Отчет по результатам аудита информационных систем банка
┌─────────────────────┬────────────────────────┬────────────────────────────────────────────────┬──────────┐
│ Ситуация │ Риск │ Рекомендация │ Приоритет│
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│ 1 │ 2 │ 3 │ 4 │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
|
|
│Стратегия ИТ│Подобная ситуация может│Мы рекомендуем банку: передать функцию│ !!! │
│существует, однако ее│привести к│стратегического планирования в области ИТ│ │
│основные направления│несоответствию целей и│высшему руководству банка; │ │
│не доведены до│задач ИТ│распределить обязанности по стратегическому│ │
│сведения многих│бизнес-стратегии, что в│планированию в области ИТ; │ │
│работников банка и│свою очередь может│формализовать и задокументировать стратегический│ │
│руководителей │привести к│план в области ИТ, включая определение│ │
│функциональных │неэффективному │бизнес-задач и потребностей для ИТ, анализ│ │
│подразделений │использованию бюджета ИТ│технологических решений и текущей│ │
│ │и повышенным затратам │инфраструктуры, оценку требуемых организационных│ │
│ │ │изменений и существующих систем, направления│ │
|
|
│ │ │развития ИТ на срок от 3 до 5 лет; │ │
│ │ │разработать и внедрить процедуры оценки рисков│ │
│ │ │ИТ как часть системы корректировки стратегии в│ │
│ │ │области ИТ; │ │
│ │ │объединить стратегическое планирование в области│ │
│ │ │ИТ с функцией бизнес-планирования; распределить│ │
│ │ │ответственность за распространение информации о│ │
│ │ │стратегии ИТ по всем функциональным│ │
│ │ │подразделениям банка │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
|
|
│Низкий уровень│Отсутствие регламентов и│Мы рекомендуем разработать и утвердить процедуры│ !! │
│документирования │документирования │документирования для основных технических и│ │
│ключевых процессов в│ИТ-процедур повышает│операционных процессов в области ИТ и│ │
│области ИТ. В ходе│уровень операционных и│осуществлять регулярный контроль за выполнением│ │
│обследования мы│системных рисков банка.│этих процедур со стороны руководства банка.│ │
│отметили, что│Также при этой ситуации│Необходимо разработать процедуры, которые│ │
│отсутствуют │затруднен контроль за│обеспечат возможность последующего контроля за│ │
│внутренние регламенты│функционированием ИТ и│соблюдением указанных процессов и стандартов ИТ │ │
│и документирование│их эффективностью.│ │ │
|
|
│большинства │Помимо этого, отсутствие│ │ │
│направлений │надлежащей документации│ │ │
│деятельности ИТ-служб│повышает риск│ │ │
│ │зависимости от ключевых│ │ │
│ │сотрудников службы ИТ,│ │ │
│ │их опыта и знаний │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Отсутствие системы│Неадекватная │Мы рекомендуем внедрить систему анализа│ !! │
│анализа инвестиций в│инвестиционная политика│инвестиций в ИТ. Мы полагаем, что политика│ │
│ИТ. В ходе обзора мы│резко увеличивает риски│инвестиций в области ИТ должна включать│ │
│отметили, что процесс│дефицита бюджета,│следующие пункты: определение ответственных за│ │
│бюджетного │конфликта ресурсов│этот процесс сотрудников банка; │ │
│планирования, в том│/инвестиций, а также│систему показателей и алгоритм расчета│ │
│числе и для ИТ,│риск низкой окупаемости│инвестиций в области ИТ; │ │
│ведется на регулярной│инвестиций в области ИТ.│расчет инвестиционной политики в области ИТ и│ │
│основе. Однако в│Возможно неэффективное│окупаемости инвестиций с финансовой и│ │
│банке отсутствуют│использование ресурсов│нефинансовой точек зрения; оценка всех возможных│ │
│процедуры оценки│банка. В случае│альтернативных вариантов инвестиций в ИТ; │ │
│эффективности │отсутствия │анализ передового опыта отрасли при выборе│ │
│вложений в ИТ,│предварительного │инвестиций в области ИТ; │ │
│практика отношения к│планирования в области│постоянный процесс совершенствования│ │
│расходам на ИТ как к│инвестиций в ИТ высшее│инвестиционной политики в области ИТ. │ │
│внутренним │руководство может│Как дополнительные моменты и показатели, которые│ │
