Риски информационных технологий и методические рекомендации по их контролю Текст научной статьи по специальности «Компьютерные и информационные науки»

Риски информационных технологий и методические рекомендации по их контролю

Курныкина Ольга Васильевна,

д.э.н., профессор Департамента аудита и корпоративной отчетности Финансового университета при Правительстве Российской Федерации E-mail: ovk_2003@mail.ru

Предмет. Риски, сопутствующие применению информационных технологий в информационно-аналитическом обеспечении деятельности, и рекомендации по контролю над ними. Цели. Исследование многообразия и сущности рисков, возникающих при применении электронных технологий и разработка рекомендаций по формированию методик контроля рисков информационных технологий. Методология. Исследование основано на методах анализа и синтеза, сравнения, детализации, обобщения, на системном и риск-ориентированном подходе. Результаты. В статье приведен список наиболее распространенные риски электронных технологий, выявлены характерные черты, присущие им. Отмечены проблемы теоретического и практического аспектов вызванные отсутствием четкого и единообразного определения понятия «технологические риски», целесообразно использовать для разработки нормативно-правовых документов и внутренних методик контроля и схем бизнес-процессов, включающих контроль рисков. Даны рекомендации по организации проведения оценивающего риск ориентированного контроля в условиях применения информационных технологий.

Выводы. Системная организация контроля рисков применения информационных технологий, проводимая на основе разработанных методических рекомендаций, позволит использовать преимущества информационных технологий и снизить возможные угрозы потери информации, конфиденциальности и предотвращать сбои работе электронных систем.

Ключевые слова: цифровые технологии; риски цифровиза-ции; электронные технологии; контроль рисков электронных технологий, информационные риски.

LO S Ое

со см о см

СП

Введение

Активное развитие цифровизации и внедрение электронных технологий затрагивает все сферы жизни и отношений. Это определило повышенное внимание и их поддержку на государственном уровне. В России принята Программа развития цифровой экономики в России до 2035 года [10]. Программа содержит цели и задачи развития, в том числе «установление параметров перехода к цифровой экономике по каждой отрасли; разработка нормативно-правовой базы; совершенствование основной инфраструктуры и создание национальных институтов цифровизации».

Активное развитие цифровизации неизбежно приводит к трансформации методов и способов формирования, передачи и хранению информации во всех сферах экономики, а также в области учета, формирования отчетности и аудита. Применение цифровых технологий имеет ряд существенных преимуществ по сравнению с ручной обработкой данных, но связано с множеством рисков, вызываемых преобразованием информации в цифровую систему. У использования электронных технологий есть неоспоримый ряд преимуществ. Автоматизация процесса обработки данных позволяет более эффективно использовать заранее определенные правила, что способствует ускорению выполнения сложных расчетов и обработке больших объемов данных. Повышается качество, доступность и скорость предоставления информации, расширяются возможности для дальнейшего анализа данных, упрощается контроль и мониторинг, снижается риск нарушений правил и обеспечивается защита и разделение ответственности. Электронные технологии могут быть более эффективными и надежными, чем ручные, из-за отсутствия возможности их обхода, игнорирования или преодоления. Они также менее подвержены ошибкам, чем выполняемые вручную.

Электронные технологии особенно полезны в следующих ситуациях:

- когда имеется большой объем повторяющихся задач, где ошибки могут быть предотвращены или исправлены с помощью автоматизации;

- в случаях, когда имеются средства контроля, и определенный порядок управления может быть организован и выполнен автоматически. Наряду с важными достоинствами применение

электронных технологий связано с множеством рисков, которые следует выявлять и контролировать для предотвращения негативных событий при работе с цифровой информацией.

Риски информационных технологий: определение, специфика проявления и оценки

Развитие информационных технологий и активизация использования их в процессах формирования информации обусловливает новые проблемы и риски, относящиеся к надежности электронных систем создания и хранения информации, конфиденциальности, резервному хранению и актуализации хранимой информации по мере внедрения новых форм и технических средств формирования информации.

