Отчет по результатам аудита информационных систем банка

⇐ ПредыдущаяСтр 24 из 47Следующая ⇒

┌─────────────────────┬────────────────────────┬────────────────────────────────────────────────┬──────────┐

│ Ситуация │ Риск │ Рекомендация │ Приоритет│

├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤

│ 1 │ 2 │ 3 │ 4 │

│Стратегия ИТ│Подобная ситуация может│Мы рекомендуем банку: передать функцию│ !!! │

│существует, однако ее│привести к│стратегического планирования в области ИТ│ │

│основные направления│несоответствию целей и│высшему руководству банка; │ │

│не доведены до│задач ИТ│распределить обязанности по стратегическому│ │

│сведения многих│бизнес-стратегии, что в│планированию в области ИТ; │ │

│работников банка и│свою очередь может│формализовать и задокументировать стратегический│ │

│руководителей │привести к│план в области ИТ, включая определение│ │

│функциональных │неэффективному │бизнес-задач и потребностей для ИТ, анализ│ │

│подразделений │использованию бюджета ИТ│технологических решений и текущей│ │

│ │и повышенным затратам │инфраструктуры, оценку требуемых организационных│ │

│ │ │изменений и существующих систем, направления│ │

│ │ │развития ИТ на срок от 3 до 5 лет; │ │

│ │ │разработать и внедрить процедуры оценки рисков│ │

│ │ │ИТ как часть системы корректировки стратегии в│ │

│ │ │области ИТ; │ │

│ │ │объединить стратегическое планирование в области│ │

│ │ │ИТ с функцией бизнес-планирования; распределить│ │

│ │ │ответственность за распространение информации о│ │

│ │ │стратегии ИТ по всем функциональным│ │

│ │ │подразделениям банка │ │

│Низкий уровень│Отсутствие регламентов и│Мы рекомендуем разработать и утвердить процедуры│ !! │

│документирования │документирования │документирования для основных технических и│ │

│ключевых процессов в│ИТ-процедур повышает│операционных процессов в области ИТ и│ │

│области ИТ. В ходе│уровень операционных и│осуществлять регулярный контроль за выполнением│ │

│обследования мы│системных рисков банка.│этих процедур со стороны руководства банка.│ │

│отметили, что│Также при этой ситуации│Необходимо разработать процедуры, которые│ │

│отсутствуют │затруднен контроль за│обеспечат возможность последующего контроля за│ │

│внутренние регламенты│функционированием ИТ и│соблюдением указанных процессов и стандартов ИТ │ │

│и документирование│их эффективностью.│ │ │

│большинства │Помимо этого, отсутствие│ │ │

│направлений │надлежащей документации│ │ │

│деятельности ИТ-служб│повышает риск│ │ │

│ │зависимости от ключевых│ │ │

│ │сотрудников службы ИТ,│ │ │

│ │их опыта и знаний │ │ │

│Отсутствие системы│Неадекватная │Мы рекомендуем внедрить систему анализа│ !! │

│анализа инвестиций в│инвестиционная политика│инвестиций в ИТ. Мы полагаем, что политика│ │

│ИТ. В ходе обзора мы│резко увеличивает риски│инвестиций в области ИТ должна включать│ │

│отметили, что процесс│дефицита бюджета,│следующие пункты: определение ответственных за│ │

│бюджетного │конфликта ресурсов│этот процесс сотрудников банка; │ │

│планирования, в том│/инвестиций, а также│систему показателей и алгоритм расчета│ │

│числе и для ИТ,│риск низкой окупаемости│инвестиций в области ИТ; │ │

│ведется на регулярной│инвестиций в области ИТ.│расчет инвестиционной политики в области ИТ и│ │

│основе. Однако в│Возможно неэффективное│окупаемости инвестиций с финансовой и│ │

│банке отсутствуют│использование ресурсов│нефинансовой точек зрения; оценка всех возможных│ │

│процедуры оценки│банка. В случае│альтернативных вариантов инвестиций в ИТ; │ │

│эффективности │отсутствия │анализ передового опыта отрасли при выборе│ │

│вложений в ИТ,│предварительного │инвестиций в области ИТ; │ │

│практика отношения к│планирования в области│постоянный процесс совершенствования│ │