│инвестициям │недооценить их│необходимо учитывать при осуществлении│ │
│ │значимость для│инвестиционной политики, мы рекомендуем│ │
│ │деятельности банка и│анализировать следующие параметры: процент│ │
│ │принимать управленческие│ИТ-проектов (от общего числа), не укладывающихся│ │
│ │решения, не владея│в бюджет; │ │
│ │реальной информацией об│процент ИТ-проектов, для которых не│ │
│ │отдаче от ИТ │производилась предварительная оценка│ │
│ │ │эффективности инвестиций; процент ИТ-проектов,│ │
│ │ │которые после внедрения не достигли требуемых│ │
│ │ │инвестиционных показателей (нормы рентабельности│ │
│ │ │и времени самоокупаемости); число ИТ-проектов,│ │
│ │ │при осуществлении которых, несмотря на наличие│ │
│ │ │утвержденного бюджета, возникли инвестиционные│ │
│ │ │конфликты (недостаток или несвоевременность│ │
│ │ │инвестиций); │ │
│ │ │время между возникновением отклонения в│ │
│ │ │осуществлении проекта и решением этой проблемы│ │
│ │ │руководством; процент ИТ-проектов, которые после│ │
│ │ │внедрения так и не достигли требуемых│ │
│ │ │бизнес-целей │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Отсутствие │Отсутствие системы│Мы рекомендуем следующие мероприятия:│ !!! │
│риск-менеджмента в│управления рисками ИТ│сформировать функцию управления рисками внутри│ │
│области ИТ. Анализ│может привести к│подразделения ИТ; │ │
│рисков в сфере ИТ│увеличению числа│распределить, задокументировать и утвердить на│ │
│осуществляется только│проектов, незаконченных│уровне высшего руководства систему│ │
│в отдельных, наиболее│вовремя или вышедших за│ответственности и процедуры риск-менеджмента; │ │
│критичных, случаях на│рамки бюджета. Это также│разработать систему классификации и оценки│ │
│нерегулярной основе.│приводит к увеличению│рисков ИС; │ │
│При этом не│количества нештатных│анализировать результаты ИТ-проектов в ходе и│ │
│существует │ситуаций и сбоев в│после их завершения с точки зрения управления│ │
│методологии оценки и│работе информационных│рисками; │ │
│управления рисками и│систем. Неадекватное│сформировать системы превентивных мер,│ │
│утвержденных │управление рисками может│направленных на предотвращение и снижение рисков│ │
│внутренних процедур│подорвать финансовое и│ │ │
│на этот счет │стратегическое положение│ │ │
│ │банка │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│В банке отсутствует│Низкий уровень│Создание комитета по ИТ или│ !! │
│информационно-техно- │информирования высшего│информационно-технологического комитета при│ │
│логический комитет│руководства о проблемах│правлении поможет оптимизировать работу│ │
│при правлении │в области ИТ; проблемы│подразделения ИТ и упростит процесс│ │
│ │решаются недостаточно│урегулирования проблем, с которыми сталкивается│ │
│ │оперативно. │подразделение ИТ. Комитет по ИТ должен│ │
│ │Неэффективная система│оперативно решать стратегические задачи в│ │
│ │контроля за ИТ повышает│области ИТ, а также обеспечивать получение│ │
│ │внутренние риски │своевременной ответной реакции (обратную связь).│ │
│ │ │Кроме этого, комитет по ИТ будет способствовать│ │
│ │ │повышению эффективности контроля за│ │
│ │ │деятельностью ИТ-служб │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Неэффективное │Низкое качество│Необходимо разработать четкую процедуру,│ ! │
│построение │обслуживания │регламентирующую права и обязанности│ │
│обслуживания │пользователей, │пользователей и сотрудников ИТ. Мы рекомендуем│ │
│пользователей ИС. Мы│неоперативность решения│разработать базу данных службы технической│ │
│отметили, что│проблем и ликвидации│поддержки с тем, чтобы все заявки пользователей│ │
│отсутствуют │сбоев в информационных│регистрировались сотрудниками ИТ. Этот│ │
│внутренние │системах. В результате│внутренний инструмент позволит оптимизировать│ │
│регламенты, │повышается риск сбоя│деятельность специалистов ИТ и проводить│ │
│регулирующие │систем, который может│мониторинг их работы. Кроме того, база данных│ │
│отношения │привести к потере│обеспечит аналитическую информацию об уровне│ │