К числу рисков и возможных проблем относятся:

- вирусные атаки и заражение компьютера вирусом;

- легкость не санкционированного уничтожения информации;

- рост хакерских атак, связанный с ростом объемов и распространения обрабатываемых массивов информации;

- потеря конфиденциальности данных;

- кража, перехват информации;

- существенность затрат на установку и обслуживание новых технологических систем и модернизацию действующих;

- необходимость и сложность перенастройки при внедрении новых продуктов, изменений норм правового регулирования, проводимых без учета технических возможностей организаций, что может привести к возникновению комплаенс-риска;

- необходимость технологической перестройки действующих бизнес-процессов и методов формирования информации при внедрении информационных технологий (есть примеры, когда внедрении в процесс учета и отчетности нового стандарта оценки потребовал переустановки программного обеспечения, что замедлило внедрение на год);

- техническая зависимость от производителей оборудования и его ремонт (с применением интернет-технологий, не только усиливаются традиционные риски, но и появляются новые риски, вызванные использованием новых и модернизированных технических средств);

- зависимость от разработчиков программных продуктов (риски зависимости от программного обеспечения и оборудования особенно остро проявилось при прекращении работы/использования зарубежных 1Т-продуктов в условиях санкций, имея в виду возможные трудности с поставками зарубежного 1Т-оборудования, заключением/пролонгацией договоров на 1Т-о-беспечение с зарубежными поставщиками);

- риск незащищенности распределённого доступа при централизации и автоматизации учета, клиентам банка и предоставлении возможности внешним клиентам в режиме реального времени проводить транзакции по счетам самостоятельно и независимо от фактического места проведения операции. Риски увеличи-

ваются в условиях недостаточной технической защиты используемых средств или низкой финансовой грамотностью клиентов. Это определяет необходимость учитывать функционирование реальных объектов и банковских процессов, и работать с клиентами виртуально, взаимодействуя анонимно);

- возможные непрогнозируемые происшествия техногенного и социального характера (например, распространение пандемии, межгосударственные конфликты), природные катаклизмы (магнитные бури и др.);

- проблемы в работе технических средств, вызванные их повреждениями и сбоями в результате воздействия различных вредоносных программ и электронных вирусов, непрерывно усложняющихся и модифицирующихся;

- неконтролируемость риска и цифровой безопасности компьютеров, принадлежащих клиентам, с которых проводятся операции в системе банка;

Примеры рисков, которые могут возникнуть в связи с неэффективной структурой или функционированием средств контроля, включают:

- нарушение целостности данных (из-за ошибок в средствах контроля данные могут быть изменены или потеряны, что приведет к некорректным результатам);

- несанкционированный доступ;

- неправильное вмешательство (средства контроля могут быть неправильно настроены или работать некорректно, что может привести к нежелательным результатам);

- несвоевременность настройки, т.е. невнесение необходимых изменений, что может повлиять на работу системы и привести к ошибкам. Следует отметить, что информационные технологии активно развиваются, при этом совершенствуются техники работы и защиты от рисков и, к сожалению, расширяются мошеннические методы, учитывая это список рисков, предложенный в данной работе, очевидно, не является исчерпывающим. Кроме того, дискуссионным остается вопрос о выделении рисков информационных технологий в отдельную группу рисков, наряду с операционными, репутационными, кредитными и другими.

Для анализа риской применения информационных технологий необходимо рассмотреть сущность рисков информационных технологий, назовем эту группу рисков - «информационный риск». Несмотря на описание и перечисление возможных рисков при применении электронных технологий и циф-ровизации, однозначного определения сущности и группировки этих рисков пока нет. Есть описание [1], что информационный риск рассматривается «в качестве события, которое оказывает непосредственное влияние на информацию: ее удаление, искажение, нарушение ее конфиденциальности или доступности» [1]. В работе Зенкиной И.В. [2] предлагается рассматривать риск как учетную категорию и объект корпоративной отчетности.

сз о

со £

т Р сг

СТ1 А ш

В качестве рисков применения информационных технологий в Национальном стандарте Российской Федерации «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности» [7] предлагаются дефиниции «информационная угроза» и «угроза безопасности информации», которые определяются как «совокупность условий и факторов, создающих возможность нарушения безопасности информации, вызывающую или способную вызвать негативные последствия (включая нарушение операционной надежности) для финансовой организации, причастных сторон, в том числе клиентов финансовой организации» [7]. Определение рисков информационных технологий дано в «Международный стандарт аудита 315. «Выявление и оценка рисков существенного искажения»», где установлено, что «риски, связанные с использованием информационных технологий - риски нарушения целостности информации (то есть полноты, точности и достоверности операций и иной информации) в информационной системе организации вследствие неэффективности структуры или функционирования средств контроля в ИТ-процессах организации» [6]. В целом, рассмотрению рисков в научных работах уделяется большое внимание, однако рассматривают их с разных позиций и определяют в зависимости от объекта по отношению к которому они возникают.

