Проверка проводилась выборочным порядком по следующим вопросам:

 Организация и планирование информационных технологий;
 Разработка, тестирование и внедрение программного обеспечения;
 Политика информационной безопасности;
 Предоставление прав доступа к информационным ресурсам;
 Обеспечение безопасности при подключении к сети Интернет;
 Резервное копирование и архивирование;
 Система электронного документооборота;
 Обеспечение непрерывности бизнеса.

1. Организация и планирование информационных технологий

в штате ОИТ числилось 2 человека.

В соответствии с Положением об Отделе информационных технологий, утверждённым Исполнительным директором, ОИТ выполняет следующие основные задачи:
 Разработка и внедрение проектов совершенствования информационно-технологического управления.
 Экономия средств за счет применения высокотехнологичных систем управления
 Выявление и оперативное устранение перебоев в работе оборудования и пользователей.

1.2. Концепция автоматизации в не разрабатывалось, что может привести к несоответствию целей и задач ИТ бизнес-стратегии, и, как следствие, к неэффективному использованию бюджета ИТ.
Положением об ОИТ предусмотрено участие в подготовке планов проектирования и внедрения автоматизированных систем управления, однако текущие годовые планы работы ОИТ по автоматизации деятельности не составлялись.

Рекомендация:
В целях уменьшения риска принятия не достаточно обоснованных и последовательных решений по приобретению и вводу в эксплуатацию вычислительной техники и программного обеспечения, а также возникновения ограничений в производительности и обеспечении достаточных функциональных возможностей программно-аппаратного комплекса .рассмотреть вопрос о разработке и утверждении концепции автоматизации.
Обеспечить составление годовых планов работ по автоматизации деятельности. Ввести в практику проведение периодических отчетов перед руководством о выполнении этапов годового плана работ.

1.3. На момент проверки не были регламентированы следующие процессы в части ИТ:
o процессы приобретения, сопровождения и внедрения программного обеспечения;
o порядок администрирования серверов, локальной сети и прикладных автоматизированных систем;
o порядок ведения архива программ и программной документации;
o порядок ведения, анализа и хранения журналов аудита прикладного и системного программного обеспечения;
o порядок защиты локальной сети от угроз из сети Интернет и анализа атак из сети Интернет;
o порядок анализа журналов антивирусных программ и предпринимаемых действий;
o политика информационной безопасности;
o порядок ведения и актуализации перечня информационных ресурсов;
o порядок предоставления доступа к информационным ресурсам;
o порядок восстановления программно-аппаратного комплекса в случае нештатных ситуаций, планы по обеспечению непрерывности бизнеса и порядок проверки их выполнимости;
что повышает риски в части обеспечения надежности функционирования автоматизированной системы организации и возможности ее дальнейшего развития в соответствии с потребностями бизнеса.
Рекомендация:
В целях снижения рисков в части обеспечения надежности функционирования автоматизированной системы разработать и утвердить установленным образом документы, регламентирующие процессы приобретения, внедрения и сопровождения прикладного программного обеспечения (п. А.10.3.2 ISO/IEC 27001-2005), а также порядки ведения архива программ и программной документации (п. А.10.1.1 ISO/IEC 27001-2005), анализа журналов антивирусных программ и предпринимаемых действий, проверки выполнимости планов по обеспечению непрерывности бизнеса, ведения и актуализации перечня информационных ресурсов

1.4. В Положении об ОИТ и должностных инструкциях отражены основные функции, выполняемые сотрудниками отдела. Вместе с тем, содержание должностных инструкций нуждается в уточнении в связи с отсутствием в них информации об обязанностях по администрированию оборудования и автоматизированных систем.
Не были назначены приказами администраторы серверов, локальной вычислительной сети, а также используемых в автоматизированных систем.
Работы по настройке автоматизированных систем и других программных продуктов, эксплуатируемых , а также представление доступа к домену и автоматизированным системам выполнялись ОИТ на основании служебных записок за подписью начальников подразделений. Сроки выполнения работ документально не согласовывались.
Рекомендация:
Следует актуализировать должностные инструкции сотрудников ОИТ в части выполнения задач и функций отдела, сопровождения и администрирования конкретных программных и аппаратных систем. Назначить приказами администраторов серверов, локальной вычислительной сети, а также используемых в автоматизированных систем.
Разработать и утвердить форму заявки на предоставление доступа к информационным ресурсам и задачам

