IT-аудит финансовой организации

Скорость и качество обслуживания клиентов, перечень предоставляемых банковских услуг, конкурентоспособность в финансовой сфере – вот неполный перечень того, на что влияет отлаженность работы ИТ-инфраструктуры. Безопасность и удобство сотрудничества являются важными факторами для повышения привлекательности банка для инвесторов и клиентов.

ИТ-аудит финансовой организации

Группа компаний «Интегрус» предлагает проведение IT-аудита в финансовой организации в соответствии с требованиями Банка России и международными стандартами. В рамках регламентных работ специалисты внедряют системы управления операционными рисками, проверяют информационную безопасность, проводят анализ уязвимостей ИТ-инфраструктуры и прикладного ПО, выдают рекомендации о способах повышения защищенности банка.

Банковская сфера – это зона высокого риска. Значительные объемы конфиденциальной информации требуют выработки эффективных механизмов защиты. Это необходимо, чтобы внутренние и внешние системы сохраняли устойчивость при попытках несанкционированного проникновения и DDoS-атаках.

Что такое IT-audit в банке

Аудит – это независимая экспертиза, проверяющая соответствие объекта проверки заданным критериям. Таким образом, ИТ-аудит представляет собой комплекс организационных и технических мероприятий, позволяющих оценить эффективность информационной инфраструктуры, исследовать проблемы, выявить слабые стороны защиты.

Для оптимизации ресурсов и достижения максимальной защиты аудиторы проводят сбор информации, ее анализ, после чего предоставляют руководству банка рекомендации по устранению рисков.

Аудиторскую проверку следует проводить планово, один раза в год, а также в ситуациях:

  • утечки информации, сбоя ПО;
  • реорганизации финансово-кредитной структуры;
  • объединения филиалов;
  • смены руководства;
  • изменения законодательства в кредитно-финансовой сфере.

В банковской сфере применяют методики, разработанные на основе международного IT-стандарта COBIT с учетом финансовой специфики. Помимо такой проверки выполняется аудит на соответствие стандартам:

  • PCI DSS для карточных платежных систем Visa и MasterCard;
  • СТО БР ИББС 1.О Банка России, касающийся информационной безопасности, обеспечения банковской тайны и надлежащей защиты персональной информации.

Цели банковского ИТ-аудита

Аудит касается процессного и технического уровней банка, оценивая риски, зависящие от работы информационной инфраструктуры.

  1. Поиск и анализ рисков, внешних и внутренних угроз.
  2. Определение реальной степени защиты информсистемы банка.
  3. Выявление слабых мест, уязвимостей, проблем.
  4. Выработка рекомендаций, внедрение которых повысит эффективность защиты.

Проведение IT-аудита в банках включает следующие проверки:

  • какова степень защиты клиентских баз и конфиденциальной информации;
  • насколько высока сохранность банковской тайны;
  • насколько надежно проведение денежных операций при возникновении ситуаций постороннего вмешательства в процесс.

Наиболее распространенными являются недочеты, выражающиеся в:

  • недостаточной защищенности периметра банковской сети (например, несвоевременность обновления антивирусов);
  • рассогласованности действий департаментов ИТ и информационной безопасности;
  • неадекватном управлении проектами (затягивание графика внедрения, выход за рамки заданных ресурсов, присутствие рисков и т.п.)

Объектами ИТ-аудита являются:

  • ИТ-архитектура (степень покрытия потребностей бизнес-направлений, функциональность);
  • прикладные и системные информационные технологии (перечень, взаимосвязь, архитектура данных);
  • соответствие IT-инфраструктуры требованиям надежности и производительности бизнеса;
  • управление и организация работы IT-отдела, степень реализации процесса;
  • риски, причины их возникновения, способы устранения;
  • уровень зрелости информационных технологий, используемых в банке. Он складывается из бизнес-, системной, прикладной архитектур, IT-инфраструктуры, возможных рисков.

Также может быть проведен дополнительный анализ прикладных интерфейсов, управления лицензиями, финансовой дисциплины и т.п.

Типы банковского IT-аудита

Различают два типа:

  • Внешний – периодическая проверка, инициируемая руководством финансово-кредитной организации или правоохранительными органами, и выполняемая независимыми экспертами.
  • Внутренний – регулярный анализ информационной инфраструктуры, осуществляемый в рамках действующих положений, и проводимый сотрудниками банка в конкретно установленный период времени.

Проверка включает в себя:

  • анализ всех банковских объектов, обеспечивающих работу и безопасность процесса (компьютеров, систем коммуникации и видеонаблюдения, оргтехники и т.п.);
  • уровень защиты конфиденциальной информации, имеющей ограниченный доступ, и вычисление каналов, через которые может произойти утечка данных;
  • исследование локальных систем и электронного оборудования на предмет стойкости к наводкам и сопротивляемости электромагнитному излучению;
  • определение мер, направленных на усиление защиты техники, программного обеспечения и помещений.

Этапы проведения аудита

Стандартная проверка включает шесть этапов:

  1. Инициация проверки: определение границ исследования, создание плана проверки для согласования с заказчиком.
  2. Сбор информации о структуре СБ, перечне средств, обеспечивающих безопасность, уровне функционирования системы безопасности, методах получения и предоставления данных.
  3. Проведение комплексного или частичного исследования.
  4. Анализ полученных данных.
  5. Выработка рекомендаций и передача отчету руководству банка.

Преимущества ИТ-аудита

Банк, заказавший независимый аудиторский отчет о состоянии ИТ-сферы, получает честный, объективный и обоснованный результат проверки. Экспертное заключение свидетельствует о реальном положении дел в финансовой организации. В нем приводятся:

  • рекомендации по оптимизации IT-архитектуры, ПО, аппаратного обеспечения для достижения поставленных бизнес-целей;
  • предложения о мерах, необходимых для повышения зрелости управления ИТ-процессом и снижения рисков, выявленных в ходе проверки;
  • рекомендации по улучшению работы службы поддержки;
  • принципы информационно-технического развития банковской структуры приводятся в соответствие с принятой стратегией развития, определяются плановые бюджеты и сроки.

В случае, если банк прислушается к мнению аудиторов, то он сделает вклад в будущее развитие.

Бизнес-результативность увеличивается за счет:

  • обеспечения прогнозируемого развития ИТ-сферы;
  • внедрения новейших разработок и технологий банковской практики;
  • повышения качества обслуживания, сквозной работе с клиентами (без привязки к месту открытия счета или активации услуги);
  • централизации информсистем;
  • использования различных каналов для сбыта банковских продуктов и услуг;
  • масштабируемости ИТ-инфраструктуры и бизнеса;
  • создания унифицированных процессов и технологий;
  • централизации управления рисками и лимитами.

В качестве отсроченных организационных результатов в сфере ИТ можно перечислить:

  • прогнозируемость банковских затрат на IT-работы;
  • увеличение эффективности сотрудников за счет согласованных действий по вводу и хранению информации;
  • реорганизацию системы ИТ-управления;
  • стандартизацию в сфере технологий и ПО;
  • документирование эксплуатации информационной системы;
  • бесшовную интеграцию ИС с передаваемой онлайн информацией, внедрение принципа сквозной обработки информации и т.п.

Аудит и IT-сервис банков – сложный, многоэтапный процесс. Если он выполняется регулярно, то экспертные заключения способны принести максимальную выгоду.

Присоединяйтесь к нам,
чтобы получать чек-листы, реальные кейсы, а также
обзоры сервисов раз в 2 недели.