│пользователей и│информации. Отсутствие│компьютерной подготовки пользователей, наиболее│ │
│сотрудников ИТ. В│статистических данных по│типичных проблемах, а также позволит определить│ │
│банке отсутствует│типам и количеству│те области в организации ИТ и информационных│ │
│служба технической│ИТ-проблем затрудняет│систем, которые необходимо усовершенствовать │ │
│поддержки в форме│принятие управленческих│ │ │
│help-desk с│решений. Нет возможности│ │ │
│обязательной │контролировать и│ │ │
│регистрацией всех│координировать работу│ │ │
│обращений и четкими│службы технической│ │ │
│стандартами на время│поддержки │ │ │
│и качество обработки│ │ │ │
│запросов │ │ │ │
│пользователей. В│ │ │ │
│настоящее время│ │ │ │
│заявки пользователей│ │ │ │
│не регистрируются и│ │ │ │
│не анализируются.│ │ │ │
│Соответственно не│ │ │ │
│осуществляется │ │ │ │
│официальный │ │ │ │
│мониторинг объема│ │ │ │
│работы и видов│ │ │ │
│проблем, с которыми│ │ │ │
│сталкиваются │ │ │ │
│специалисты ИТ │ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Отсутствие члена│Затруднения при│Возложение ответственности за ИТ на члена│ !! │
│правления банка,│оперативном решении│правления банка будет способствовать оптимизации│ │
│курирующего ИТ │проблем ИТ, низкий│процесса решения проблем и повышению│ │
│ │уровень информирования│эффективности деятельности подразделения ИТ │ │
│ │правления о проблемах в│ │ │
│ │области ИТ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Политика │Конфиденциальность и│Мы рекомендуем обновить и детализировать│ !! │
│информационной │стабильность │официальное положение по информационной│ │
│безопасности банка│информационных систем│безопасности. За основу может быть взята│ │
│недостаточно детальна│имеет большое значение│следующая структура этого документа. │ │
│ │для деятельности банка.│Часть 1. Управление информационной│ │
│ │Неадекватное управление│безопасностью. │ │
│ │информационной │1.1. Введение. │ │
│ │безопасностью может│1.2. Обязанности руководства и сотрудников. │ │
│ │привести к финансовым│1.3. Ключевые позиции. │ │
│ │потерям и раскрытию│1.4. Основные требования к пользователям ИС. │ │
│ │конфиденциальной │1.5. Классификация и анализ рисков. │ │
│ │информации │1.6. Классификация информации. │ │
│ │ │1.7. Использование сетевого и│ │
│ │ │телекоммуникационного оборудования. │ │
│ │ │1.8. Правила резервирования данных. │ │
│ │ │1.9. Поддержка информационной безопасности.│ │
│ │ │Часть 2. Стандарты информационной защиты. │ │
│ │ │2.1. Аппаратная защита. │ │
│ │ │2.2. Защита от несанкционированных действий. │ │
│ │ │2.3. Программная защита. │ │
│ │ │2.4. Защита локальной вычислительной сети. │ │
│ │ │2.5. Стандарты информационной безопасности при│ │
│ │ │разработке и модернизации программ. │ │
│ │ │2.6. Информационная защита серверов и│ │
│ │ │автоматизированных рабочих мест. │ │
│ │ │2.7. Взаимодействие с третьими лицами. │ │
│ │ │2.8. Хранение данных │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Требования временного│Отсутствие сотрудника,│Мы рекомендуем назначить администратора по│ !! │
│положения по│постоянно │безопасности в соответствии с существующими│ │
│управлению доступом│контролирующего │требованиями и провести внутреннюю проверку│ │
│не выполняются.│информационную │соблюдения корпоративных норм информационной│ │
│Некоторые требования│безопасность, может│безопасности │ │
│временного положения│привести к несоблюдению│ │ │
│банка об управлении│внутренних норм в этой│ │ │
│доступом │области и, как│ │ │
│пользователей │следствие, к увеличению│ │ │
│нарушаются. В│риска │ │ │
│частности, внутренним│несанкционированных │ │ │
│положением банка│действий с информацией │ │ │
│введена позиция│ │ │ │
│администратора банка,│ │ │ │
│однако сотрудника,│ │ │ │
│выполняющего эти│ │ │ │
│функции, в банке нет.│ │ │ │
│Также нарушается ряд│ │ │ │
│положений, │ │ │ │
│ограничивающих доступ│ │ │ │
│к наиболее критичным│ │ │ │
│информационным │ │ │ │
