Реферат: Аудит безопасности кредитных учреждений

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">АУДИТ БЕЗОПАСНОСТИ В КРЕДИТНЫХ ОРГАНИЗАЦИЯХ

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»; mso-bidi-font-family:Arial">

<span Times New Roman",«serif»;mso-fareast-font-family: «Times New Roman»">1.<span Times New Roman"">     

<span Times New Roman",«serif»; mso-bidi-font-family:Arial">Введение___________________________________________________________2

<span Times New Roman",«serif»;mso-fareast-font-family: «Times New Roman»">2.<span Times New Roman"">     

<span Times New Roman",«serif»; mso-bidi-font-family:Arial">Предпосылки проведения аудитабезопасности___________________________2

<span Times New Roman",«serif»;mso-fareast-font-family: «Times New Roman»">3.<span Times New Roman"">     

<span Times New Roman",«serif»; mso-bidi-font-family:Arial">Виды аудитабезопасности____________________________________________3

<span Times New Roman",«serif»;mso-fareast-font-family: «Times New Roman»">4.<span Times New Roman"">     

<span Times New Roman",«serif»; mso-bidi-font-family:Arial">Состав работ по проведению аудитабезопасности________________________3

<span Times New Roman",«serif»;mso-fareast-font-family: «Times New Roman»">5.<span Times New Roman"">     

<span Times New Roman",«serif»; mso-bidi-font-family:Arial">Сбор исходных данных для проведенияаудита___________________________4

<span Times New Roman",«serif»;mso-fareast-font-family: «Times New Roman»">6.<span Times New Roman"">     

<span Times New Roman",«serif»; mso-bidi-font-family:Arial">Результаты аудитабезопасности_______________________________________7

<span Times New Roman",«serif»;mso-fareast-font-family: «Times New Roman»">7.<span Times New Roman"">     

<span Times New Roman",«serif»; mso-bidi-font-family:Arial">Выводы по работе___________________________________________________8

<span Times New Roman",«serif»;mso-fareast-font-family: «Times New Roman»">8.<span Times New Roman"">     

<span Times New Roman",«serif»; mso-bidi-font-family:Arial">Литература_________________________________________________________8

<span Times New Roman",«serif»; mso-bidi-font-family:Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Введение

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">На сегодняшний день автоматизированные банковские системы (АБС) являютсякраеугольным камнем в обеспечении бизнес-процессов практически любой кредитнойорганизации вне зависимости от ее размеров и масштабов деятельности. От того,насколько хорошо защищена АБС от внешних и внутренних угроз, напрямую зависитустойчивость работы банка. Поэтому на определенном этапе развитияинформационной инфраструктуры кредитно-финансовой организации возникаетнеобходимость в оценке текущего уровня защищенности, систематизации действующихмер защиты и разработки стратегии в области информационной безопасности. Первымшагом для решения этих задач является проведение аудита информационнойбезопасности, различные аспекты которого рассматриваются в рамках статьи.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Аудит представляет собой периодический, независимый и документированныйпроцесс, целью которого является получение оценки текущего уровня защищенностиот возможных внешних и внутренних угроз. В рамках аудита проводится оценкаоперационных рисков банка, связанных с возможным нарушением информационнойбезопасности, и вырабатываются предложения по их минимизации до приемлемого уровня.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Как правило, для проведения аудита привлекаются внешние компании,которые предоставляют консалтинговые услуги в области информационнойбезопасности. Инициатором процедуры аудита может являться руководство банка,служба автоматизации или служба информационной безопасности организации. Аудитбезопасности проводится группой экспертов, численность и состав которой зависятот целей и задач обследования, а также сложности объекта оценки.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Предпосылки проведения аудита безопасности

