 и 2 приведены примеры качественных шкал оценки рисковинформационной безопасности, в которых для оценки уровней ущерба и вероятностиатаки используется пять понятийных уровней.
Таблица 1
Качественная шкала оценки уровня ущерба
───┬───────────┬──────────────────────────────────────────────────
N │ Уровень │ Описание
│ ущерба │
───┼───────────┼──────────────────────────────────────────────────
1 │Малыйущерб│Приводит к незначительным потерям материальных
│ │активов, которые быстровосстанавливаются, или
│ │к незначительному влиянию нарепутацию банка
───┼───────────┼──────────────────────────────────────────────────
2 │Умеренный │Вызывает заметные потери материальныхактивов или
│ущерб │приводит к умеренному влиянию нарепутацию банка
───┼───────────┼──────────────────────────────────────────────────
3 │Ущерб │Приводит к существенным потерямматериальных
│средней │активов или значительному уронурепутации банка
│тяжести │
───┼───────────┼──────────────────────────────────────────────────
4 │Большой │Вызывает большие потери материальныхактивов
│ущерб │и наносит большой урон репутациибанка
───┼───────────┼──────────────────────────────────────────────────
5│Критический│Приводит к критическим потерям материальных
│ущерб │активов или к полной потеререпутации компании
│ │на рынке, что делаетневозможным дальнейшую
│ │деятельность банка
───┴───────────┴──────────────────────────────────────────────────
Таблица 2
Качественная шкала оценки вероятности реализации угрозы
───┬───────────┬──────────────────────────────────────────────────
N │ Уровень │ Описание
│вероятности│
───┼───────────┼──────────────────────────────────────────────────
1 │Очень │Угроза практически никогда небудет реализована.
│низкая │Уровень соответствует числовомуинтервалу
│ │вероятности (0, 0,25)
───┼───────────┼──────────────────────────────────────────────────
2 │Низкая │Вероятность реализации угрозыдостаточно низкая.
│ │Уровень соответствуетчисловому интервалу
│ │вероятности (0,25, 0,5)
───┼───────────┼──────────────────────────────────────────────────
3 │Средняя │Вероятность реализации угрозыприблизительно
│ │равна 0,5
───┼───────────┼──────────────────────────────────────────────────
4 │Высокая │Угроза, скорее всего, будетреализована. Уровень
│ │соответствует числовомуинтервалу вероятности
│ │(0,5, 0,75)
───┼───────────┼──────────────────────────────────────────────────
5 │Очень │Угроза почти наверняка будетреализована. Уровень
│высокая │соответствует числовому интервалувероятности
│ │(0,75, 1)
───┴───────────┴──────────────────────────────────────────────────
Тебе право сдавать работу не давали: скачал, прочитал, пиши сам, наоснове этой работы.
При использовании качественных шкал для вычисления уровня рискаприменяются специальные таблицы, в которых в первом столбце задаются понятийныеуровни ущерба, а в первой строке — уровни вероятности атаки. Ячейки же таблицы,расположенные на пересечении первой строки и столбца, содержат уровень рискабезопасности. Размерность таблицы зависит от количества концептуальных уровнейвероятности атаки и ущерба. Пример таблицы, на основе которой можно определитьуровень риска, приведен ниже.
И вообще тут три предложения, включая это, которые говорят. Что работаскачана из Сети интернет, а не написаны тобою.
