Аудит информационной безопасности: цели, методы и средства, пример. Аудит информационной безопасности банка
Опубликовано: 09.02.2018Сегодня всем известна чуть ли не сакральная фраза о том, что владеющий информацией владеет миром. Именно поэтому в наше время красть конфиденциальную информациюпытаются все кому не лень. В связи с этим принимаются и беспрецедентные шаги по внедрению средств защиты от возможных атак. Однако иногда может потребоваться провести аудит информационной безопасности предприятия. Что это такое и зачем все это нужно, сейчас и попробуем разобраться.
Что представляет собой аудит информационной безопасности в общем определении?
Сейчас не будем затрагивать заумные научные термины, а постараемся определить для себя основные понятия, описав их самым простым языком (в народе это можно было назвать аудитом для «чайников»).
Название этого комплекса мероприятий говорит само за себя. Аудит информационной безопасности представляет собой независимую проверку или экспертную оценкуобеспечения безопасности информационной системы (ИС) какого-либо предприятия, учреждения или организации на основе специально разработанных критериев и показателей.
Говоря простым языком, например, аудит информационной безопасности банка сводится к тому, чтобы оценить уровень защиты баз данных клиентов, проводимых банковских операций, сохранности электронных денежных средств, сохранности банковской тайны и т. д. в случае вмешательства в деятельность учреждения посторонними лицами извне, использующими электронные и компьютерные средства.
Наверняка, среди читателей найдется хотя бы один человек, которому звонили домой или на мобильный телефон с предложением оформления кредита или депозитного вклада, причем из банка, с которым он никак не связан. То же самое касается и предложения покупок от каких-то магазинов. Откуда всплыл ваш номер?
Все просто. Если человек ранее брал кредит или вкладывал деньги на депозитный счет, естественно, его данные были сохранены в единой клиентской базе.При звонке из другого банка или магазина можно сделать единственный вывод: информация о нем незаконно попала в третьи руки. Как? В общем случае можно выделить два варианта: либо она была украдена, либо передана сотрудниками банка третьим лицам осознанно. Для того чтобы такие вещи не происходили, и нужно вовремя проводить аудит информационной безопасности банка, причем это касается не только компьютерных или «железных» средств защиты, но всего персонала банковского учреждения.
Риски банковской деятельности: понятие, классификация, методы расчета, управление
К понятию финансовых рисков
Под финансовыми рисками следует понимать реальную возможность неоправданного увеличения расходов, снижения доходов, уменьшения прибыли, возникновения убытков, уменьшения капитала, неспособности расплачиваться по своим обязательствам вследствие любых факторов внутреннего и внешнего характера (включая неверные действия или отсутствие действий), влияющих на условия и результаты деятельности экономического субъекта.
При этом следует подчеркнуть: в рамках экономической науки в качестве факторов (причин, источников) рисков должны рассматриваться только такие явления (процессы, события, обстоятельства и т.д., как правило, ожидаемые, предсказуемые), которые могут негативно отразиться на экономических и/или финансовых результатах деятельности субъекта. Никакие факторы, даже самые неблагоприятные в том или ином смысле, вообще не должны приниматься во внимание при экономическом подходе к вопросу, если их результатом не может быть ухудшение показателей расходности, доходности, прибыльности, платежеспособности.
Риск — почти неизбежная часть всякой коммерческой деятельности, в том числе банковской. Тем не менее банк обычно предпочитает избежать риска (предупредить риск), а если это невозможно, то свести его к минимуму. В рамках этого общего подхода банки, в частности, выбирают из разных возможных вариантов действий наименее рискованный и обязательно сравнивают риск предстоящего события (т.е. расчетную величину возможных потерь, связанных с таким событием), с одной стороны, с затратами, необходимыми для того, чтобы по крайней мере минимизировать негативные последствия такого события, если оно все-таки произойдет, а с другой — с возможными выгодами, которые можно получить, если это событие все же не состоится. При.этом важно иметь в виду: уровень риска и уровень ожидаемых выгод (дохода, прибыли) не связаны какой-либо жесткой однозначной зависимостью. Возможны случаи, когда высокая (низкая) ожидаемая прибыль прямолинейно связана с высоким (низким) риском. Однако гораздо чаще наблюдаются случаи, когда указанная зависимость не прослеживается.