│расходам на ИТ как к│инвестиций в ИТ высшее│инвестиционной политики в области ИТ. │ │

│внутренним │руководство может│Как дополнительные моменты и показатели, которые│ │

│инвестициям │недооценить их│необходимо учитывать при осуществлении│ │

│ │значимость для│инвестиционной политики, мы рекомендуем│ │

│ │деятельности банка и│анализировать следующие параметры: процент│ │

│ │принимать управленческие│ИТ-проектов (от общего числа), не укладывающихся│ │

│ │решения, не владея│в бюджет; │ │

│ │реальной информацией об│процент ИТ-проектов, для которых не│ │

│ │отдаче от ИТ │производилась предварительная оценка│ │

│ │ │эффективности инвестиций; процент ИТ-проектов,│ │

│ │ │которые после внедрения не достигли требуемых│ │

│ │ │инвестиционных показателей (нормы рентабельности│ │

│ │ │и времени самоокупаемости); число ИТ-проектов,│ │

│ │ │при осуществлении которых, несмотря на наличие│ │

│ │ │утвержденного бюджета, возникли инвестиционные│ │

│ │ │конфликты (недостаток или несвоевременность│ │

│ │ │инвестиций); │ │

│ │ │время между возникновением отклонения в│ │

│ │ │осуществлении проекта и решением этой проблемы│ │

│ │ │руководством; процент ИТ-проектов, которые после│ │

│ │ │внедрения так и не достигли требуемых│ │

│ │ │бизнес-целей │ │

│Отсутствие │Отсутствие системы│Мы рекомендуем следующие мероприятия:│ !!! │

│риск-менеджмента в│управления рисками ИТ│сформировать функцию управления рисками внутри│ │

│области ИТ. Анализ│может привести к│подразделения ИТ; │ │

│рисков в сфере ИТ│увеличению числа│распределить, задокументировать и утвердить на│ │

│осуществляется только│проектов, незаконченных│уровне высшего руководства систему│ │

│в отдельных, наиболее│вовремя или вышедших за│ответственности и процедуры риск-менеджмента; │ │

│критичных, случаях на│рамки бюджета. Это также│разработать систему классификации и оценки│ │

│нерегулярной основе.│приводит к увеличению│рисков ИС; │ │

│При этом не│количества нештатных│анализировать результаты ИТ-проектов в ходе и│ │

│существует │ситуаций и сбоев в│после их завершения с точки зрения управления│ │

│методологии оценки и│работе информационных│рисками; │ │

│управления рисками и│систем. Неадекватное│сформировать системы превентивных мер,│ │

│утвержденных │управление рисками может│направленных на предотвращение и снижение рисков│ │

│внутренних процедур│подорвать финансовое и│ │ │

│на этот счет │стратегическое положение│ │ │

│ │банка │ │ │

│В банке отсутствует│Низкий уровень│Создание комитета по ИТ или│ !! │

│информационно-техно- │информирования высшего│информационно-технологического комитета при│ │

│логический комитет│руководства о проблемах│правлении поможет оптимизировать работу│ │

│при правлении │в области ИТ; проблемы│подразделения ИТ и упростит процесс│ │

│ │решаются недостаточно│урегулирования проблем, с которыми сталкивается│ │

│ │оперативно. │подразделение ИТ. Комитет по ИТ должен│ │

│ │Неэффективная система│оперативно решать стратегические задачи в│ │

│ │контроля за ИТ повышает│области ИТ, а также обеспечивать получение│ │

│ │внутренние риски │своевременной ответной реакции (обратную связь).│ │

│ │ │Кроме этого, комитет по ИТ будет способствовать│ │

│ │ │повышению эффективности контроля за│ │

│ │ │деятельностью ИТ-служб │ │

│Неэффективное │Низкое качество│Необходимо разработать четкую процедуру,│ ! │

│построение │обслуживания │регламентирующую права и обязанности│ │

│обслуживания │пользователей, │пользователей и сотрудников ИТ. Мы рекомендуем│ │

│пользователей ИС. Мы│неоперативность решения│разработать базу данных службы технической│ │