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Причины, по которым проводится аудит безопасности, зависят от тех целей,которые хочет достичь кредитно-финансовая организация в результате реализацииданного проекта. Так, аудит может проводиться с целью подготовки техническогозадания на проектирование и разработку комплексной системы защиты АБС,обеспечивающую эффективное управление операционными рисками. Необходимоотметить, что после внедрения такой системы защиты может проводиться повторныйаудит уже с целью оценки ее эффективности.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">В ряде случаев аудит проводится в целях расследования происшедшегоинцидента, связанного с нарушением информационной безопасности. В этом случаеаудит носит прецедентный характер и направлен на установление причинпроисшедшего инцидента и выработку рекомендаций по их устранению.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Целью аудита также может являться приведение действующей системыбезопасности банка в соответствие требованиям российского или международногозаконодательства. В России одним из базовых нормативных документов в областиинформационной безопасности кредитно-финансовых организаций является СтандартБанка России СТО БР ИББС-1.0, вторая версия которого была введена в действие вначале 2006 г. Основной целью данного Стандарта является установление единыхтребований по обеспечению информационной безопасности, а также повышение эффективностимероприятий по защите информации. В настоящее время положения Стандарта БанкаРоссии носят рекомендательный характер, однако нельзя исключать, что вближайшем будущем его требования могут стать обязательными для выполнения.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Что касается зарубежных нормативных актов, регулирующих банковскийсектор, то одним из основных документов этой категории является СоглашениеБазель II, принятое Базельским комитетом в 2004 г. Данное Соглашениепредъявляет требования к оценке операционных, кредитных и иных рисков, а такжерезервированию капитала для их покрытия. Реализация положений данногоСоглашения требует внедрения комплекса организационных и технических мер,позволяющих минимизировать риски информационной безопасности.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Виды аудита безопасности

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">В настоящее время можно выделить следующие основные виды аудитаинформационной безопасности организаций кредитно-финансовой сферы:

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- оценка соответствия требованиям Международного стандарта ISO 27001;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- оценка соответствия требованиям Стандарта Банка России СТО БР ИББС-1.0;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- оценка соответствия требованиям Базельского соглашения Базель II;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- инструментальный анализ защищенности, направленный на выявление иустранение уязвимостей программно-аппаратного обеспечения АБС;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- комплексный аудит, направленный на оценку рисков информационнойбезопасности.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Каждый из вышеперечисленных видов аудита может проводиться поотдельности или в комплексе в зависимости от тех задач, которые необходиморешить банку. В качестве объекта аудита может выступать как АБС в целом, так иее отдельные подсистемы, в которых проводится обработка информации, подлежащейзащите. В качестве таких подсистем может выступать интранет-портал, узелдоступа к сети Интернет, система электронного документооборота, система«клиент — банк» и др.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Состав работ по проведению аудита безопасности

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">В общем случае аудит безопасности вне зависимости от формы егопроведения состоит из четырех основных этапов, каждый из которыхпредусматривает выполнение определенного перечня задач (рис. 1).

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Основные этапы работ при проведении аудита безопасности

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

┌──────────────────────────┐  ┌──────────────────────────────┐

│ 1. Разработка регламента ├─>│    2. Сбор исходных данных   │

│  проведения аудита банка│  │                              │

└──────────────────────────┘  └───────────────┬──────────────┘

                                             │/

┌──────────────────────────┐  ┌───────────────┴──────────────┐

│4. Разработка рекомендаций│  │ 3. Анализ полученных данных │

│по повышению уровня защиты│<─┤с цельюоценки текущего уровня│

│           банка          │  │     безопасности банка      │

└──────────────────────────┘  └──────────────────────────────┘

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Рис. 1

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">На первом этапе совместно с заказчиком разрабатывается регламент,устанавливающий состав и порядок проведения работ. Основная задача регламентазаключается в определении границ, в рамках которых будет проведено обследованиебанка. Регламент является тем документом, который позволяет избежать взаимныхпретензий по завершению аудита, поскольку четко определяет обязанности сторон.Как правило, регламент содержит следующую основную информацию:

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- состав рабочих групп от исполнителя и заказчика, участвующих впроцессе проведения аудита;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- состав информационных систем АБС, которые используются для реализацииплатежных и информационных технологических процессов банка. Именно эти системыбудут являться объектами для проведения аудита информационной безопасности;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- перечень информации, которая будет предоставлена исполнителю дляпроведения аудита;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- список и местоположение объектов заказчика, подлежащих аудиту;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- перечень ресурсов, которые рассматриваются в качестве объектов защиты(информационные активы, программные ресурсы, физические ресурсы, банковскиепроцессы и т.д.);