│ресурсам │ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Отсутствие │Неадекватный контроль за│Мы рекомендуем внедрить и использовать│ !!! │
│внутреннего аудита│ИТ повышает риск сбоя в│эффективную систему внутреннего контроля при│ │
│информационных систем│работе ИТ. Отсутствие│обработке данных. По нашему мнению, банку│ │
│ │функции аудита ИС может│следует предпринять следующие шаги: разработать│ │
│ │привести к неточному и│письменное руководство по проведению аудита ИС; │ │
│ │ненадежному процессу│назначить внутренних аудиторов; правление должно│ │
│ │обработки данных, а│регулярно анализировать и подтверждать│ │
│ │также снизить│квалификацию и независимость аудиторов;│ │
│ │информационную │определить объем и частоту проведения│ │
│ │безопасность │аудиторских проверок, а также методики│ │
│ │ │проведения аудита; разработать план действий│ │
│ │ │руководства для устранения существенных│ │
│ │ │недостатков, отмеченных в отчетах аудиторов. │ │
│ │ │Мы рекомендуем проводить внешние независимые│ │
│ │ │аудиторские проверки ИС по крайней мере раз в│ │
│ │ │два года, даже если в банке регулярно проводится│ │
│ │ │внутренний аудит │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Большое количество│Применение различных│Мы рекомендуем рассмотреть возможность│ ! │
│используемых │платформ может привести│сокращения количества используемых платформ. По│ │
│технологических │к проблемам при│нашему мнению, было бы целесообразно отказаться│ │
│платформ. В ходе│интеграции данных, а│от использования, например, платформы Windows NT│ │
│проверки мы отметили,│также существенно│ │ │
│что банк применяет│усложняет их│ │ │
│различные платформы,│обслуживание и│ │ │
│включая Windows NT,│поддержку. Кроме того,│ │ │
│Novell NetWare и│обслуживание данных│ │ │
│Unix. Windows NT│платформ сопряжено с│ │ │
│используется для│существенными затратами,│ │ │
│некоторых специальных│которые могут быть│ │ │
│задач, например для│снижены при│ │ │
│обеспечения услуг│использовании меньшего│ │ │
│внутренней почты.│количества разнородных│ │ │
│Novell NetWare│платформ │ │ │
│используется как│ │ │ │
│файловый сервер, a│ │ │ │
│Unix - для АБС XXX │ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Отсутствие │Обслуживание базы данных│Мы рекомендуем назначить сертифицированного│ !! │
│сертифицированного │Oracle требует наличия│администратора базы данных Oracle (DBA) или│ │
│администратора базы│определенных навыков и│организовать специальное обучение│ │
│данных. Мы отметили,│опыта. Неадекватное│администраторов Oracle, работающих в настоящее│ │
│что в банке│обслуживание базы данных│время в банке │ │
│отсутствует │Oracle может привести к│ │ │
│сертифицированный │замедлению или даже сбою│ │ │
│администратор базы│в работе этой базы│ │ │
│данных Oracle │данных │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Использование │Дальнейшие разработки в│Банку следует рассмотреть возможность замены│ !!! │
│неподдерживаемого │системе SWIFT не будут│программного обеспечения, обеспечивающего│ │
│разработчиком ПО.│поддерживаться │интерфейс с системой SWIFT │ │
│Установленное │существующим интерфейсом│ │ │
│программное │SWIFT │ │ │
│обеспечение для SWIFT│ │ │ │
│не поддерживается│ │ │ │
│разработчиком (MERVA)│ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Файлы аудита действий│Несанкционированные │Файлы аудита действий пользователей в ЛВС│ !! │
│пользователей ЛВС не│действия, которые│(лог-файлы) должны быть активизированы в│ │
│анализируются. Работа│потенциально могут быть│операционных системах - Windows NT, Novell│ │
│сотрудников и внешних│осуществлены │NetWare и Unix. Сотрудники службы ИТ или│ │
│консультантов в│пользователями, не будут│информационной безопасности должны иметь доступ│ │
│локальной │вовремя выявлены │к данным файлам и регулярно анализировать их в│ │
│вычислительной сети│ │целях контроля за действиями персонала. Также│ │
│контролируется при│ │можно рекомендовать использование специальных│ │
│помощи файлов аудита│ │программ для анализа и эффективного мониторинга│ │