│отметили, что│проблем и ликвидации│поддержки с тем, чтобы все заявки пользователей│ │

│отсутствуют │сбоев в информационных│регистрировались сотрудниками ИТ. Этот│ │

│внутренние │системах. В результате│внутренний инструмент позволит оптимизировать│ │

│регламенты, │повышается риск сбоя│деятельность специалистов ИТ и проводить│ │

│регулирующие │систем, который может│мониторинг их работы. Кроме того, база данных│ │

│отношения │привести к потере│обеспечит аналитическую информацию об уровне│ │

│пользователей и│информации. Отсутствие│компьютерной подготовки пользователей, наиболее│ │

│сотрудников ИТ. В│статистических данных по│типичных проблемах, а также позволит определить│ │

│банке отсутствует│типам и количеству│те области в организации ИТ и информационных│ │

│служба технической│ИТ-проблем затрудняет│систем, которые необходимо усовершенствовать │ │

│поддержки в форме│принятие управленческих│ │ │

│help-desk с│решений. Нет возможности│ │ │

│обязательной │контролировать и│ │ │

│регистрацией всех│координировать работу│ │ │

│обращений и четкими│службы технической│ │ │

│стандартами на время│поддержки │ │ │

│и качество обработки│ │ │ │

│запросов │ │ │ │

│пользователей. В│ │ │ │

│настоящее время│ │ │ │

│заявки пользователей│ │ │ │

│не регистрируются и│ │ │ │

│не анализируются.│ │ │ │

│Соответственно не│ │ │ │

│осуществляется │ │ │ │

│официальный │ │ │ │

│мониторинг объема│ │ │ │

│работы и видов│ │ │ │

│проблем, с которыми│ │ │ │

│сталкиваются │ │ │ │

│специалисты ИТ │ │ │ │

│Отсутствие члена│Затруднения при│Возложение ответственности за ИТ на члена│ !! │

│правления банка,│оперативном решении│правления банка будет способствовать оптимизации│ │

│курирующего ИТ │проблем ИТ, низкий│процесса решения проблем и повышению│ │

│ │уровень информирования│эффективности деятельности подразделения ИТ │ │

│ │правления о проблемах в│ │ │

│ │области ИТ │ │ │

│Политика │Конфиденциальность и│Мы рекомендуем обновить и детализировать│ !! │

│информационной │стабильность │официальное положение по информационной│ │

│безопасности банка│информационных систем│безопасности. За основу может быть взята│ │

│недостаточно детальна│имеет большое значение│следующая структура этого документа. │ │

│ │для деятельности банка.│Часть 1. Управление информационной│ │

│ │Неадекватное управление│безопасностью. │ │

│ │информационной │1.1. Введение. │ │

│ │безопасностью может│1.2. Обязанности руководства и сотрудников. │ │

│ │привести к финансовым│1.3. Ключевые позиции. │ │

│ │потерям и раскрытию│1.4. Основные требования к пользователям ИС. │ │

│ │конфиденциальной │1.5. Классификация и анализ рисков. │ │

│ │информации │1.6. Классификация информации. │ │

│ │ │1.7. Использование сетевого и│ │

│ │ │телекоммуникационного оборудования. │ │

│ │ │1.8. Правила резервирования данных. │ │

│ │ │1.9. Поддержка информационной безопасности.│ │

│ │ │Часть 2. Стандарты информационной защиты. │ │

│ │ │2.1. Аппаратная защита. │ │

│ │ │2.2. Защита от несанкционированных действий. │ │

│ │ │2.3. Программная защита. │ │

│ │ │2.4. Защита локальной вычислительной сети. │ │

│ │ │2.5. Стандарты информационной безопасности при│ │

│ │ │разработке и модернизации программ. │ │

│ │ │2.6. Информационная защита серверов и│ │

│ │ │автоматизированных рабочих мест. │ │

│ │ │2.7. Взаимодействие с третьими лицами. │ │

│ │ │2.8. Хранение данных │ │

│Требования временного│Отсутствие сотрудника,│Мы рекомендуем назначить администратора по│ !! │

