│Нарушение │Обычно разовый. Реже зависит от времени. Для│Нет, так как не приводит к│
│конфиденциальности │анализа можно использовать формулу │изменениям системы │
│ │S = S1 + дельтаS х T, │ │
│ │где S1 - стоимость информации; │ │
│ │дельтаS - стоимость обновления; │ │
│ │Т - период утечки данных │ │
├──────────────────────┼─────────────────────────────────────────────┼─────────────────────────────┤
│Изменения в│Зависит от частоты обращения к измененной│Стоимость восстановительных│
│системе, включая│области. Если данная область является│работ здесь зависит от двух│
│технические сбои и│ключевой в системе, то зависит от времени│составляющих: S = S1 х T +│
│умышленные действия │устранения данного нарушения. Аналитической│S2, где S1 - стоимость поиска│
│ │формулой оценки здесь является следующее│неисправности; │
│ │выражение: │Т - время поиска│
│ │S = суммаi (S1i + Se x T1i + Sp (T2i + T3i), │неисправности; │
│ │где S1i - разовый ущерб для каждого случая; │S2 - стоимость устранения │
│ │Se - стоимость эксплуатации с неисправной│ │
│ │системой; │ │
│ │Т1i - время обнаружения факта нарушения,│ │
│ │может меняться от случая к случаю; │ │
│ │Sp(t) - ущерб от простоя системы связанный с│ │
│ │устранением последствий. Данная функция часто│ │
│ │носит ступенчатый характер; │ │
│ │T2i - время диагностики; │ │
│ │T3i - время устранения неисправности │ │
└──────────────────────┴─────────────────────────────────────────────┴─────────────────────────────┘
Рассмотренные алгоритмы носят достаточно условный характер и должны быть адаптированы и детализированы в зависимости от более подробной классификации ожидаемых нарушений, структуры информационной системы и особенностей организации.
Влияние систем защиты на развитие бизнеса
Рассматривая вопросы информационной безопасности, нельзя не затронуть взаимную зависимость между ними и общими задачами кредитной организации. Часто приходится сталкиваться с ситуациями, когда развитие отдельных направлений бизнеса просто блокируется требованиями безопасности. Обычно это имеет смысл, так как затраты на защиту информационного ресурса того или иного бизнеса вместе с остаточным риском больше, чем ожидаемый доход. Однако ошибки в подобных расчетах означают потерю конкурентного преимущества и, как следствие, намного больший ущерб для организации в целом. Эта угроза заставляет многие банки идти на риск, игнорируя риски информационной безопасности, скрывая возникающие проблемы. Рассмотрим некоторые критерии, облегчающие принятие решений в этой области.
Следуя общему правилу экономической целесообразности, определяется следующее выражение:
(S(T) - S) x T + 1%(Т) > (S1 x (%)t + Sa x Т)/К,
где S(T) - функция ожидаемого дохода от нового продукта, зависит от времени;
S - сумма требуемого дохода от рассматриваемого продукта;
Т - рассматриваемый промежуток времени;
1%(Т) - получаемая прибыль за счет вторичного использования средств, полученных в качестве дохода от рассматриваемого продукта;
S1 - разовая инвестиция в систему информационной безопасности;
(%)t - потерянная прибыль от использования вложенных средств;
Sa - затраты на сопровождение;
К - коэффициент доли использования, определяется исходя из использования необходимых в данном случае элементов системы безопасности другими продуктами.
Рассматривая данную формулу, нетрудно заметить, что в случае возникновения противоречия между развитием бизнеса и уязвимостью его информационной системы можно использовать следующие типовые решения:
* создание системы общей защиты для всей информационной среды организации, а не для отдельных модулей. Это может стоить дороже, однако снижаются затраты на сопровождение и на внедрение новых решений;
* стандартизация решений, что также позволит снизить стоимость сопровождения и обеспечения информационной безопасности;
* снижение требуемого уровня рентабельности новой услуги;
* применение решений, проверенных в других организациях.
Но в любом случае, анализируя систему информационной безопасности, к ней следует относиться не как к злу, дополнительным и неоправданным затратам, а как к части общих услуг, предлагаемых клиенту, гарантирующих конфиденциальность его бизнеса и сохранность его денег.