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- модель угроз информационной безопасности, на основе которой проводитсяаудит;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- категории пользователей, которые рассматриваются в качествепотенциальных нарушителей.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">На втором этапе в соответствии с согласованным регламентомосуществляется сбор исходной информации. Методы его осуществления включаютинтервьюирование сотрудников банка, заполнение опросных листов, анализпредоставленной организационно-распорядительной и технической документации, атакже использование специализированных инструментальных средств. Структураопросных листов зависит от формы проведения аудита информационной безопасности.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Третий этап работ предполагает проведение анализа собранной информации сцелью оценки текущего уровня защищенности банка. На данном этапе проводитсяоценка операционных рисков, связанных с угрозами информационной безопасности.По результатам проведенного анализа на четвертом этапе проводится разработкарекомендаций по повышению уровня защищенности от угроз информационнойбезопасности.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Далее более подробно рассматриваются этапы аудита, связанные со сбороминформации, ее анализом и разработкой рекомендаций по повышению уровня защитыбанка.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Сбор исходных данных для проведения аудита

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Качество проводимого аудита безопасности во многом зависит от полноты иточности информации, которая была получена в процессе сбора исходных данных. Поэтомуинформация должна включать в себя: существующую организационно-распорядительнуюдокументацию, касающуюся вопросов информационной безопасности, сведения опрограммно-аппаратном обеспечении АБС, информацию о средствах защиты,установленных в АБС, и т.д.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Сбор исходных данных может осуществляться с использованием следующихметодов:

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- интервьюирование сотрудников заказчика, обладающих необходимойинформацией. При этом интервью, как правило, проводится как с техническимиспециалистами, так и с представителями руководящего звена банка. Привлечениепредставителей руководящего звена обусловлено необходимостью сбора информациине только технического характера, но и определения бизнес-процессоворганизации. Необходимо отметить, что перечень вопросов, которые планируетсяобсудить в процессе интервью, согласовывается заранее;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- предоставление опросных листов по определенной тематике,самостоятельно заполняемых сотрудниками заказчика. В тех случаях, когдапредставленные материалы не полностью дают ответы на необходимые вопросы,проводится дополнительное интервьюирование;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- анализ существующей организационно-технической документации,используемой в банке. К такой документации относятся действующая политикаинформационной безопасности, IT-стратегия банка, регламенты работы синформационными ресурсами, должностные инструкции персонала и т.д.;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- использование специализированных программных средств, которыепозволяют получить необходимую информацию о составе и настройкахпрограммно-аппаратного обеспечения АБС.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Оценка уровня информационной безопасности банка

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">После сбора необходимой информации проводится ее анализ с целью оценкитекущего уровня защищенности системы. В процессе такого анализа определяютсяоперационные риски информационной безопасности, которым может быть подверженбанк. Фактически риск представляет собой интегральную оценку того, насколькоэффективно существующие средства защиты способны противостоять информационныматакам.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Обычно выделяют две основные группы методов расчета рисков безопасности.Первая группа позволяет установить уровень риска путем оценки степенисоответствия определенному набору требований по обеспечению информационнойбезопасности. В качестве источников таких требований могут выступать требованияСтандарта Банка России.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Вторая группа методов оценки рисков информационной безопасностибазируется на определении вероятности реализации угрозы, а также уровней ихущерба. В данном случае значение риска вычисляется отдельно для каждой угрозы ив общем случае представляется как произведение вероятности реализации угрозы навеличину возможного ущерба от этой угрозы — Риск (а) = Р (а) x Ущерб (а).Значение ущерба определяется собственником информационного ресурса, авероятность атаки вычисляется группой экспертов, проводящих процедуру аудита.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Методы первой и второй группы могут использовать количественные иликачественные шкалы для определения величины риска информационной безопасности.В первом случае риск и все его параметры выражаются в числовых значениях. Так,при использовании количественных шкал вероятность реализации угрозы Р (а) можетвыражаться числом в интервале (0, 1), а ущерб может задаваться в виде денежногоэквивалента материальных потерь, которые может понести банк в случае успешногопроведения атаки. При использовании качественных шкал числовые значениязаменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню вэтом случае будет соответствовать определенный интервал количественной шкалыоценки. Количество уровней может варьироваться в зависимости от применяемыхметодик оценки рисков.