│(лог-файлов), с│ │действий пользователей. В ходе процесса│ │
│помощью которых│ │резервирования необходимо также периодически│ │
│возможно │ │создавать резервные копии лог-файлов │ │
│протоколирование всех│ │ │ │
│действий │ │ │ │
│пользователей. Однако│ │ │ │
│сотрудники ИТ не│ │ │ │
│имеют возможности│ │ │ │
│регулярно │ │ │ │
│анализировать │ │ │ │
│информацию о работе│ │ │ │
│пользователей, в│ │ │ │
│основном из-за│ │ │ │
│нехватки кадровых│ │ │ │
│ресурсов │ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Передача │Передача информации│Для защиты информации при передаче по внешним│ !!! │
│конфиденциальных │через открытые каналы│каналам связи необходимо применять│ │
│данных по открытым│повышает риск│соответствующие процедуры криптографической│ │
│каналам. В настоящее│несанкционированного │защиты на всех внешних каналах │ │
│время банк, его│доступа, модификации,│ │ │
│филиалы и внешние│раскрытия или потери│ │ │
│организации │информации │ │ │
│обмениваются │ │ │ │
│информацией через│ │ │ │
│открытые каналы, не│ │ │ │
│защищенные │ │ │ │
│криптографическими │ │ │ │
│механизмами │ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Доступ к директории│Данный факт повышает│Мы рекомендуем банку ограничить существующие│ !! │
│платежей. В ходе│риск │права доступа к критичным сетевым директориям.│ │
│нашего обзора мы│несанкционированного │Права доступа к директории, предназначенной для│ │
│отметили, что четыре│доступа к платежной│отправки платежей в ЦБ РФ, должны быть│ │
│сотрудника расчетного│системе и мошенничества│предоставлены только тем сотрудникам, которые│ │
│отдела имеют доступ к│при осуществлении│работают с указанной директорией в ходе│ │
│директории платежей│платежных операций банка│выполнения возложенных на них функций.│ │
│ЦБ РФ. Кроме того, к│ │Сотрудники ИТ должны быть лишены права доступа к│ │
│указанной директории│ │данной директории │ │
│имеют доступ│ │ │ │
│некоторые сотрудники│ │ │ │
│подразделения ИТ │ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Недостаточная длина│Пароли с│Банку необходимо провести проверку соблюдения│ !!! │
│паролей. Мы отметили,│несоответствующей длиной│парольной политики и не допускать использования│ │
│что некоторые│повышают риск│паролей менее чем из 6 символов │ │
│сотрудники ИТ не│несанкционированного │ │ │
│выполняют заявленных│доступа к базе данных,│ │ │
│внутренними │что в свою очередь может│ │ │
│регламентами │привести к│ │ │
│требований к│несанкционированному │ │ │
│количеству символов│раскрытию или изменению│ │ │
│пароля к ИС. Один из│информации │ │ │
│сотрудников службы ИТ│ │ │ │
│использует пароль для│ │ │ │
│системы "Новая│ │ │ │
│Афина", состоящий из│ │ │ │
│3 символов. При этом│ │ │ │
│он имеет полный│ │ │ │
│доступ к базе данных │ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Доступ в серверную│Повышается риск│Серверная комната должна закрываться при помощи│ !! │
│комнату не ограничен│несанкционированного │электронного замка. Следует рассмотреть│ │
│как следует. Серверы│доступа к критичному│возможность установки системы видеонаблюдения │ │
│расположены в│компьютерному │ │ │
│комнате, которая│оборудованию │ │ │
│запирается на│ │ │ │
│стандартный замок.│ │ │ │
│Как правило, дверь│ │ │ │
│серверной комнаты не│ │ │ │
│закрывается. │ │ │ │
│Существует свободный│ │ │ │
│доступ к компьютерам│ │ │ │
│и ключевым системам │ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Физический доступ к│Данная ситуация повышает│Необходимо ограничить физический доступ к│ !!! │
│платежным терминалам│риск │указанным терминалам исключительно│ │
│SWIFT и рублевых│несанкционированного │уполномоченным сотрудникам. Терминалы SWIFT и│ │
│платежей не│доступа к функции│терминал рублевых платежей должны быть│ │
│ограничен. Данные│внешних платежей и│расположены в отдельной комнате. Следует│ │
│терминалы расположены│повышает возможность│рассмотреть возможность установки системы│ │
│в большом зале,│несанкционированных │видеонаблюдения за терминалами │ │
│доступ в который│переводов денежных│ │ │
