- •Учебные вопросы:
- •Содержание проекта:
- •2. Аудит информационной системы банка
- •1. Подходы к контролю и аудиту программного обеспечения.
- •4. Контроль операционной системы
- •5. Физическая защита и контроль доступа
- •6. Контроль ввода
- •7. Контроль обработки информации
- •8. Контроль вывода
- •9. Программа аудита информационных систем
- •3. Аудит информационной безопасности банка
- •Показатели информационной безопасности Групповой показатель м1 "Обеспечение информационной безопасности при назначении и распределении ролей
- •Групповой показатель м2 "Обеспечение информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла"
- •Групповой показатель м3 "Обеспечение информационной безопасности при управлении доступом и регистрации"
- •Групповой показатель м4 "Обеспечение информационной безопасности средствами антивирусной защиты"
- •Групповой показатель м5 "Обеспечение информационной безопасности при использовании ресурсов сети Интернет"
- •Групповой показатель м6 "Обеспечение информационной безопасности при использовании средств криптографической защиты информации"
- •Групповой показатель м7 "Обеспечение информационной безопасности банковских платежных технологических процессов"
- •Групповой показатель м8 "Обеспечение информационной безопасности банковских информационных технологических процессов"
- •Групповой показатель м9 "Организация и функционирование службы иб организации бс рф"
- •Групповой показатель м10 "Определение/коррекция области действия соиб"
- •Групповой показатель м11 "Выбор/коррекция подхода к оценке рисков нарушения иб и проведению оценки рисков нарушения иб"
4. Контроль операционной системы
Включает в себя:
- контроль полномочий доступа к компьютерной технике, программ, программной документации, файлов данных, данных на выходе
- контроль “электронной подписи”, отчеты системы о дате, времени и месте несанкционированного доступа
5. Физическая защита и контроль доступа
Элементами физической защиты являются:
- ограничение физического доступа в помещения, оборудованных компьютерами, и к библиотекам данных (закрытые двери, карточки-ключей, охрана)
- регистрация доступа к компьютерным системам с помощью паролей или карточек-ключей
- предварительное разрешение руководства на работу вне расписания
- физический контроль помещений перед закрытием
Прикладной контроль — запрограммированные процедуры относительно конкретного прикладного программного обеспечения и связанных с ним ручных процедур. Он направлен на обеспечение обснованной уверенности в аолноте, своевременности, точности и правильности автоматической обработки данных.
Прикладной контроль включает:
- Контроль ввода
- Контроль обработки
- Контроль вывода
6. Контроль ввода
Является наиболее слабым местом в любой информационной системе, ошибки в нем преимущественно можно обнаружить после завершения обработки информации.
Основные средства контроля ввода:
- контроль полномочий на ввод информации;
- исправление ошибок;
- использование контрольных цифр;
- сверка контрольных сумм для проверки передачи данных во время обработки;
- такие средства контроля передачи как подсчет сообщений, обратные сообщения, подсчет знаков и двойная пересылка;
- контрольные суммы, такие как подсчет записей, итоги пачки
7. Контроль обработки информации
Предусматривает следующие процедуры проверки информации:
- сверка номеров счетов с данными файла-перечня;
- тест разрядов, которые содержат коды самопроверки;
- проверку остатка на определенных счетах (например, сумма основных фондов, которые не амортизированы полностью, меньше нуля);
- проверка на буквенные символы в цифровом поле;
- проверка на правильность соотношения между собою разных полей в записи;
- проверка потери или пропуска данных;
- проверка внутренних обозначений файлов, чтобы убедиться, что для ввода используются соответствующие файлы;
8. Контроль вывода
Выполняется согласно следующих принципов:
- соответствие сумм ввода и вывода (проверяется автоматически или вручную);
- поэлементная проверка данных ввода и вывода в особенно важных случаях;
- контроль доступа к данным на выходе .
9. Программа аудита информационных систем
Аудит компьютерных систем банка должен включать следующее:
- участие внутреннего аудитора в разработке информационной системы и прикладных пакетов программ;
- обзор и подтверждение внутренним аудитором изменений в программном обеспечении. Аудитор должен проверить, включают ли предложенные изменения контроль, прошли ли они достаточную проверку, не ли входят они у противоречия с другими разделами системы, обеспечивают ли они возможность сквозной аудиторской проверки, и были ли они задокументированы;
- аудитор должен проводить проверки внутреннего контроля и тестирования контроля на последовательной и постоянной основе; такой аудит должен включать проверки ручного и автоматизированного контроля работы, а также общий и прикладной контроль
- аудитор должен следить за документацией по компьютерному обеспечению: проверять, имеется ли вся документация, обновляется ли она, является ли она доступной для сотрудников, отображает ли она реальное. Документация должна включать стандарты и нормативы по программированию, тестированию, критериях программного обеспечения. Документации по программному обеспечению банка должна содержать справочники для пользователей, механизмы отчетности, поддержку компьютерного оснащения, планы поведения в аварийных ситуациях
- следует проводить проверки прграмного обеспечение на предмет того, не ли проводятся ли несанкционировнные изменения, поддерживается ли целостность данных, существуют ли достаточные и соответствующие процедуры создания архивных (back-up ) файлов и восстановления файлов
- аудитор должен проводить оценку приобретенного программного обеспечения, на соответствие, описаниям подготовленным разработчиками системы
- внутренний аудитор должен вести мониторинг операционной эффективности, работая непосредственно с работниками соответствующих отделов и тех отделов, которые непосредственно пользуются определенными услугами компьютерных систем. Аудитор программного обеспечения должен координировать свою работу, выводы и рекомендации относительно эффективности, точности и своевременности работы с другими внутренними аудиторами
- следует ежеквартально проверять и возобновлять план действий в случае форс-мажорных обстоятельств (стихийные бедствия, такой как пожар, потоп) и критических ситуаций, таких как саботаж работников
- внутренний аудитор должен пользоваться собственным специальным программным обеспечением для внутреннего аудита, что должно включать средства для создания статистической выборки, проверки результатов компьютерных расчетов и балансов счетов, проведение аналитических обзоров, используя данные непосредственно из базы данных банка, сравнение данных в двух ли больше базах, и т.п;
- внутренний аудитор должен сохранять у себя и использовать для тестирования дубликаты пакетов программного обеспечения банка;
- результаты тестирования следует сопоставлять с результатами работы реальной системы; это также разрешит внутреннему аудитору узнать, не ли были внесенные в программное обеспечение какие-то изменения без его ведома.
Необходимым условием «профессиональной» пригодности является наличие у аудитора фундаментальной подготовки в области информационных технологий.
Банки обычно стоят перед выбором: взять на эту должность человека с подготовкой и опытом в компьютерной сфере и подготовить его в сфере аудита или подготовить аудитора в сфере компьютерных технологий.
Банки успешно использують обе альтернативы. Успех зависит от способностей кандидата, объема подготовки, которая предоставляется нему банком и отведенного на подготовку времени, а также от сложности компьютерной системы банка.