Ах, ы подлый вор, украл мою курсовую работу и выдаешь ее за свою.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">В табл. 1 и 2 приведены примеры качественных шкал оценки рисковинформационной безопасности, в которых для оценки уровней ущерба и вероятностиатаки используется пять понятийных уровней.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Таблица 1

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Качественная шкала оценки уровня ущерба

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

───┬───────────┬──────────────────────────────────────────────────

 N │  Уровень │                    Описание

   │   ущерба │

───┼───────────┼──────────────────────────────────────────────────

 1 │Малыйущерб│Приводит к незначительным потерям материальных

   │           │активов, которые быстровосстанавливаются, или

   │           │к незначительному влиянию нарепутацию банка

───┼───────────┼──────────────────────────────────────────────────

 2 │Умеренный  │Вызывает заметные потери материальныхактивов или

   │ущерб      │приводит к умеренному влиянию нарепутацию банка

───┼───────────┼──────────────────────────────────────────────────

 3 │Ущерб      │Приводит к существенным потерямматериальных

   │средней    │активов или значительному уронурепутации банка

   │тяжести    │

───┼───────────┼──────────────────────────────────────────────────

 4 │Большой    │Вызывает большие потери материальныхактивов

   │ущерб      │и наносит большой урон репутациибанка

───┼───────────┼──────────────────────────────────────────────────

 5│Критический│Приводит к критическим потерям материальных

   │ущерб      │активов или к полной потеререпутации компании

   │           │на рынке, что делаетневозможным дальнейшую

   │           │деятельность банка

───┴───────────┴──────────────────────────────────────────────────

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Таблица 2

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Качественная шкала оценки вероятности реализации угрозы

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

───┬───────────┬──────────────────────────────────────────────────

 N │  Уровень │                    Описание

   │вероятности│

───┼───────────┼──────────────────────────────────────────────────

 1 │Очень      │Угроза практически никогда небудет реализована.

   │низкая     │Уровень соответствует числовомуинтервалу

   │           │вероятности (0, 0,25)

───┼───────────┼──────────────────────────────────────────────────

 2 │Низкая     │Вероятность реализации угрозыдостаточно низкая.

   │           │Уровень соответствуетчисловому интервалу

   │           │вероятности (0,25, 0,5)

───┼───────────┼──────────────────────────────────────────────────

 3 │Средняя    │Вероятность реализации угрозыприблизительно

   │           │равна 0,5

───┼───────────┼──────────────────────────────────────────────────

 4 │Высокая    │Угроза, скорее всего, будетреализована. Уровень

   │           │соответствует числовомуинтервалу вероятности

   │           │(0,5, 0,75)

───┼───────────┼──────────────────────────────────────────────────

 5 │Очень      │Угроза почти наверняка будетреализована. Уровень

   │высокая    │соответствует числовому интервалувероятности

   │           │(0,75, 1)

───┴───────────┴──────────────────────────────────────────────────

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Тебе право сдавать работу не давали: скачал, прочитал, пиши сам, наоснове этой работы.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">При использовании качественных шкал для вычисления уровня рискаприменяются специальные таблицы, в которых в первом столбце задаются понятийныеуровни ущерба, а в первой строке — уровни вероятности атаки. Ячейки же таблицы,расположенные на пересечении первой строки и столбца, содержат уровень рискабезопасности. Размерность таблицы зависит от количества концептуальных уровнейвероятности атаки и ущерба. Пример таблицы, на основе которой можно определитьуровень риска, приведен ниже.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">И вообще тут три предложения, включая это, которые говорят. Что работаскачана из Сети интернет, а не написаны тобою.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Таблица 3

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Пример таблицы определения уровня риска

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">информационной безопасности

