Контроль критичных бизнес-процессов

8 августа 2008 Финансовая газета
Финансовая газета
#4, июль-август, 2008 г.
Владислав Ершов, Алексей Липатов, ведущие специалисты отдела информационной безопасности компании Открытые Технологии.

В современном бизнесе для осуществления контроля за управлением активно используются информационные технологии, основным элементом которых на современном предприятии является информационная безопасность. Функция контроля применительно к информационной безопасности является такой же важной, как и контроль деятельности предприятия с точки зрения финансов, производства, взаимоотношений с клиентами.

В крупных компаниях информационная безопасность (ИБ) воспринимается как часть бизнеса, а процессы обеспечения ИБ стоят в ряду процессов, которые позволяют им эффективно и непрерывно функционировать. Если контроль за деятельностью предприятия с точки зрения финансов, производства, взаимоотношений с клиентами осуществляется с использованием широко распространенных систем типа ERP, CRM и др., то контроль с точки зрения ИБ все еще далек от самого бизнеса и его задач. Данные утверждения наиболее ярко проявляются в тех отраслях, где зависимость бизнеса от ИТ очевидна. Безусловно, к такой отрасти можно с уверенностью отнести и финансовую.

Обратимся к современной практике и выясним, какие критерии рассматривают клиенты при выборе организации и какие риски в настоящее время существуют для финансовых организаций.


Делаем выбор

С точки зрения клиента существует перечень важных критериев при осмысленном выборе банка или управляющей компании, в их числе: условия обслуживания, перечень услуг, процентные ставки, стоимость обслуживания, качество обслуживания, расположение и количество офисов и др. Но в большинстве случаев гораздо важнее иметь дело с известным и надежным брендом (в том числе с организацией, имеющей стабильные и высокие рейтинги). И если вопросы известности (в положительном смысле) в большей степени являются маркетинговой задачей, то надежность относится к экономической безопасности.

Современная практика говорит о том, что при выборе банка следует рассматривать такие аспекты, как качество корпоративного управления и, в частности, риск-менеджмент. Это в первую очередь касается крупных корпоративных клиентов с многомиллионными счетами. Хотя и о физических лицах не стоит забывать. Вряд ли кто-то захочет иметь дело с банком или страховой организацией с плохой репутацией. А репутацию испортить гораздо легче, чем восстановить.

Безусловно, одним из факторов риска является мошенничество собственных сотрудников. Примеров мошеннических действий со стороны сотрудников можно не приводить, их достаточно описано в прессе. Рейтинговые агентства с легкостью снижают рейтинг надежности при наличии серьезных инцидентов. Ярким примером тому является недавнее снижение (в июне 2008 г.) рейтинга банка Societe Generale известным агентством Moody's Investors Service в результате громкого инцидента, связанного с мошенническими действиями трейдера. При этом в заявлении Moody's Investors Service помимо упоминаний о данном инциденте назывались и слабости в управлении рисками в целом. Но беды банка не закончились снижением рейтингов: Французская банковская комиссия оштрафовала его на 4 млн евро и заявила о "серьезных недостатках в сфере внутреннего контрол".

Задача менеджмента организации — "держать руку на пульсе" для обнаружения и предотвращения мошенничества. Конечно, в данном утверждении есть доля лукавства. Ведь для борьбы с мошенничеством есть специально выделенные сотрудники и целые подразделения. Но возникает вопрос, а есть ли у них эффективные инструменты для работы, и может ли руководство адекватно оценить деятельность этих подразделений. Вопрос даже шире — может ли организация в лице своего менеджмента предоставить обоснованные гарантии надежности.

В целом ответить на этот вопрос можно положительно. Но это в теории, а на практике специалисты, отвечающие за вопросы безопасности и противодействия мошенничеству, заявляют, что отсутствие в бизнес-приложениях средств контроля действий пользователей лишает их возможности действовать эффективно.

Помимо отсутствия адекватных технических средств контроля, о требованиях к которым поговорим позже, существует и проблема в наличии выстроенных процессов управления системой ИБ, включающих в том числе мониторинг и управление инцидентами. При этом одной из задач подобных процессов является «вертикальная» интеграция исполнителей, ответственных за те или иные задачи (к примеру, обнаружение мошенничества), и руководства, которое должно принимать управленческие решения на основе полученных «снизу» данных.