1.5. На момент проверки администраторов информационной безопасности (АИБ) назначено не было. Функции АИБ выполнял начальник ОИТ. В соответствии с положениями Федерального закона «Об информации, информатизации и защите информации» АИБ в организациях вводятся в целях контроля режима информационной безопасности в подразделениях, соответствия полномочий и прав доступа сотрудников к информационным ресурсам организации их служебным обязанностям. На АИБ должна быть возложена обязанность оформления заявок на предоставление/изменение прав доступа в автоматизированных системах (АС).
Начальник ОИТ фактически выполняет функции администрирования (включая предоставление пользователям полномочий и прав доступа к информационным ресурсам) целого ряда автоматизированных систем. Таким образом, функции по составлению заявок на доступ к АС, их исполнению и контролю предоставленных прав должностным обязанностям пользователей ряда АС исполняются одним сотрудником. Таким образом, в результате совмещения исполнительских и контрольных функций, контроль был формальным.

Рекомендация:
По мнению проверяющих, следует рассмотреть возможность подготовки и назначения новых АИБ из числа сотрудников пользовательских подразделений с целью разделения полномочий руководителя ОИТ по администрированию автоматизированных систем и контролю режима информационной безопасности.

Утверждённая политика информационной безопасности отсутствует. Обеспечение ИБ возложено на сотрудников ОИТ, при этом контроль их действий в том, что касается ИБ (изменение настроек межсетевого экрана, антивирусного ПО, системы централизованного управления портами ввода-вывода, системы резервного копирования) не осуществляется.
Отсутствует модель угроз активам (персональным данным участников, денежным средствам на счетах и т.д.).
Возможные искажения электронных платёжных поручений выявляются лишь последующим контролем.
Резервные копии хранятся в помещении, что увеличивает риск полной утраты данных в случае чрезвычайных ситуаций.
По сообщению начальника ОИТ сотрудники предупреждаются о недопустимости пересылки на внешние почтовые адреса служебной информации. Сотрудники, ответственные за работу с системами электронного документооборота, предупреждаются о мерах по предотвращению компрометации ключей.

Ограничение доступа к данным на компьютерах пользователей осуществляется следующим образом.
Для входа в ОС требуется ввести пароль, аппаратные идентификаторы (например, ТМ) не требуются, модуль доверенной загрузки не используется. Корпуса компьютеров голографическими наклейками не опечатываются. Пароли на вход в BIOS не устанавливаются.
В ЛВС установлены требования к неповторяемости, максимальному сроку действия, минимальной длине и сложности паролей. В тоже время подобные требования отсутствуют для паролей ИС 1С. Таким образом, единая парольная политика отсутствует.
У большинства пользователей отключены порты ввода-вывода (USB, оптические приводы и т.д.) используется ПО GFI EndPointSecurity, позволяющее централизованно управлять портами ввода-вывода на компьютерах пользователей. Порты ввода-вывода подключаются по заявке, на указанное в заявке время. Действия сотрудников с подключёнными портами ввода-вывода протоколируются.

