Содержание
Скорость и качество обслуживания клиентов, уровень информационной безопасности количество предоставляемых банковских услуг, конкурентоспособность в финансовой сфере – вот неполный перечень того, на что влияет отлаженность работы ИТ-инфраструктуры. Безопасность и удобство сотрудничества являются важными факторами для повышения привлекательности банка для инвесторов и клиентов. Поэтому профессиональный IT-аудит в финансовой организации – неотъемлемая составляющая успешного развития. Это инструмент, который повышает производительность и защищенность информационных систем.
Группа компаний «Интегрус» проводит аудит в соответствии с требованиями Банка России и международными стандартами. В рамках регламентных работ специалисты внедряют системы управления операционными рисками, проверяют информационную безопасность, проводят анализ уязвимостей сферы ИТ и прикладного ПО, выдают рекомендации о способах повышения защищенности банка.
Банковская сфера – это зона высокого риска. Значительные объемы конфиденциальной информации требуют выработки эффективных механизмов ее защиты с помощью программного обеспечения, организационных мер. Это необходимо, чтобы внутренние и внешние системы сохраняли устойчивость при попытках несанкционированного проникновения и DDoS-атаках.
Периодический IT-аудит в банках повышает уровень безопасности, позволяет быстро приводить ее к соответствию нормативным требованиям. Стоимость аудита информационной безопасности банка зависит от масштаба, количества оборудования, объема работ.
Что такое IT-audit в банке
Исследование айти-системы банка – это независимая экспертиза, проверяющая соответствие объекта нормативам по заданным критериям. Таким образом, это комплекс организационных и технических мероприятий, позволяющих оценить эффективность инфраструктуры. Также аудит информационной безопасности банка направлен на обнаружение, исследование проблем, выявляет тонкие места в защите.
Для оптимизации ресурсов банка, создания максимальной защиты аудиторы проводят сбор информации, ее анализ, после чего предоставляют руководству банка рекомендации по устранению рисков.
Аудиторскую проверку айти-безопасности следует проводить планово, один раз в год, а также в ситуациях:
- утечки информации, сбоя ПО;
- реорганизации финансово-кредитной структуры банка;
- объединения филиалов;
- смены руководства банка;
- изменения законодательства в кредитно-финансовой сфере, которые требуют приведения IT-структуры к соответствию новым стандартам.
В банковской сфере, когда проводят audit, применяют методики, разработанные на основе международного стандарта COBIT с учетом финансовой специфики, а также на соответствие:
- PCI DSS для карточных платежных систем Visa и MasterCard;
- СТО БР ИББС 1.О Банка России, касающийся информационной безопасности, обеспечения банковской тайны и надлежащей защиты персональной информации.
Аудит системы информационной безопасности банка – эффективный инструмент снижения влияния рисков на операционную деятельность. Оценка соответствия финансовой организации как отраслевым международным, так и стандартам России проводится опытными, сертифицированными специалистами.
Цена аудита компенсируется возможностью быстро устранить выявленные проблемы, привести программное обеспечение, систему защиты информации к соответствию отраслевым стандартам. Своевременно проведенная оценка состояния позволяет подготовиться к государственному контролю.
По результатам работы экспертов представителями финансового регулятора России составляется акт проверки информационной безопасности в банке. Это официальный документ, в котором фиксируются выявленные нарушения. Соответствующая запись заносится в журнал проверок. Периодическое проведение проверок снижает риск наложения санкций.
Цели банковского ИТ-аудита
Аудит касается процессного и технического уровней банка. Его цель – устранение проблем с программным обеспечением, оборудованием, повышение защищенности информации. Проведение исследования повышает устойчивость к сбоям, внешним, внутренним рискам не только для банка, но и любого иного финансового предприятия.
Специалисты ГК «Интегрус» оценивают риски, зависящие от работы информационной инфраструктуры. Аудит IT-сервисов банков – это комплексный процесс, который включает:
- Поиск и анализ рисков, внешних и внутренних угроз. Оценку их влияния на бизнес-процессы.
- Определение текущей степени защиты банка.
- Выявление слабых мест, уязвимостей, проблем безопасности.
- Разработка рекомендаций, внедрение которых повысит эффективность защиты банка.
Проверки в банках касаются:
- степени защиты клиентских баз и конфиденциальной информации;
- оценки того, насколько высока сохранность банковской тайны;
- стабильности проведения банком финансовых операций при возникновении ситуаций со сторонним вмешательством в процесс.
Наиболее распространены недочеты, которые выражаются в:
- недостаточной защищенности периметра банковской сети (например, несвоевременность обновления антивирусов);
- несогласованных действиях ИТ-департаментов банка и информационной безопасности;
- неадекватном управлении проектами (затягивание графика внедрения программного обеспечения, выход за рамки заданных ресурсов, присутствие рисков и т. п.).
Объектами проверки информационной безопасности в банке являются:
- ИТ-архитектура (степень покрытия потребностей бизнес-направлений, функциональность оборудования, сервисов, программ);
- прикладные и системные информационные технологии банка (перечень, взаимосвязь, архитектура данных);
- соответствие инфраструктуры требованиям в части надежности и производительности бизнеса;
- управление и организация работы айти-отдела, степень реализации процесса;
- имеющиеся риски, причины их возникновения, способы устранения для повышения безопасности обработки, передачи, хранения данных;
- уровень зрелости информационных технологий. Он складывается из бизнес-, системной, прикладной архитектур, инфраструктуры, возможных рисков.
Также в рамках программы аудита информационной безопасности банка может проводиться дополнительный анализ прикладных интерфейсов, управления лицензиями, финансовой дисциплины.