Практически ни одна компания, в какой бы индустрии она не работала, не в состоянии сегодня обходиться без использования современных информационных технологий. А в некоторых отраслях (таких, как финансы, телекоммуникациия или автоматизация) стала неотъемлемой частью бизнес-деятельности, без которой просто невозможно осуществление операций. В то же время информационные технологии с каждым годом все более усложняются. Они поглощают огромные финансовые и временные ресурсы, при этом не всегда предоставляя адекватный эффект. Положительные аспекты оттеняются новыми рисками, связанными с широким использованием информационных технологий, которые требуют дополнительного контроля со стороны высшего менеджмента, внешнего и внутреннего аудита.
Целью ИТ-аудита является совершенствование системы контроля за ИТ. Для этого аудиторы выполняют следующие задачи:
- осуществляют оценку рисков ИТ;
- содействуют предотвращению и смягчению сбоев ИС;
- участвуют в управлении рисками ИТ, в том числе в ведении карты рисков;
- помогают подготавливать нормативные документы;
- пропагандируют высокую роль ИТ для бизнеса;
- помогают связать бизнес-риски и средства автоматизированного контроля;
- осуществляют проведение периодических проверок;
- содействуют ИТ-менеджерам в правильной организации управления ИТ;
- осуществляют "взгляд со стороны".
Аудитор информационных систем вне зависимости от того, является ли он внешним или внутренним (приглашенным) специалистом, выступает от имени акционеров и руководства организации. При этом внешние аудиторы больше акцентируют свое внимание на независимом подтверждении надежности и адекватности системы внутреннего контроля за ИТ, а внутренние аудиторы - на обеспечении эффективности системы внутреннего контроля ИТ. Аудиторы ИТ помимо весьма глубокого понимания современных информационных технологий должны обладать знанием целей и задач внутреннего контроля и опытом организации системы внутреннего контроля в области ИТ.
Регулирование аудита информационных систем
Вопросу аудита и внутреннего контроля за информационными системами посвящены несколько зарубежных стандартов аудита и специальный российский стандарт "Аудит в условиях компьютерной обработки данных (КОД)". Из зарубежных источников можно отметить международный стандарт аудита ISA 401, положения по международной практике аудита 1002, 1003, 1004, 1008, 1009. В них отражены вопросы практики аудита в среде компьютерных информационных систем, оценки рисков и надежности системы внутреннего контроля в условиях КОД, техника проведения аудита с учетом использования современных информационных технологий.
Российский стандарт содержит общие требования к проведению аудита в условиях КОД, описывает действия аудитора, аудиторские доказательства и документирование, процедуры аудита и требования по компетентности аудитора. В нем достаточно детально рассматривается, каким образом трансформируется практика проверок в организациях, где компьютерная обработка данных охватывает все основные циклы работ, и какие цели должна преследовать проверка информационных систем.
К сожалению, данные стандарты в большей степени лишь очерчивают проблематику, не давая практических рекомендаций по аудиту организаций со значительным объемом компьютерной обработки как в бухгалтерской, так и в бизнес-деятельности. Они не описывают подходов к аудиту самих информационных систем.
Технология аудита информационных систем
Рассмотрим технологию аудита информационных систем в "базовом", наиболее простом понимании. Такой подход может быть применим в небольших и средних организациях.
При проведении проверки информационных систем внимание аудиторов, как правило, направлено на три основных блока: техническое обеспечение, программное обеспечение, технологии организации и использования компьютерной обработки данных. Каждая их этих сфер достаточно важна и служит источником потенциального риска и вероятных потерь.
С точки зрения технического обеспечения необходимо постоянно отслеживать следующие моменты:
* отказоустойчивость технической базы, под которой понимают способность технических средств функционировать практически без сбоев и остановок;
* степень надежности хранения данных и возможности их восстановления, включая средства резервного копирования;
* физический доступ к компьютерному оборудованию, который должен быть ограничен, так как может стать причиной несанкционированных действий;
* масштабируемость компьютерных систем, которая состоит в возможности их наращивания и является залогом их более длительного использования;