Центр исследования компьютерной преступности

home контакты

Аудиторская проверка информационной безопасности позволит выявить слабые места в системе безопасности

Дата: 07.01.2005
Источник: www.crime-research.ru
Автор: Андрей Кудинов


etc/research2.jpg
В современных условиях работы банковские организации не в состоянии выполнять свои функции без применения средств автоматизации и телекоммуникационных технологий. В связи с этим, кредитными организациями уделяется достаточно внимания развитию компьютерных и коммуникационных систем. Согласно статистическим данным, в настоящее время 60% средств, поступающих в виде инвестиций, идут на покупку компьютерного оборудования и программного обеспечения; остальные - на услуги по разработке и интеграции электронных систем, на обучение персонала.

Широкое использование компьютерных технологий в деятельности кредитных организаций создает утверждение за электронной информацией статуса материального ресурса, т.к. случайное или преднамеренное изменение электронной информации влечет за собой банковские риски. В связи с этим кредитные организации должны уделять достаточно внимания вопросам обеспечения информационной безопасности.

Аудит информационной безопасности проводится с полным владением информацией о проверяемой организации, ее внутренней структуре, аппаратно-программной базе, с целью исследования ресурсов, которые должны состоять под аудитом.

Приступая к проведению аудита информационной безопасности, в первую очередь следует ознакомиться с заключением аудиторской фирмы, проводившей обязательную ежегодную проверку кредитной организации, а также с актами проверок службы внутреннего контроля банка, в которых должны быть отражены вопросы, касающиеся информационной безопасности, контроля за управлением информационными потоками (получением и передачей информации), компьютерными системами и т.п. Это позволит на начальном этапе проверки получить первичное представление о состоянии дел в проверяемой кредитной организации, установить выявленные ранее недостатки и ознакомиться с мерами, принимаемыми для их устранения.

К сожалению, на практике, аудиторские фирмы, проводящие ежегодный аудит в кредитных организациях, либо совсем не уделяют внимания вопросам информационной безопасности, либо освещают их поверхностно. То же самое можно сказать и о службах внутреннего контроля кредитных организаций.

Аудит информационной безопасности – это систематическая оценка того, как устроена и выполняется политика информационной безопасности организации, проверка эффективности ее применения. Отсутствие разработанной политики безопасности обычно указывает на недостаточное внимание организации к вопросам безопасности ее ресурсов. Вместе с тем отсутствие документа, определяющего политику информационной безопасности, совсем не означает, что организационно-технические мероприятия, направленные на ее обеспечение не проводятся. Аудиторская проверка информационной безопасности позволит проанализировать достаточность этих мероприятий и выявить слабые места в системе безопасности, проверить эффективность системы управления, работу служб безопасности и внутреннего контроля, подразделений автоматизации кредитной организации. При этом аудит информационной безопасности касается каждого работника, использующего информационные ресурсы внутри организации.


Подробнее : http://www.crime-research.ru/articles/Kudinov1/

Добавить комментарий
2005-01-10 07:18:09 - Информацыя полезная, большое спасибо!... Олег Батюк
Всего 1 комментариев

Copyright © 2001–2005 Computer Crime Research Center

CCRC logo
UA  |  EN
Рассылка новостей