В настоящее время риски, связанные с формированием информации при использовании электронных технологий, не выделены в отдельную категорию для идентификации. Такие риски чаще всего относят к операционным или репутацион-ным рискам. В связи с этим, необходимо выделить особенности этих видов рисков, определить понятие «информационный риск» и выделить его в отдельную группу рисков. Информационные риски имеют многогранные проявления и специфику возникновения. Они связаны, прежде всего, с несанкционированным доступом к информации внешних пользователей и хакерскими атаками, приводящими к потере информации, в том числе раскрытию конфиденциальной информации.

В связи с широким развитием цифровизации и применением электронных технологий в формировании, передаче и хранении информации, появляется потребность во введении определения термина информационный риск. Характерная особенность этого риска возможность потери или искажения информации в результате несанкционированного доступа к ней не санкционированных и внешних пользователей или хакерских атак, а также ряда факторов технологического и техногенного характера. Информационные риски (IT-риски) ] связаны с применением электронных носителей = и иных средств связи при создании, передаче, хра-е нении и использовании информации. Безусловно, Я необходимы глубокие и всесторонние исследова-° ния в этой области, кроме того, следует учитывать ¿в непрерывное развитие и совершенствование элек-

тронных средств, методов их применения, расширение сферы цифровизации, а также их уязвимо-стей, связанных как с новизной, так и с опасностью недобросовестных воздействий, в том числе хакерских атак. Однако уже сейчас можно установить, что сущность информационных рисков, определяется опасностью возникновения убытков или ущерба в результате обработки, хранении и передачи информации с помощью автоматизированных информационных систем, а также сбоев в работе этих систем. Теоретические разработки по систематизации и определению информационных рисков важны при разработке бизнес-процессов, включающих методы цифровизации, а также для выработки методических подходов мониторинга, выявления, анализа, контроля и оптимизации рисков, имеющие преимущественно технологической характер. При этом следует учитывать, что при использовании электронных технологий увеличиваются и модифицируют не только традиционные риски (в том числе операционные, репутационные, комплаенс и др.), но и резко возрастает общий совокупный риск деятельности.

Системы учета и контроля в организациях должны быть адаптированы к применению информационных технологий. Изменения в технологиях формирования информации определяют потребность существенных изменений в методах, обеспечивающих безопасность информации и системе контроля, где преимущественно должен быть превентивный контроль и методы раннего выявления возможных недобросовестных и рискованных действий. Некоторые проблемы связаны с тем, что существующие методы учета, контроля и обеспечения сохранности учетных данных не успевают за техническим прогрессом, внедренным в операционную деятельность организаций. Основная сложность заключается в том, что внедрение информационных технологий происходит гораздо быстрее, чем развитие и совершенствование методологий и методик. Особенно это актуально для деятельности банковской системы.

Особенности контроля рисков информационных технологий

При применении технологий электронного банковского обслуживания процессы контроля следует перестраивать и формировать на основе комплекса мер превентивного, оперативно-выявляющего контроля и контроля исполнения выявленных нарушений и существенных отклонений, а также возможных рисков. При этом контрольный процесс должен быть непрерывным.

Особенность методов контроля при внедрении электронных систем формирования информации в том, что они должны ориентироваться на контроль и выявление информационных рисков, и иметь преимущественно превентивный характер, ориентироваться на аналитические процедуры и выявляемые индикаторы, свидетельствующие о возможных информационных рисках.

Следует проводить контроль безопасности путем тестирования средств и сервисов, обеспечивающих защиту от угроз; внедрять методы контроля доступа клиентов к информационным ресурсам, контролировать соблюдение политики доступа административной политике, установленной в банке и контролировать любой доступ в электронные банковские системы и базы данных, контролировать системы обеспечения целостности данных. Важными участками контроля является контроль средств, обеспечивающих проверку легитимности клиентов и формирования информации при проведении операций при использовании электронных технологий (идентификация и аутентификация).

Для поддержания оптимального уровня безопасности следует организовать проверки и предусмотреть процедуры контроля функционирования защиты, предотвращающей случаи и стремления вторжений в коммуникационные сети. Для этого надо назначить конкретных лиц, отвечающих за контроль актуального состояния средств безопасности и обеспечение изменений мер безопасности, если происходят изменения в электронных технологиях, внедряются новые технические электронные средства или изменяется программное обеспечение [3].