Таблица 3
Пример таблицы определения уровня риска
информационной безопасности
────────────┬─────────────────────────────────────────────────────
Ущерб │ Вероятность атаки
├────────────┬───────┬───────┬─────────┬──────────────
│Оченьнизкая│ Низкая│Средняя│ Высокая │Очень высокая
────────────┼────────────┼───────┼───────┼─────────┼──────────────
Малый │Низкий риск │Низкий│Низкий │Средний │Средний риск
│ │риск │риск │риск │
────────────┼────────────┼───────┼───────┼─────────┼──────────────
Умеренный │Низкий риск │Низкий│Средний│Средний │Высокий риск
│ │риск │риск │риск │
────────────┼────────────┼───────┼───────┼─────────┼──────────────
Средней │Низкий риск│Средний│Средний│Средний │Высокий риск
тяжести │ │риск │риск │риск │
────────────┼────────────┼───────┼───────┼─────────┼──────────────
Большой │Среднийриск│Средний│Средний│Средний │Высокий риск
│ │риск │риск │риск │
────────────┼────────────┼───────┼───────┼─────────┼──────────────
Критический│Среднийриск│Высокий│Высокий│Высокий │Высокий риск
│ │риск │риск │риск │
────────────┴────────────┴───────┴───────┴─────────┴──────────────
Необходимо отметить, что выбор конкретной методики оценки рисков зависитот формы проведения аудита и специфики АБС банка.
Результаты аудита безопасности
На последнем этапе проведения аудита разрабатываются рекомендации посовершенствованию организационно-технического обеспечения информационнойбезопасности банка. Такие рекомендации могут включать в себя следующие типыдействий, направленных на минимизацию выявленных рисков:
– уменьшение риска за счет использования дополнительных организационныхи технических средств защиты, позволяющих снизить вероятность реализации угрозыили уменьшить возможный ущерб от нее. Так, установка межсетевых экранов в точкеподключения АБС к сети Интернет позволяет существенно снизить вероятностьпроведения успешной атаки на общедоступные информационные ресурсы АБС, такиекак web-серверы, почтовые серверы и т.д.;
– уклонение от риска путем изменения архитектуры или схемыинформационных потоков АБС, что позволяет исключить возможность проведения тойили иной атаки. Например, физическое отключение от сети Интернет сегмента АБС,в котором обрабатывается конфиденциальная информация, позволяет исключить атакина конфиденциальную информацию этой сети;
– изменение характера риска в результате принятия мер по страхованию. Вкачестве примеров такого изменения характера риска можно привести страхованиеоборудования АБС от пожара или страхование информационных ресурсов отвозможного нарушения их конфиденциальности, целостности или доступности;
– принятие риска в том случае, если он уменьшен до того уровня, накотором не представляет опасности для банка.
В большинстве случаев полностью устранить все риски информационной безопасностиневозможно, поэтому разработанные рекомендации направлены на их минимизацию доприемлемого остаточного уровня.
В завершение процедуры аудита его результаты оформляются в видеотчетного документа, который предоставляется заказчику. В общем случае этотдокумент состоит из следующих основных разделов:
– описание границ, в рамках которых был проведен аудит безопасности;
– описание структуры АБС банка;
– методы и средства, которые использовались в процессе проведенияаудита;
– описание выявленных уязвимостей и недостатков, включая уровень ихриска;
– рекомендации по совершенствованию комплексной системы обеспеченияинформационной безопасности АБС;
– предложения по плану реализации первоочередных мер, направленных наминимизацию выявленных рисков.
Выводы по работе
Аудит информационной системы банка предоставляет следующие преимущества:
– увеличение доверия со стороны инвестиционных компаний, как следствие,рост инвестиционной поддержки на развитие мощностей и совершенствованиепроизводственных процессов;
– увеличение доверия со стороны страховых компаний на заключениесоответствующих договоров о страховании;
– повышение стабильности функционирования банка;
– предотвращение и (или) снижение ущерба от инцидентов информационнойбезопасности;
– обеспечение прозрачности внутренних процессов.
Резюмируя изложенное, можно сказать, что аудит информационнойбезопасности является сегодня одним из наиболее эффективных инструментов дляполучения независимой и объективной оценки текущего уровня защищенности банкаот различных информационных угроз. Результаты аудита позволяют сформироватьсистемный подход к реализации стратегии развития системы обеспеченияинформационной безопасности кредитно-финансовой организации. Это даствозможность создать эффективную систему управления операционными рисками, что,в свою очередь, приведет к повышению конкурентоспособности банка.
Литература
1. АнфилатовВ.