IT-аудит и IT-безопасность

    Эффективная работа IТ-подразделения – один из ключевых факторов успеха финансовой организации. Для результативного и бесперебойного использования IТ-решений, которые обеспечивают поддержку и развитие бизнеса, необходим регулярный анализ состояния IТ-инфраструктуры с целью выявления возможных проблем, реализации плана по их устранению и оптимизации решения с точки зрения бизнес - потребностей банка. Аудит может проводиться как одна из составляющих частей аудита информационных технологий (IТ), либо выделяться отдельным самостоятельным блоком для обследования.

В настоящее время для банков и финансовых организаций все чаще встаёт вопрос о защите информации, единственным решением которого является проведение аудита информационной безопасности (ИБ). Результатом аудита информационной безопасности являются рекомендации по устранению уязвимостей и минимизации риска информационной системы, который может привести к ущербу компании.

Цель

· проведение детального анализа состояния IТ инфраструктуры, информационных систем, ключевых IТ процессов и персонала на соответствие международным стандартам, требованиям бизнеса, современным нормам, технологиям и подходам,.

· выработка рекомендаций по оптимизации и дальнейшему развитию IТ для решения задач сокращения затрат на сопровождение и развитие информационных систем, повышения эффективности их работы и оптимизации расходов.

· проведение анализа и выявление рисков информационной безопасности, связанных с возможностью осуществления угроз в отношении ресурсов информационных систем, степени устойчивости к нежелательным событиям, оценка текущего уровня защищенности и локализация узких мест в системе защиты.

· оценка соответствия информационных систем существующим стандартам в области IT -безопасности, а также выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности информационных систем.

Наш подход

Как правило, при проведении аудита IТ и информационной безопасности, консультанты придерживаются следующего порядка работы:

1. изучение предоставленной банком документации;

2. интервьюирование сотрудников банка и заполнение опросных форм;

3. исследование конфигураций и отчетов функционирующих систем;

4. проведение оценки ИБ на месте/наблюдение за деятельностью в области ИБ;

5. изучение настроек технических средств обеспечения ИБ;

6. подготовка отчета по аудиту IТ и ИБ и его согласование с руководством направления IТ

На первом этапе консультанты уточняют цели проведения аудита и согласовывают границы проведения аудита, источники получения информации, структуру отчета. Далее, консультанты знакомятся с банком, его организационной структурой, изучают стратегические бизнес - цели Банка, уточняют цели и задачи IТ и ИБ, описывают основные бизнес процессы.

Типовая структура отчета по аудиту IТ включает в себя следующие разделы:

1. Аудит прикладного программного обеспечения (далее ППО), а именно:

a. реестр ППО

b. функциональное покрытие бизнес-процессов

c. анализ архитектуры ППО

d. лицензирование ППО

e. критические точки и рекомендации

2. Аудит IТ-инфраструктуры, с описанием следующих этапов:

a. объект обследования

b. техническое обеспечение ППО

c. инженерная инфраструктура

d. вычислительная инфраструктура

e. телекоммуникационная инфраструктура

f. программно-техническая инфраструктура

g. критические точки и рекомендации

3. Аудит IТ-проектов в следующей разбивке:

a. общие сведения об IТ-проектах банка

b. описание IТ-проектов Банка

c. управление IТ-проектами Банка

d. критические точки и рекомендации

4. Общие рекомендации по результатам аудита

Типовая структура отчета по аудиту IT-безопасности включает в себя следующие разделы:

1. Описание результатов оценки организации ИБ в Банке

1.1. Распределение ответственности и полномочий по ИБ в Банке

1.2. Обеспечение ИБ в Банке кадровыми ресурсами

1.3. Поддержка ИБ руководством Банка

1.4. Ресурсное обеспечение ИБ Банка

1.5. Осознание ИБ в Банке

1.6. Уровень зрелости ИБ Банка

1.7. Критические точки и рекомендации

2. Описание результатов аудита процессов управления ИБ

2.1. Управление рисками

2.2. Оценка и анализ состояния ИБ

2.3. Управление документацией

2.4. Повышение осведомленности в области ИБ

2.5. Управление инцидентами ИБ

2.6. Управление доступом

2.7. Управление уязвимостями

2.8. Мониторинг событий ИБ

2.9. Формализация и документирование технологических и бизнес-процессов

2.10. Критические точки и рекомендации

3. Описание результатов аудита мер обеспечения ИБ

3.1. Межсетевое экранирование и сетевая безопасность

3.2. Настройки безопасности систем

3.3. Защита данных при хранении и передаче

3.4. Идентификация и аутентификация пользователей

3.5. Защита от вредоносного ПО

3.6. Предоставление доступа к ресурсам сети Интернет

3.7. Физическая безопасность

3.8. Контроль несанкционированных устройств и ПО

3.9. Контроль действий привилегированных пользователей

3.10. Меры противодействия мошенничеству

3.11. Критические точки и рекомендации

4. Оценка соответствия действующему законодательству и требованиям регуляторов

4.1. Обеспечение безопасности данных платежных карт

4.2. Обеспечение безопасности персональных данных

4.3. Обеспечение безопасности переводов денежных средств

4.4. Критические точки и рекомендации

5. Экспертиза IТ проектов с точки зрения ИБ

5.1. Описание IТ проектов Банка, их критические точки и рекомендации.

Результат

В результате банк получит отчет по аудиту IТ и безопасности систем по согласованной структуре, который позволит определить стратегию развития IТ банка, обеспечить успешное развитие IТ, согласованное с целями развития банка, его стратегией, организационной структурой и бизнес-процессами, позволит обеспечить устранение уязвимостей и минимизацию риска информационной системы, оптимизировать финансовые затраты и увеличить эффективность вложений на этапе внедрения новых IТ.