Типы банковского IT-аудита
Аудит, оценка безопасности бывает двух типов:
- Внешний – периодическая проверка, инициируемая руководством финансово-кредитной организации или правоохранительными органами, и выполняемая независимыми экспертами.
- Внутренний – регулярный анализ информационной инфраструктуры. Оценка производительности, безопасности системы осуществляется в рамках действующих положений. Исследование проводится сотрудниками банка в конкретно установленный период времени.
Проверка включает:
- глубокий анализ, объективную оценку всех банковских объектов, обеспечивающих работу и связанных с безопасностью в сфере ИТ (компьютеров, систем коммуникации и видеонаблюдения, оргтехники и т.п.);
- оценку уровня защиты конфиденциальной информации, имеющей ограниченный доступ, и вычисление каналов, через которые может произойти утечка данных;
- исследование локальных систем и электронного оборудования на предмет стойкости к наводкам и сопротивляемости электромагнитному излучению;
- определение мер, направленных на усиление защиты техники, программного обеспечения и помещений.
Цель аудита безопасности – определение текущего состояния используемых для защиты операционной деятельности аппаратных, программных и организационных средств.
Этапы проведения аудита
Оценка состояния системы, ее информационной безопасности включает пять этапов:
- Инициация: определение границ исследования, создание плана проведения работ, мероприятий для согласования с заказчиком.
- Сбор информации о структуре СБ, перечне средств, обеспечивающих безопасность, уровне функционирования системы безопасности, методах получения и предоставления данных.
- Проведение комплексного или частичного исследования ИТ-безопасности.
- Анализ полученных данных.
- Выработка рекомендаций по повышению айти-безопасности, сведение их в подробный отчет, который передается руководству банка.
Программа проверки информационной безопасности банка может корректироваться в соответствии с потребностями заказчика.
Преимущества состояния ИТ-инфраструктуры в банке
Банк, заказавший независимый аудиторский отчет, получает честный, объективный и обоснованный результат. Экспертное заключение содержит подробный отчет о реальном положении дел. В нем содержится следующая информация:
- рекомендации по оптимизации IT-архитектуры, ПО, аппаратного обеспечения для достижения поставленных бизнес-целей, повышения безопасности операционной деятельности, защищенности информации;
- предложения о мерах, необходимых для повышения зрелости управления ИТ-процессом и снижения рисков, выявленных в ходе проверки системы;
- рекомендации по улучшению и стандартизации работы службы поддержки;
- принципы информационно-технического развития банковской структуры приводятся в соответствие с принятой стратегией развития, определяются плановые бюджеты и сроки.
В случае, если банк прислушается к мнению аудиторов, то он закладывает базу для активного развития, обеспечивает надежную защиту информации. Профессионально проведенный аудит выявляет недостатки системы. Их оперативное устранение, грамотная модернизация инфраструктуры обеспечит соответствие отраслевым стандартам, нормативным актам России. Это избавит от санкций со стороны регулятора, позволит проводить операции без задержек и сбоев.
Систематическое проведение проверок снижает цену услуг, делает их более доступными за счет оптимизации бизнес-процессов. Независимая оценка состояния системы позволяет привести ее в соответствие международным требованиям. Это ускорит, упростит, сократит расходы на освоение рынка финансовых услуг в других странах.
Проверка соответствия банковской системы техническим, технологическим требованиям проводится с учетом пожеланий заказчика. Возможно проводить исследования средств защиты информации, оборудования после завершения рабочего дня. Это снизит нагрузку на персонал и инфраструктуру.
Внутренний, внешний аудит повышает результативность бизнеса за счет:
- обеспечения прогнозируемого развития;
- внедрения новейших разработок, программного обеспечения и технологий банковской практики без нарушений профильных стандартов России;
- повышения качества обслуживания, сквозной работы с клиентами (без привязки к месту открытия счета или активации услуги), обеспечения безопасности процессов;
- централизации информационных систем;
- использования различных каналов для продажи банковских продуктов и услуг;
- масштабируемости ИТ и бизнеса;
- создания унифицированных процессов и технологий, обеспечения их безопасности в разных точках взаимодействия с клиентами;
- создания централизованной системы управления рисками и лимитами.
В качестве отсроченных организационных результатов в сфере ИТ можно перечислить:
- прогнозируемость банковских затрат;
- увеличение эффективности сотрудников за счет согласованных действий по вводу и хранению информации. Приведение деятельности персонала к соответствию внутренним регламентам. Это снижает влияние рисков на работу банка;
- реорганизацию системы ИТ-управления, что упростит внутренние проверки, повысит их эффективность, улучшит информационную безопасность;
- стандартизацию в сфере технологий и ПО, что упрощает управление программным обеспечением, используемыми сервисами;
- документирование эксплуатации инфраструктуры;
- бесшовную интеграцию ИС с передаваемой онлайн информацией. Внедрение принципа сквозной обработки информации и т. п.
Экспертиза IT-сервиса банков – сложный, многоэтапный процесс, который должны проводить опытные специалисты. Для оценки соответствия программных средств, оборудования, системы защиты информации обязательно знание российских, международных нормативов. Чтобы проводить глубокий анализ, нужно использовать различные методы и средства, включая:
- моделирование атак для точной оценки степени защищенности информации;
- опрос персонала;
- изучение технической информации об используемом оборудовании, программном обеспечении.
Иногда нужно проводить обучение персонала для повышения производительности работников, снижения влияния рисков на проведение операций, обработку и хранение информации.
Если он выполняется регулярно, то экспертные заключения приносят максимальную выгоду, а стоимость вложений в экспертизу многократно окупается за счет за счет оптимизации бизнес-процессов, повышения защищенности информации, соответствия требованиям главного финансового регулятора России.