│отношения │привести к потере│обеспечит аналитическую информацию об уровне│ │
│пользователей и│информации. Отсутствие│компьютерной подготовки пользователей, наиболее│ │
│сотрудников ИТ. В│статистических данных по│типичных проблемах, а также позволит определить│ │
│банке отсутствует│типам и количеству│те области в организации ИТ и информационных│ │
│служба технической│ИТ-проблем затрудняет│систем, которые необходимо усовершенствовать │ │
│поддержки в форме│принятие управленческих│ │ │
│help-desk с│решений. Нет возможности│ │ │
│обязательной │контролировать и│ │ │
│регистрацией всех│координировать работу│ │ │
│обращений и четкими│службы технической│ │ │
│стандартами на время│поддержки │ │ │
│и качество обработки│ │ │ │
│запросов │ │ │ │
│пользователей. В│ │ │ │
│настоящее время│ │ │ │
│заявки пользователей│ │ │ │
│не регистрируются и│ │ │ │
│не анализируются.│ │ │ │
│Соответственно не│ │ │ │
│осуществляется │ │ │ │
│официальный │ │ │ │
│мониторинг объема│ │ │ │
│работы и видов│ │ │ │
│проблем, с которыми│ │ │ │
│сталкиваются │ │ │ │
│специалисты ИТ │ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Отсутствие члена│Затруднения при│Возложение ответственности за ИТ на члена│ !! │
│правления банка,│оперативном решении│правления банка будет способствовать оптимизации│ │
│курирующего ИТ │проблем ИТ, низкий│процесса решения проблем и повышению│ │
│ │уровень информирования│эффективности деятельности подразделения ИТ │ │
│ │правления о проблемах в│ │ │
│ │области ИТ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Политика │Конфиденциальность и│Мы рекомендуем обновить и детализировать│ !! │
│информационной │стабильность │официальное положение по информационной│ │
│безопасности банка│информационных систем│безопасности. За основу может быть взята│ │
│недостаточно детальна│имеет большое значение│следующая структура этого документа. │ │
│ │для деятельности банка.│Часть 1. Управление информационной│ │
│ │Неадекватное управление│безопасностью. │ │
│ │информационной │1.1. Введение. │ │
│ │безопасностью может│1.2. Обязанности руководства и сотрудников. │ │
│ │привести к финансовым│1.3. Ключевые позиции. │ │
│ │потерям и раскрытию│1.4. Основные требования к пользователям ИС. │ │
│ │конфиденциальной │1.5. Классификация и анализ рисков. │ │
│ │информации │1.6. Классификация информации. │ │
│ │ │1.7. Использование сетевого и│ │
│ │ │телекоммуникационного оборудования. │ │
│ │ │1.8. Правила резервирования данных. │ │
│ │ │1.9. Поддержка информационной безопасности.│ │
│ │ │Часть 2. Стандарты информационной защиты. │ │
│ │ │2.1. Аппаратная защита. │ │
│ │ │2.2. Защита от несанкционированных действий. │ │
│ │ │2.3. Программная защита. │ │
│ │ │2.4. Защита локальной вычислительной сети. │ │
│ │ │2.5. Стандарты информационной безопасности при│ │
│ │ │разработке и модернизации программ. │ │
│ │ │2.6. Информационная защита серверов и│ │
│ │ │автоматизированных рабочих мест. │ │
│ │ │2.7. Взаимодействие с третьими лицами. │ │
│ │ │2.8. Хранение данных │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Требования временного│Отсутствие сотрудника,│Мы рекомендуем назначить администратора по│ !! │
│положения по│постоянно │безопасности в соответствии с существующими│ │
│управлению доступом│контролирующего │требованиями и провести внутреннюю проверку│ │
│не выполняются.│информационную │соблюдения корпоративных норм информационной│ │
│Некоторые требования│безопасность, может│безопасности │ │
│временного положения│привести к несоблюдению│ │ │
│банка об управлении│внутренних норм в этой│ │ │
│доступом │области и, как│ │ │
│пользователей │следствие, к увеличению│ │ │
│нарушаются. В│риска │ │ │
│частности, внутренним│несанкционированных │ │ │
│положением банка│действий с информацией │ │ │
│введена позиция│ │ │ │
│администратора банка,│ │ │ │
│однако сотрудника,│ │ │ │
│выполняющего эти│ │ │ │
│функции, в банке нет.│ │ │ │
│Также нарушается ряд│ │ │ │
│положений, │ │ │ │
│ограничивающих доступ│ │ │ │
│к наиболее критичным│ │ │ │
│информационным │ │ │ │
│ресурсам │ │ │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Отсутствие │Неадекватный контроль за│Мы рекомендуем внедрить и использовать│ !!! │
│внутреннего аудита│ИТ повышает риск сбоя в│эффективную систему внутреннего контроля при│ │
│информационных систем│работе ИТ. Отсутствие│обработке данных. По нашему мнению, банку│ │
│ │функции аудита ИС может│следует предпринять следующие шаги: разработать│ │
│ │привести к неточному и│письменное руководство по проведению аудита ИС; │ │
│ │ненадежному процессу│назначить внутренних аудиторов; правление должно│ │
│ │обработки данных, а│регулярно анализировать и подтверждать│ │
│ │также снизить│квалификацию и независимость аудиторов;│ │
│ │информационную │определить объем и частоту проведения│ │
│ │безопасность │аудиторских проверок, а также методики│ │
│ │ │проведения аудита; разработать план действий│ │
│ │ │руководства для устранения существенных│ │
│ │ │недостатков, отмеченных в отчетах аудиторов. │ │
│ │ │Мы рекомендуем проводить внешние независимые│ │
│ │ │аудиторские проверки ИС по крайней мере раз в│ │
│ │ │два года, даже если в банке регулярно проводится│ │
│ │ │внутренний аудит │ │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Большое количество│Применение различных│Мы рекомендуем рассмотреть возможность│ ! │
│используемых │платформ может привести│сокращения количества используемых платформ. По│ │
│технологических │к проблемам при│нашему мнению, было бы целесообразно отказаться│ │
│платформ. В ходе│интеграции данных, а│от использования, например, платформы Windows NT│ │
│проверки мы отметили,│также существенно│ │ │
│что банк применяет│усложняет их│ │ │
│различные платформы,│обслуживание и│ │ │
│включая Windows NT,│поддержку. Кроме того,│ │ │
│Novell NetWare и│обслуживание данных│ │ │
│Unix. Windows NT│платформ сопряжено с│ │ │
│используется для│существенными затратами,│ │ │
│некоторых специальных│которые могут быть│ │ │
│задач, например для│снижены при│ │ │
│обеспечения услуг│использовании меньшего│ │ │