Целесообразность проведения регулярного IT-аудита обусловлена банка, повышением безопасности и необходимостью соответствовать российским и международным стандартам защиты данных в финансовой сфере. Отлаженная работа ИТ-отдела влияет на качество и скорость обслуживания, перечень предлагаемых услуг и удержание своей ниши в конкурентной борьбе.
ИТ-аудит – это комплекс мер (технических, организационных) для независимой и объективной оценки информационной безопасности, определения уязвимостей. По результатам проверки аудиторы выдают экспертное заключение, в котором дается четкая картина положения дел IT-инфраструктуры банка и точные рекомендации по повышению уровня защиты.
Аудиторская проверка проводится ежегодно, но также при утечке данных, сбоях программного обеспечения, при реорганизациях структур банка, объединении филиалов, смене руководства, изменениях в законодательстве. Аудиторы основываются на стандартах COBIT, PCI DSS, СТО БР ИББС 1.0 Банка России и др.
Что является целью аудита?
Аудит призван оценить риски, возникающие на процессном и техническом уровнях IT-структуры. В ходе работы определяются:
- риски, внешние и внутренние угрозы, уязвимости;
- реальная степень защиты банка.
Чаще всего проблемы связаны с несвоевременным обновлением ПО, антивирусной защиты, несогласованными действиями айтишников и безопасников, непродуманным управлением проектами.
В ходе проверки финансовой организации проверяется:
- функциональность IT-архитектуры;
- взаимосвязь элементов прикладных и системных IT-технологий;
- качество работы ИТ-отдела;
- наличие рисков и способы их устранения;
- зрелость банковской ИТ-структуры;
- управление лицензиями и т.п.
Типы и этапы ИТ-аудита
Аудит бывает:
- Внешний – инициируемый руководителем банка или правоохранителями. Он поручается независимым экспертам.
- Внутренний – осуществляется периодически, проводится сотрудниками по регламенту.
Процесс проверки имеет четкую последовательность:
- Создается план проверки, определяются границы исследования.
- Собирается информация о средствах и уровне безопасности, способах работы с данными.
- Проводится исследование и анализ данных.
- Формируется экспертное заключение для руководства банка с рекомендациями по повышению уровня безопасности ИТ-инфраструктуры.
Результативность ИТ-аудита
Итоговый отчет является обоснованным, честным и объективным. Он позволяет четко понимать, каково реальное положение информационной безопасности в банке. Надо различать прямой и отсроченный результат работы аудиторов.
Руководство сразу получает рекомендации по улучшению управления IT-процессом, снижению рисков, оптимизации инфраструктуры и оптимизации работы службы технической поддержки. Если все моменты, на которые указали аудиторы, будут реализованы, то в будущем увеличится результативность бизнес-процессов:
- развитие ИТ-сферы и затраты на ее будут прогнозируемыми;
- повысится качество обслуживания, наладится сквозная работа с клиентами за счет увеличения эффективности сотрудников;
- произойдет централизация информационных систем, рисков, лимитов;
- увеличится масштабируемость;
- произойдёт унификация банковских технологий и процессов;
- будет выполнена бесшовная интеграция информационной системы банка с онлайн-информацией и т.п.
Регулярность проведения IT-аудита и применение экспертных заключений на практике приносит максимальную выгоду.
Подробнее: https://integrus.ru/blog/it-decisions/audit-finansovoj-organizatsii.html