На практике же информация для принятия управленческих решений может быть просто не получена из-за отсутствия адекватных технических средств (что является основной проблемой на сегодняшней день). Кроме этого высокоуровневые отчеты для руководства могут содержать искаженные факты, так как информация от первичных источников событий будет претерпевать ряд преобразований и обобщений. Причем искажения могут быть как умышленного, так и непредумышленного характера (в том числе и различия в интерпретации одинаковых фактов разными людьми). Да и время доведения необходимой информации до руководства может быть чрезмерно велико, что приводит к задержке в принятии важных решений.

В результате руководство не имеет возможности контролировать важные процессы обеспечения ИБ и противодействовать мошенничеству. Это приводит к тому, что организация не может "с чистой совестью" гарантировать клиентам надежность и безопасность клиентских средств.

Но если даже организация не задумывается о вопросах предоставления гарантий клиентам (или, например, инвесторам), то государственные регулирующих органы об этом думают. В настоящее время различные стандарты, законы, отраслевые требования в области информационной безопасности призваны защитить интересы клиентов банка, инвесторов, партнеров по бизнесу.

По сути, все современные стандарты говорят одно и то же: топ-менеджеры должны участвовать в процессах обеспечения и управления ИБ, необходимо оценивать риски и управлять инцидентами, необходимо планировать и реализовывать меры по обеспечению непрерывности бизнеса и т.д.

Один из основных вопросов, который затрагивается в стандартах, — создание системы менеджмента ИБ (СМИБ), включающей контроль эффективности используемых средств защиты и процессов СМИБ. Кроме того, в современных стандартах все больше внимания уделяется требованиям к обеспечению контроля действий пользователей в бизнес-системах. И вновь мы приходим к проблемам, рассмотренным ранее.

Ущерб, который может быть нанесен предприятию при невыполнении требований регулирующих органов, различен: начиная от небольших штрафов (в соответствии с КоАП) и заканчивая невозможностью предоставлять тот или иной вид услуг (к примеру, при невыполнении требований стандарта по безопасности в индустрии платежных карт PCI DSS).


Пути решения проблемы

Говоря о решении проблемы, можно сказать, что для обеспечения контроля необходимы эффективные процессы системы менеджмента ИБ (СМИБ), а также технические средства обеспечения контроля действий пользователей.

В отношении процессов СМИБ (а это в первую очередь процессы, связанные с контролем эффективности и управлением инцидентами) можно смело обращаться к развитым стандартам:

  • ISO/IEC 27001:2005 (Требования к системе менеджмента ИБ);
  • ISO/IEC 18044:2004 (Управление инцидентами ИБ);
  • СТО БР ИББС-1.0-2006 (Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения").

Целью СМИБ по большому счету является создание зрелой системы менеджмента ИБ, интегрирующей в процессы обеспечения ИБ как ИТ-подразделения, подразделения информационной безопасности, внутреннего контроля, так и бизнес-подразделения (включая топ-менеджеров).

Говоря о второй составляющей — технических средствах, стоит еще раз обратить внимание на то, что современные бизнес-приложения в большинстве своем не имеют требуемого функционала. Общие требования к средствам контроля действий пользователей можно выразить следующим образом:

  • независимость от бизнес-приложения;
  • контроль действий всех пользователей;
  • возможность использования специальными подразделениями (информационной безопасности, внутреннего контроля) независимо от ИТ-по дразделения;
  • наличие развитых средств моделирования схем мошенничества;
  • возможность работы как в режиме реального времени, так и с историческими данным;
  • функционал оповещений;
  • отчетность различного уровня (в том числе и для руководства);
  • средство автоматизации расследования инцидентов и контроля хода расследования (в том числе руководством).

Среди продуктов, отвечающих описанному функционалу, можно выделить, например, программный продукт Intellinx производства одноименной компании. Практический опыт внедрения таких средств показывает, что использующие их компании получают следующие выгоды:

  • возможность обнаружения мошеннических действий на основе гибко настраиваемых сценариев;
  • сокращение времени расследования инцидентов, связанных с мошенничеством;
  • получение объективной информации о произошедших инцидентах на всех уровнях корпоративного управления.

Подобные средства не являются традиционными и не так распространены, тем не менее широкое внедрение данных систем во всем мире говорит об их эффективности и пользе для бизнеса. В заключение стоит сказать, что наличие выстроенных процессов СМИБ в сочетании с эффективным средством автоматизации этих процессов может являться тем самым фактором, который даст гарантию как руководству, так и клиентам (инвесторам, партнерам) в том, что все в вашей организации под контролем.




Предыдущая новость:
"ЦОД должен обеспечивать рост бизнеса, а не наоборот"
Следующая новость:
Мы продаем не коробку, а решение!