│практически не│средств от имени банка │ │ │
│ограничен. В зале,│ │ │ │
│где расположены│ │ │ │
│терминалы, │ │ │ │
│функционируют четыре│ │ │ │
│различных │ │ │ │
│подразделения, │ │ │ │
│которые не имеют│ │ │ │
│отношения к указанным│ │ │ │
│терминалам. Кроме│ │ │ │
│того, там же│ │ │ │
│находится ксерокс,│ │ │ │
│используемый │ │ │ │
│сотрудниками банка, и│ │ │ │
│производится │ │ │ │
│обслуживание клиентов│ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Хранение ключевых│Повышается риск│Ключевая дискета должна храниться в сейфе │ !!! │
│дискет не│несанкционированного │ │ │
│соответствует │доступа к платежным│ │ │
│требованиям. В ходе│терминалам │ │ │
│обзора мы отметили,│ │ │ │
│что ключевая дискета│ │ │ │
│программы отправки│ │ │ │
│рублевых платежей│ │ │ │
│"Конва" не хранится в│ │ │ │
│сейфе, как того│ │ │ │
│требуют внутренние│ │ │ │
│положения банка и│ │ │ │
│инструкции ЦБ РФ │ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│В банке отсутствует│Компьютерные системы│Мы рекомендуем провести анализ возможных рисков│ !! │
│план действий на│банка являются важным│деятельности банка, определить наиболее│ │
│случай чрезвычайной│компонентом в его│критичные сферы деятельности и подготовить общий│ │
│ситуации. В настоящее│успешной операционной│порядок действий сотрудников банка при│ │
│время ИТ-службой│деятельности, и если│возникновении чрезвычайных ситуаций. Такой│ │
│разработан ряд│произойдет │порядок действий должен предусматривать четкое│ │
│отдельных мер по│продолжительный сбой в│распределение ответственности между│ │
│восстановлению данных│компьютерных системах│специалистами банка по восстановлению│ │
│и замене оборудования│банка, это может│работоспособности системы, примерный перечень│ │
│в случае его выхода│сказаться самым│действий, возможные причины возникновения│ │
│из строя. Однако на│негативным образом на│ситуации, а также масштаб возможных потерь для│ │
│сегодняшний момент не│его деятельности и│деятельности банка. │ │
│существует плана│привести к│Разработанный документ должен быть утвержден│ │
│восстановления │дополнительным потерям │руководством банка и доведен до сведения всех│ │
│компьютерных систем в│ │ответственных специалистов │ │
│случае чрезвычайных│ │ │ │
│ситуаций │ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Отсутствие стороннего│Ввиду того, что все│Мы рекомендуем хранить резервные копии за│ ! │
│хранения резервных│резервные файлы хранятся│пределами здания │ │
│копий данных. В банке│в одном и том же здании,│ │ │
│внедрены процедуры│аварийная ситуация,│ │ │
│создания резервных│например пожар в здании,│ │ │
│файлов. Однако все│может полностью│ │ │
│резервные копии│уничтожить критичную│ │ │
│хранятся в этом же│информацию. В результате│ │ │
│здании │этого банку, возможно,│ │ │
│ │придется приостановить│ │ │
│ │свои операции │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Серверная комната не│Риск повреждения или│Мы рекомендуем банку предпринять следующие шаги:│ ! │
│оборудована │выхода из строя│разработать и протестировать план тушения пожара│ │
│противопожарной │ключевого оборудования в│и эвакуации ключевого оборудования; обеспечить│ │
│газовой системой │случае пожара возрастает│наличие газовых огнетушителей в серверных│ │
│ │ │комнатах │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│В используемом банком│Отсутствие процедуры│Мы рекомендуем внедрить процедуру верификации│ !!! │
│программном │верификации может│валютных платежей, а также систему их│ │
│обеспечении │привести к│последующего контроля │ │
│отсутствует процедура│непреднамеренным ошибкам│ │ │
│верификации │или мошенничеству │ │ │
│международных │ │ │ │
│переводов. Все вводы│ │ │ │
│данных для платежей в│ │ │ │
│иностранной валюте│ │ │ │
│осуществляются одним│ │ │ │
│исполнителем │ │ │ │
└─────────────────────┴────────────────────────┴────────────────────────────────────────────────┴──────────┘
Дата добавления: 2019-01-14; просмотров: 521; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!