Подключение к Интернету.
Документ, регламентирующий деятельность сотрудников в Интернете отсутствует.
один канал подключения к сети Интернет (пропускная способность 4 096 Кбит/с), резервный канал отсутствует.
используются межсетевой экран и система обнаружения вторжений (МСЭ) Kerio control. МСЭ установлен на выделенном компьютере, размещающемся в серверной. Возможность менять настройки МСЭ имеют начальник ОИТ и его заместитель; в их должностных инструкциях данные задачи не прописаны. Утверждённая политика настроек МСЭ отсутствует. Процесс изменения настроек МСЭ не регламентирован.
По сообщению начальника ОИТ, изменение настроек производится по заявкам, подписанным Исполнительным директором; утверждённый формат заявки отсутствует, как правило, это письмо по электронной почте от Исполнительного директора.
Все изменения настроек протоколируются. По сообщению начальника ОИТ, он ежедневно просматривает журнал событий МСЭ с целью проверки вносившихся изменений, однако данный процесс не регламентирован.
Действия начальника ОИТ по изменению настроек МСЭ никем не контролируются.
3.4. Антивирусная политика.
На АРМ сотрудников и на файловом сервере установлено антивирусное ПО Kaspersky Workspace security и Kaspersky Anti-Virus for Windows File Server EE. В филиалах используется антивирусное ПО Eset Nod32.
Пользователи не имеют возможности отключить антивирусное ПО или изменить его настройки. Доступ к настройкам и журналам событий антивирусного ПО есть только у сотрудников ОИТ.

Использование электронной почты.
На момент проверки утверждённое положение о работе с электронной почтой отсутствовало. Сотрудники предупреждаются о недопустимости пересылки служебной информации на сторонние адреса. Электронные сообщения не проверяются на наличие служебной информации.
Руководством ОИТ рассматривается возможность внедрения автоматизированной системы SearchInform, позволяющей контролировать содержимое почтовых сообщений и документов, выводимых на печать.

Доступ к информационным ресурсам.
Доступ к ЛВС и ИС предоставляется сотрудникам по заявкам. Типового формата заявок на предоставление доступа к ресурсам нет.
Заявки на предоставление доступа к ИС поступают сотрудникам ОИТ от владельцев данных ИС по электронной почте.
При увольнении сотрудника происходит отзыв прав доступа к ЛВС и ИС. О необходимости удалить соответствующие учётные записи сотрудники ОИТ узнают из обходного листа, выдаваемого увольняемому сотруднику.

Регламент уничтожения данных на списываемых носителях отсутствует.

Обеспечение непрерывности бизнеса
6.1. Порядок действий при возникновении нештатных ситуаций в процессе эксплуатации программно-технического комплекса и план мероприятий по восстановлению бизнеса в случае чрезвычайных ситуаций не регламентированы.

Серверное помещение, по мнению проверяющих, не имеет достаточной защиты от несанкционированного доступа (входная дверь – деревянная), а также не в полной мере защищено с точки зрения пожарной безопасности (для пожаротушения используется вода) вследствие чего возрастает риск утраты критичной для работы информации.
Резервная серверная отсутствует, что снижает уровень обеспечения непрерывности бизнеса и может привести к нарушению режима функционирования в случае выхода из строя основного оборудования.
Рекомендации:
В целях повышения уровня обеспечения непрерывности бизнеса рассмотреть вопрос о целесообразности создания резервной серверной комнаты в дополнительном помещении.

Основные выводы

К основным недостаткам, которые повышают риски принятия не достаточно обоснованных решений по информационным технологиям, несанкционированного доступа к информационным ресурсам, нарушения целостности программного обеспечения и данных, а также риски, связанные с обеспечением непрерывности бизнеса можно отнести низкий уровень документирования ключевых процессов в области ИТ. В ходе проверки отмечено, что отсутствуют внутренние регламенты и документирование большинства направлений деятельности отдела информационных технологий.

В такой ситуации существенно затруднён контроль за функционированием ИТ и их эффективностью. Кроме того, отсутствие надлежащей документации повышает риск зависимости от ключевых сотрудников службы ИТ, их опыта и знаний.

По мнению проверяющих, необходимо разработать и утвердить процедуры документирования для основных процессов в области ИТ и осуществлять регулярный контроль за их выполнением со стороны руководства.

Эксперт
Департамента внутреннего контроля