Аудит информационной безопасности банка — это выполнение работниками внешней по отношению к банку организации независимой оценки состояния информационной безопасности данного кредитно-финансового учреждения.
Введение
Банком России, являющимся основным регулятор в финансовой сфере, было принято несколько документов, которые определяют критерии правильности формирования систем информационной защиты и управления ими. Для того чтобы проверить соответствие данным критериям, необходимо привлечь внешние фирмы-аудиторы. Но, по мнению некоторых финансовых компаний, аудит представляет собой достаточно затратное мероприятие, как с ценовой стороны вопроса, так и с точки зрения использования других ресурсов.
Банки, страховые, инвестиционные организации, биржи представляют собой основу денежной системы страны и важнейшие финансовые институты современного общества. По этой причине к ним должны предъявляться особые требования по обеспечению информационной безопасности. Автоматизированные банковские системы, системы дистанционного обслуживания, программные решения по переводу денежных средств обладают конфиденциальной информацией о клиентах организации, состоянии их счетов и проведении ими финансовых операций.
В ходе хранения и обработки информации в подобных информационных системах, ее трансляции по разным каналам связи в процессе дистанционного обслуживания и при переводах очень важно, чтобы информацией не смогли завладеть злоумышленники с целью ее изменения или организации ее недоступности для пользователей. Причем необходимо соблюдать баланс между интересами бизнеса и требованиями информационной безопасности. С одной стороны, следует гарантировать безопасность информации, но, при этом, без оперативного и своевременного информационного обмена и обработки ни одна финансовая система не сможет функционировать корректно.
Основные угрозы информации по-прежнему исходят от человеческого фактора. По данным статистики, практически половина правонарушений связана с сотрудниками организаций, то есть с теми, кто обладает непосредственным доступом к данным. Помимо этого, известны и технические угрозы для информации, к которым следует отнести взломы информационных систем лицами, которые не имеют к ним прямого доступа, например, криминальными сообществами или конкурентами. Опасность и угрозу для программного обеспечения представляют также разные компьютерные вирусы, программные закладки, уязвимости, которые возникли из-за несвоевременного обновления программ.
Аудит информационной безопасности банка
Для того чтобы понять насколько в полной мере исполняются требования руководящих документов, банку необходимо выполнить оценку соответствия, именуемую также аудитом, в частности аудитом информационной безопасности. Основной задачей аудита является объективная оценка текущего состояния информационной безопасности банка, а, кроме того, ее соответствия установленным критериям.
Аудит должен проводиться коллективом специалистов независимой организации. Аудиторам разрешается применять опыт и знания, которые были получены при проведении предыдущих оценок соответствия, и поэтому они могут выполнить эту работу эффективно и быстро. К числу недостатков аудита следует отнести денежные затраты, а также очень большие расходы ресурсов, связанные с сопровождением аудиторской группы и оказание помощи при сборе дополнительных свидетельств. Практически всегда банки и другие финансовые организации не могут понять реальную необходимость аудита. Многие организации не готовы отдать значительные суммы денег за проверку на соответствие требованиям.
Невзирая на весь набор трудностей и опасений по поводу выполнения внешней оценки соответствия, итоговые результаты грамотно исполненного аудита информационной безопасности могут позволить сформировать оптимальную по эффективности и затратам корпоративную систему защиты, которая будет адекватной текущим задачам и целям бизнеса.
Отзывы банков и других финансовых компаний, которые прошли процедуру аудита на соответствие положениям Банка России, свидетельствуют о том, что после осуществления таких работ не только повысился уровень доверия и лояльности со стороны регулятора, клиентов и партнеров, но и были сформированы ответы на наиболее важные для обеспечения безопасности деятельности организации вопросы:
- Насколько оптимально сформирована служба информационной безопасности.
- Является ли достаточным ее ресурсное обеспечение.
- В каких местах расположены слабые места в имеющейся системе защиты.
- Что необходимо выполнить, чтобы отдел информационной безопасности банка мог своевременно реагировать на инциденты и возможные угрозы.
- Какие шаги, связанные с управлением, следует предпринять, чтобы правильно спланировать, оптимально реализовать, вовремя осуществлять контроль и совершенствование системы защиты информации.
Итоговые результаты аудита, которые должны быть документально зафиксированными в отчете, выступают в качестве катализатора для выработки кадровых, организационных или технических решений в плане информационной безопасности.
Грамотно выполненный аудит способен оказать помощь в сокращении финансовых потерь, которые могли стать следствием инцидентов, связанных с информационной безопасностью. То есть, с простоем оборудования, потерей информации, восстановлением работоспособности выведенных из строя узлов, репутационными потерями.
Подводя итог, следует подчеркнуть, что аудит информационной безопасности может считаться сегодня одним из самых эффективных инструментов для выработки независимой и объективной оценки текущего уровня защищенности банка от разных угроз информации. Результаты аудита могут позволить выработать системный подход к осуществлению стратегии развития информационной безопасности банка.
