о організувати грамотну процедуру перевірки системи її контролю. Природно, цей контроль (в термінах ITSEC - аудит) повинна бути повною, оперативним, достовірним і ефективним, а сама система - охоплювати всі об'єкти (ресурси, кошти, програми, персонал), здатні послабити досягнутий рівень безпеки. Все це входить у політику ITSEC, але крім того при її розробці повинні враховуватися й інші важливі фактори:
? визначення цілей захисту;
? визначення об'єкта захисту;
? визначення актуальних загроз і їх суб'єктів, вибір профілів захисту;
? розробка методів визначення якості захисту або вибір існуючих систем критеріальних оцінок;
? отримання гарантій захищеності системи.
На жаль, досить часто банк, замовляючи послуги у сфері ITSEC, погано уявляє роль і місце конкретного сервісу і його внесок у загальний інтегральний рівень безпеки. У підсумку витрати на забезпечення безпеки різко зростають - при повній практичної невизначеності в оцінці досягнутої ефективності. Парадокс у тому, що при подальшому вкладенні коштів невизначеність оцінок не знижується, зате складність реалізації заходів безпеки зростає. Уникнути подібного можна, застосувавши багаторівневу модель структуризації об'єктів інформаційної безпеки.
Існує сім різних рівнів технологій і реалізованих на них процесів, для яких актуальні для них загрози, агенти цих загроз, методи захисту, критерії оцінки ефективності мають принципові відмінності.. Фізичний. Мережевий. Мережевих додатків. Операційних систем. Систем управління базами даних. Додатків. Бізнес-процесів
Як правило, пропозиції навіть за дуже хорошими, ефективним і сертифікованим засобам забезпечення безпеки не виходять за III рівень і забезпечують захист від загроз, що виходять від суб'єкта, що не має прав доступу до ресурсів, що захищаються.
Очевидно, що на стійкість налаштувань, що забезпечують безпеку, впливає їх доступність великому числу користувачів, адміністраторів систем і програмістів. Так як ці фахівці мають, як правило, багато ступенів свободи, а моніторинг їх діяльності зазвичай вельми слабкий, наявності відсутність «прозорості» та високий ступінь ризику в цій зоні.
Найбільш грамотний вихід з подібної ситуації полягає в переході на централізовані обробку та управління безпекою, розвиток аудиту подій в системі (з обов'язковим оперативним розбором інформації, щоб забезпечити їх прозорість для служби безпеки) і посилення адміністративного компонента в управлінні персоналом. Саме такий підхід характерний для найбільших і широко представлених на нашому ринку корпорацій (IBM, HP та інших). За рахунок реформи IT-сектора вони домоглися централізації як обробки, так і адміністрування ресурсів, виключивши з цього процесу користувачів і поставивши під контроль адміністраторів.
Так, наприклад, в організації, що надає послуги передачі міжбанківських платежів, що захищається ресурс буде один, а в банках, що користуються цією системою, - зовсім інший. Значить, і політика безпеки різна, включаючи в першому випадку одну групу рівнів моделі, а в другому - іншу. Є тут відмінності і за видами і агентам загроз, і за методами захисту, і за критеріями оцінки безпеки. Тому при зовнішній схожості і загальної сфері діяльності цих двох організацій, ITSEC в них разюче відрізняється.
2. Міжнародні критерії для підвищення прозорості банків
. 1 Система звітності за міжнародними стандартами
інформаційний прозорість банк стандарт
В даний час найбільш гостро стоїть проблема приведення існуючої в країні системи бухгалтерського обліку та звітності у відповідність до вимог міжнародних стандартів фінансової звітності (МСФЗ), а тому тема нововведень в бухгалтерському обліку та звітності, зважаючи мінливості вітчизняного банківського законодавства, не втрачає своєї актуальності.
Міжнародні стандарти фінансової звітності створюються в результаті роботи Комітету з міжнародних стандартів (International Accounting Standards Board, IASB). У його завдання входить уніфікація систем бухгалтерського обліку в усьому світовому співтоваристві. На сьогодні в цілому розроблено більше сорока міжнародних стандартів - і це не межа: з кожним роком додаються нові стандарти, при цьому діючі стандарти регулярно переглядаються, скасовуються або об'єднуються.
Для розкриття питання необхідно знайти відповіді на наступні питання:
Чому виникає питання про необхідність переходу російських банків на міжнародні стандарти обліку та звітності?
Що дає банкам перехід на МСФЗ?
Відомо, що фінансова (бухгалтерська) з...