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

────────────┬─────────────────────────────────────────────────────

    Ущерб   │                  Вероятность атаки

           ├────────────┬───────┬───────┬─────────┬──────────────

            │Оченьнизкая│ Низкая│Средняя│ Высокая │Очень высокая

────────────┼────────────┼───────┼───────┼─────────┼──────────────

 Малый      │Низкий риск │Низкий│Низкий │Средний │Средний риск

            │            │риск   │риск  │риск     │

────────────┼────────────┼───────┼───────┼─────────┼──────────────

 Умеренный  │Низкий риск │Низкий│Средний│Средний │Высокий риск

            │            │риск   │риск  │риск     │

────────────┼────────────┼───────┼───────┼─────────┼──────────────

 Средней    │Низкий риск│Средний│Средний│Средний │Высокий риск

 тяжести    │            │риск   │риск  │риск     │

────────────┼────────────┼───────┼───────┼─────────┼──────────────

 Большой    │Среднийриск│Средний│Средний│Средний │Высокий риск

            │            │риск   │риск  │риск     │

────────────┼────────────┼───────┼───────┼─────────┼──────────────

 Критический│Среднийриск│Высокий│Высокий│Высокий │Высокий риск

            │            │риск   │риск  │риск     │

────────────┴────────────┴───────┴───────┴─────────┴──────────────

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Необходимо отметить, что выбор конкретной методики оценки рисков зависитот формы проведения аудита и специфики АБС банка.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Результаты аудита безопасности

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">На последнем этапе проведения аудита разрабатываются рекомендации посовершенствованию организационно-технического обеспечения информационнойбезопасности банка. Такие рекомендации могут включать в себя следующие типыдействий, направленных на минимизацию выявленных рисков:

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- уменьшение риска за счет использования дополнительных организационныхи технических средств защиты, позволяющих снизить вероятность реализации угрозыили уменьшить возможный ущерб от нее. Так, установка межсетевых экранов в точкеподключения АБС к сети Интернет позволяет существенно снизить вероятностьпроведения успешной атаки на общедоступные информационные ресурсы АБС, такиекак web-серверы, почтовые серверы и т.д.;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- уклонение от риска путем изменения архитектуры или схемыинформационных потоков АБС, что позволяет исключить возможность проведения тойили иной атаки. Например, физическое отключение от сети Интернет сегмента АБС,в котором обрабатывается конфиденциальная информация, позволяет исключить атакина конфиденциальную информацию этой сети;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- изменение характера риска в результате принятия мер по страхованию. Вкачестве примеров такого изменения характера риска можно привести страхованиеоборудования АБС от пожара или страхование информационных ресурсов отвозможного нарушения их конфиденциальности, целостности или доступности;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- принятие риска в том случае, если он уменьшен до того уровня, накотором не представляет опасности для банка.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">В большинстве случаев полностью устранить все риски информационной безопасностиневозможно, поэтому разработанные рекомендации направлены на их минимизацию доприемлемого остаточного уровня.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">В завершение процедуры аудита его результаты оформляются в видеотчетного документа, который предоставляется заказчику. В общем случае этотдокумент состоит из следующих основных разделов:

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- описание границ, в рамках которых был проведен аудит безопасности;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- описание структуры АБС банка;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- методы и средства, которые использовались в процессе проведенияаудита;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- описание выявленных уязвимостей и недостатков, включая уровень ихриска;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- рекомендации по совершенствованию комплексной системы обеспеченияинформационной безопасности АБС;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- предложения по плану реализации первоочередных мер, направленных наминимизацию выявленных рисков.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Выводы по работе

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Аудит информационной системы банка предоставляет следующие преимущества:

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- увеличение доверия со стороны инвестиционных компаний, как следствие,рост инвестиционной поддержки на развитие мощностей и совершенствованиепроизводственных процессов;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- увеличение доверия со стороны страховых компаний на заключениесоответствующих договоров о страховании;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- повышение стабильности функционирования банка;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- предотвращение и (или) снижение ущерба от инцидентов информационнойбезопасности;

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">- обеспечение прозрачности внутренних процессов.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Резюмируя изложенное, можно сказать, что аудит информационнойбезопасности является сегодня одним из наиболее эффективных инструментов дляполучения независимой и объективной оценки текущего уровня защищенности банкаот различных информационных угроз. Результаты аудита позволяют сформироватьсистемный подход к реализации стратегии развития системы обеспеченияинформационной безопасности кредитно-финансовой организации. Это даствозможность создать эффективную систему управления операционными рисками, что,в свою очередь, приведет к повышению конкурентоспособности банка.

<span Times New Roman",«serif»;mso-bidi-font-family: Arial">Литература

<span Times New Roman",«serif»;mso-fareast-font-family: «Times New Roman»">1.<span Times New Roman"">     

<span Times New Roman",«serif»; mso-bidi-font-family:Arial"> АнфилатовВ.
еще рефераты
Еще работы по банковскому делу и кредитованию