Безопасность функционирования информационно-аналитической системы и формирование учетной информации по проводимым сделкам клиентами в электронных системах должна обеспечиваться проведением и проверкой процедур аутентификации инициаторов операции -клиентов, пользующихся электронными средствами для проведения своих операций. При использовании электронных каналов для проведения операций проводится процедура аутентификации, удостоверения лица, проводящего транзакцию on-lain и устанавливается легальность и законность доступа этого субъекта к банковскому счету или подтверждается его право на совершение банковской операций и её отражение в учете.

Контролю подлежат средства, обеспечивающие конфиденциальность информации.

2) бесперебойность функционирования электронных и автоматизированных систем взаимодействия с инфраструктурой передачи информации и клиентами;

3) защиту конфиденциальной информации и предотвращение несанкционированного доступа к массивам данных и программному обеспечению.

Система внутреннего контроля при использовании электронных технологий должна включать следующие элементы.

1. Мониторинг информационных систем в постоянном режиме эксплуатации и проверку наличия антивирусного программного обеспечения.

2. Процедуры обеспечения необходимого уровня безопасности информации и контроля взаимодействий с партнерами, оказывающими электронные банковские услуги.

3. Аутентификацию пользователей, использующих электронные сервисы.

4. Проверку мер, направленных на предотвращение отказа от выполнения транзакций и ответственности за них.

5. Соответствие распределения функций между банковскими служащими в информационных системах и приложениях.

6. Ограничение доступа сотрудников и получение доступа только при наличии необходимых разрешений.

7. Обеспечение безопасности данных в ходе операций и записей в информационных системах.

8. Учет электронных транзакций.

9. Предотвращение незаконного доступа к конфиденциальным данным и их защиту.

10. Проверка обеспечения целостности данных и учета транзакций при электронном способе.

11. Наличие мер для обеспечения безопасности данных и предотвращения их повреждения. Перечисленные направления необходимо учитывать при разработке внутренних методик контроля и разработке методов контроля, включаемых в схемы бизнес-процессов.

Методические аспекты контроля рисков электронных технологий

Для обеспечения безопасности информационно аналитических систем и системы передачи информации рекомендуется два направления контроля[4]: «1) контроль выявления качества и надежности защиты информационных систем от несанкционированного доступа, потери и искажения информации, передаваемой в электронном виде;

2) контроль эффективности мер защиты от вероятных атак злоумышленников на оборудование, программное обеспечение и информационные ресурсы, подключенные и доступные из сети Интернет» [3].

Для безопасности информационно-аналитических систем следует обеспечить:

1) защиту от вредоносных программ и антивирусную защиту;

Заключение

Применение электронных технологий при формировании, использовании, передаче и хранении информации с помощью электронных носителей и иных средств связи имеет важные преимущества и необходимо в современных условиях для обеспечения и повышения эффективности деятельности организаций и формирования их отчетной информации. Вместе с тем электронные технологии связаны с множеством рисков, которые необходимо выявлять, классифицировать и системно контролировать для предотвращения существенных экономических потерь и имиджа. Учитывая специфику и множественность рисков электронных технологий предложены методические рекомендации по формированию методик превентивного контроля рисков электронных технологий, которые могут быть использованы в качестве основы для разработки

сз о

со £

m Р сг

СТ1 А

=Е

внутренних положений по контролю и аудиту, а также учитываться при выборе методов встроенного

контроля при разработке бизнес-процессов.

Литература

1. Информационные риски: методы оценки и анализа. - URL: http://itportal.ru/science/economy/ informatsionnye-riski-metody-otsenk/ (дата обращения: 21.05.2023).

2. Зенкина И.В. Раскрытие в корпоративной отчетности информации о рисках и ее интеграция в процесс принятия инвестиционных решений // «Международный бухгалтерский учет», 2022, № 4.

3. Курныкина О.В. Учетно-аналитическое обеспечение управления и контроля в коммерческом банке в условиях цифровизации и МСФО. -Москва: КноРус, 2021. - 222 с.

4. Курныкина О.В. Методические аспекты применения электронных технологий в информационно-аналитическом обеспечении отчетности банка // Учет Анализ Аудит. 2022. Т. 9. № 5.

