Защита информационных технологий. Новая специальность
Брюс Нирон
Начало в выпусках: #95
В кратком изложении
План работы и анкеты
Специалист не должен браться за проект по защите ИТ без письменного плана. Пример простого плана работы и анкет можно найти на www.auditnet.org. Используя эти инструменты в сочетании со структурой Комитета спонсорских организаций (Committee of Sponsoring Organizations - COSO) и COBIT, специалист может приспособить план работы к конкретному контракту.
Контрольная среда и оценка риска
Контрольная среда. Контрольная среда, согласно COSO, "задает тон в организации, влияет на понимание контроля людьми. Она служит основой для всех остальных компонентов внутреннего контроля, обеспечивая дисциплину и структуру".
Специалист должен оценить следующие факторы:
- честность и уровень этики администрации и руководства отдела ИТ;
- стимулы и соблазны;
- управленческие методы в обучении этическим принципам;
- философию управления, стиль работы и стремление к повышению компетентности;
- степень участия Совета или оргкомитета ИТ;
- распределение власти и ответственности;
- кадровую политику и ее реализацию.
Результат оценки контрольной среды будет иметь значение для последующих этапов проекта.
Оценка риска. Руководство должно оценить степень рискованности проекта. Многие организации не формулируют цели защиты ИТ и не доводят их до работников, а это - одно из условий оценки риска. Администрация может не понимать, что ее цели расходятся с целями отдела ИТ, до тех пор, пока проблемы, связанные с безопасностью информации, не станут угрожать нормальной работе, доходности или репутации предприятия.
COSO утверждает, что некоторые обстоятельства требуют особого внимания при оценке риска:
- динамичная рабочая среда. Развитие Интернета и необходимость интегрировать e-бизнес и e-коммерцию вызывают радикальные перемены;
- новые кадры. Руководители поколения ПК в большей степени готовы рисковать и жертвовать контролем. Для них эффект важнее безопасности в погоне за местом на рынке;
- новые и обновленные информационные системы. Переход с управляемых ЭВМ на менее управляемые LAN и WAN и быстрое развитие сетей приводит к системным изменениям;
- ускоренное старение. Жизненный цикл традиционного аппаратного и программного обеспечения раньше измерялся десятилетиями - платформы Wintel устаревают за полгода.
Если руководство не определилось с целями компании по безопасности ИТ или не оценило риск, будет трудно наметить контрольные меры.
Физические и эксплуатационные средства контроля
Физические средства контроля. Составляя программу работы, специалист должен продумать следующие аспекты:
- ограничение доступа в серверные помещения;
- использование надлежащих строительных материалов;
- выбор места;
- предотвращение пожаров;
- поддержание комнатной температуры и качества воздуха;
- защита магнитных носителей (storage media) и их маркировка.
Недостаточность физических средств управления может привести к таким последствиям, как: вандализм, стихийные бедствия, пожары, повреждения магнитных носителей или невозможность найти их в нужный момент.
Эксплуатационные средства контроля. Невидимые для пользователей и руководителей других отделов, они обеспечивают защиту, целостность и доступность информации. К ним относятся:
- руководства поставщика по аппаратному и программному обеспечению;
- справочники по процедурам ИТ;
- графики работы;
- графики архивирования и учета носителей информации;
- разделение обязанностей между отделами ИТ и производства;
- официальное возложение обязанностей на работников.
Слабое эксплуатационное управление приводит к таким последствиям, как:
- незнание уязвимых мест своего аппаратного и программного обеспечения;
- невыполнение важнейших процедур;
- несвоевременный запуск программ;
- повышенная опасность мошенничества со стороны служащих;
- недостижение целей работы и безопасности, так как отсутствует прямая ответственность.
Устранение аварийных ситуаций
Цель устранения аварийных ситуаций, связанных с ИТ, - восстановление информации, когда ее носители разрушены или повреждены (целиком или частично). Опасность для банка данных представляют: стихийные бедствия, умышленный и случайный ущерб, кражи, сбои в аппаратном или программном обеспечении. К главным средствам контроля относятся: письменный план ликвидации аварии; периодическое резервное копирование ОС, программ и данных; мероприятия по сохранению файлов; своевременная полная инвентаризация ИТ.
Кадровые вопросы
Работники, отвечающие за безопасность и управление операциями, должны быть надежными и соответствующим образом обученными. Организации следует обеспечить проверку служащих, имеющих полный доступ к технике, ПО и данным. Эти меры особенно необходимы в отношении сотрудников отдела безопасности ИТ, которые контролируют допуск пользователей или управляют системой паролей. Инженерам по безопасности, системным администраторам и руководителям проектов необходимо регулярно проходить полный курс обучения. Организация должна знакомить пользователей со своей политикой в области защиты ИТ при приеме на работу и периодически проводить программы повышения безопасности.
Последствия кадровой недоработки - безответственные работники на важных должностях, старшие руководители, не понимающие уязвимости системы, и халатные или неграмотные пользователи.
Расставим точки над i
Целью данного обзора по защите ИТ и средствам контроля было предложить некоторые примеры, а не исчерпать тему. Другие грани вопроса, на которыми можно подумать:
- жизненный цикл разработки ПО;
- страхование оборудования и данных;
- доступ к сети и системным утилитам и компиляторам;
- аудит безопасности;
- анализ работы и отчетность;
- система бесперебойного питания (UPS);
- контроль бланков строгой отчетности;
- процедуры поставщика, консультанта и подрядчика.
Спрос на услуги
Безопасность ИТ жизненно важна для любой компании. Хотя спрос на услуги по защите ИТ снизился с переходом от ЭВМ к ПК, возникновение Интернета и рост электронно-сетевого бизнеса повернули эту тенденцию вспять, дав возможность бухгалтеру предложить ценную специализированную услугу. Во многих случаях из итогового отчета специалиста следует, что ситуация даже хуже, чем предполагал сам клиент. Проекты по защите ИТ могут дать дополнительный объем работы дипломированному бухгалтеру, если клиенты желают обезопасить или заменить свои информационные системы.
Брюс Нирон, CPA, член группы консалтинга Cohn, подразделения J.H. Cohn LLP, в Roseland, штат Нью-Джерси, член Комитета по новейшим технологиям при NYSSCPA.