Центр исследования компьютерной преступности

home контакты

SEC не в состоянии обеспечить собственную ИТ-безопасность

Дата: 01.06.2005
Источник: Infowatch.ru
Автор: Денис Зенкин


hack/hack33.jpg Именно к такому выводу пришли эксперты GAO (Счетная палата США - Government Accountability Office), проводившие первый внешний аудит SEC (Комиссия по ценным бумагам США - Securities and Exchange Commission). Было установлено, что SEC не реализовала процедуры контроля над составляемой отчетностью, призванные предотвращать мошенничество и подтверждать точность ведения финансовой отчетности. Между тем SEC сама должна проверять публичные компании на предмет наличия таких процедур и следить за соблюдением законодательства, в том числе
закона Сарбаниса-Оксли.

Аудиторы GAO выяснили, в ИТ-инфраструктуре SEC не реализованы всесторонние средства мониторинга, позволяющие выявить необычную или подозрительную активность при доступе к информации>. Другими словами, SEC не оснастила свою ИТ-инфраструктуру эффективными средствами управления доступом, а также процедурами аудита и мониторинга событий ИТ-безопасности. Речь идет об учетных записях и паролях пользователей, временных и постоянных правах доступа, сетевой безопасности и вообще об ограничении и выявлении доступа к критической инансовой отчетности и чувствительным компонентам ИТ-инфраструктуры. Как результат, риски неавторизованного доступа к важной информации, ее модификации или потери были очень и очень высоки.

Более того, специалисты GAO нашли погрешности во внутренней финансовой отчетности SEC. В частности было установлено, что SEC накладывала на проверяемые компании неправильные штрафы. По мнению аудиторов GAO, это явилось следствием предыдущего недостатка: в условиях очень слабого контроля над своей внутренней ИТ-безопасностью SEC просто не могла обеспечить должные точность и корректность своих финансовых записей.

Представители SEC сообщили, что сожалеют о результатах аудита и заверили, что организация покажет пример того, как надо устранять выявленные бреши в системе внутренней ИТ-безопасности. Тем не менее, как заметили специалисты GAO, SEC не нарушала законодательного регулирования, касающегося внутреннего контроля над финансовой отчетностью.

"Фискальная система США работает достаточно эффективно. Благодаря GAO мы узнали о недостатках SEC, которые эта организация пытается устранить в публичных компаниях. Будем надеяться, что SEC действительно покажет достойный пример устранения слабостей в системе внутренней ИТ-безопасности. К тому же это достаточно легко сделать: сегодня существует целый ряд комплексных решений, обеспечивающих управление доступом, защиту конфиденциальной информации, а также
аудит и мониторинг отчетности", - прокомментировал Евгений Преображенский, генеральный директор компании InfoWatch.


Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2019 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.