5. Курныкина О.В. Аудит в условиях цифровизации: проблемы и перспективы// Аудитор. 2023. № 5.

6. «Международный стандарт аудита 315 (пересмотренный, 2019 г.) «Выявление и оценка рисков существенного искажения»» (введен в действие на территории Российской Федерации Приказом Минфина России от 27.10.2021 № 163н).

7. Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения. ГОСТ Р 57580.3-2022 (утв. и введен в действие Приказом Росстандарта от 22.12.2022 № 1548-ст).

8. Правило (стандарт) аудиторской деятельности «Проведение аудита с помощью компьютеров». - URL: http://www.consultant.ru/docu-ment/cons_doc_LAW_28965/ (дата обращения: 10.05.2023).

9. Парамонов П.В. Развитие методики аудита в условиях цифровизации с помощью аналитики аудиторских данных // Молодой ученый. 2021. № 19 (361). 131-133 с. - URL: https:// moluch.ru/archive/361/80850/ (дата обращения: 10.04.2023).

10. Развитие цифровой экономики в России // Программа до 2035 года. - URL: http://spkurdyumov. ru/; uploads/2017/05/strategy.pdf (дата обращения: 10.04.2023).

RISKS OF INFORMATION TECHNOLOGIES AND METHODOLOGICAL RECOMMENDATIONS FOR THEIR CONTROL

Kurnykina O.V.

Financial University under the Government of the Russian Federation

Subject. Risks associated with the use of information technologies in information and analytical support of activities and recommendations for controlling them. Goals. The research of the diversity and nature of risks arising from the use of electronic technologies and the development of recommendations for the formation of methods for controlling information technology risks. Methodology. Research methods such as analysis and synthesis, detailing and generalization, comparison, abstraction, analogy, systemic, strategic and risk-oriented approaches are applied. Results. The article contains a list of the most common risks of electronic technologies, the characteristic features inherent in them are revealed. The problems of theoretical and practical aspects caused by the lack of a clear and uniform definition of the concept of technological risks are noted, it is advisable to use them for the development of regulatory documents and internal control methods and business process schemes that include risk control. Recommendations on the organization of risk-based risk-based control in the context of the use of information technology are given.

Conclusion. The systematic organization of information technology risk control, carried out on the basis of the developed methodological recommendations, will allow using the advantages of information technology and reduce possible threats of information loss, confidentiality and prevent failures of electronic systems.

Keywords: digital technologies, risks of digitalization, electronic technologies, risk control of electronic technologies.

References

1. Information risks: methods of assessment and analysis. -URL: http://itportal.ru/science/economy/informatsionnye-riski-metody-otsenk/ (access date: 21. 05.2023).

2. Zenkina I.V. Disclosure of information about risks in corporate reporting and its integration into the process of making investment decisions // "International Accounting", 2022, No. 4.

3. Kurnykina O.V. Accounting and analytical support for management and control in a commercial bank in the context of digitali-zation and IFRS. - Moscow: KnoRus, 2021. - 222 p.

4. Kurnykina O.V. Methodological aspects of the use of electronic technologies in information and analytical support of bank reporting // Accounting Analysis Audit. 2022. T. 9. No. 5.

5. Kurnykina O.V. Audit in the context of digitalization: problems and prospects // Auditor. 2023. No. 5.

6. "International Standard on Auditing 315 (revised, 2019) "Identifying and assessing the risks of material misstatement"" (put into effect on the territory of the Russian Federation by Order of the Ministry of Finance of Russia dated October 27, 2021 No. 163n).

7. National standard of the Russian Federation. Security of financial (banking) transactions. Managing the risk of information threats and ensuring operational reliability. General provisions. GOST R 57580.3-2022 (approved and put into effect by Order of Rosstandart dated December 22, 2022 No. 1548-st).

8. Rule (standard) of auditing activities "Conducting an audit using computers." - URL: http://www.consultant.ru/document/cons_ doc_LAW_28965/ (access date: 05/10/2023).

9. Paramonov P.V. Development of audit methodology in the context of digitalization using analytics of audit data // Young scientist. 2021. No. 19 (361). 131-133 p. - URL: https://moluch.ru/ archive/361/80850/ (access date: 04.10.2023).

10. Development of the digital economy in Russia // Program until 2035. - URL: http://spkurdyumov.ru/; uploads/2017/05/strategy. pdf (access date: 04.10.2023).

a.

e

CM

cn