│положения по│постоянно │безопасности в соответствии с существующими│ │

│управлению доступом│контролирующего │требованиями и провести внутреннюю проверку│ │

│не выполняются.│информационную │соблюдения корпоративных норм информационной│ │

│Некоторые требования│безопасность, может│безопасности │ │

│временного положения│привести к несоблюдению│ │ │

│банка об управлении│внутренних норм в этой│ │ │

│доступом │области и, как│ │ │

│пользователей │следствие, к увеличению│ │ │

│нарушаются. В│риска │ │ │

│частности, внутренним│несанкционированных │ │ │

│положением банка│действий с информацией │ │ │

│введена позиция│ │ │ │

│администратора банка,│ │ │ │

│однако сотрудника,│ │ │ │

│выполняющего эти│ │ │ │

│функции, в банке нет.│ │ │ │

│Также нарушается ряд│ │ │ │

│положений, │ │ │ │

│ограничивающих доступ│ │ │ │

│к наиболее критичным│ │ │ │

│информационным │ │ │ │

│ресурсам │ │ │ │

│Отсутствие │Неадекватный контроль за│Мы рекомендуем внедрить и использовать│ !!! │

│внутреннего аудита│ИТ повышает риск сбоя в│эффективную систему внутреннего контроля при│ │

│информационных систем│работе ИТ. Отсутствие│обработке данных. По нашему мнению, банку│ │

│ │функции аудита ИС может│следует предпринять следующие шаги: разработать│ │

│ │привести к неточному и│письменное руководство по проведению аудита ИС; │ │

│ │ненадежному процессу│назначить внутренних аудиторов; правление должно│ │

│ │обработки данных, а│регулярно анализировать и подтверждать│ │

│ │также снизить│квалификацию и независимость аудиторов;│ │

│ │информационную │определить объем и частоту проведения│ │

│ │безопасность │аудиторских проверок, а также методики│ │

│ │ │проведения аудита; разработать план действий│ │

│ │ │руководства для устранения существенных│ │

│ │ │недостатков, отмеченных в отчетах аудиторов. │ │

│ │ │Мы рекомендуем проводить внешние независимые│ │

│ │ │аудиторские проверки ИС по крайней мере раз в│ │

│ │ │два года, даже если в банке регулярно проводится│ │

│ │ │внутренний аудит │ │

│Большое количество│Применение различных│Мы рекомендуем рассмотреть возможность│ ! │

│используемых │платформ может привести│сокращения количества используемых платформ. По│ │

│технологических │к проблемам при│нашему мнению, было бы целесообразно отказаться│ │

│платформ. В ходе│интеграции данных, а│от использования, например, платформы Windows NT│ │

│проверки мы отметили,│также существенно│ │ │

│что банк применяет│усложняет их│ │ │

│различные платформы,│обслуживание и│ │ │

│включая Windows NT,│поддержку. Кроме того,│ │ │

│Novell NetWare и│обслуживание данных│ │ │

│Unix. Windows NT│платформ сопряжено с│ │ │

│используется для│существенными затратами,│ │ │

│некоторых специальных│которые могут быть│ │ │

│задач, например для│снижены при│ │ │

│обеспечения услуг│использовании меньшего│ │ │

│внутренней почты.│количества разнородных│ │ │

│Novell NetWare│платформ │ │ │

│используется как│ │ │ │

│файловый сервер, a│ │ │ │

│Unix - для АБС XXX │ │ │ │

│Отсутствие │Обслуживание базы данных│Мы рекомендуем назначить сертифицированного│ !! │

│сертифицированного │Oracle требует наличия│администратора базы данных Oracle (DBA) или│ │

│администратора базы│определенных навыков и│организовать специальное обучение│ │

│данных. Мы отметили,│опыта. Неадекватное│администраторов Oracle, работающих в настоящее│ │

│что в банке│обслуживание базы данных│время в банке │ │

│отсутствует │Oracle может привести к│ │ │

│сертифицированный │замедлению или даже сбою│ │ │

│администратор базы│в работе этой базы│ │ │

│данных Oracle │данных │ │ │

│Использование │Дальнейшие разработки в│Банку следует рассмотреть возможность замены│ !!! │

│неподдерживаемого │системе SWIFT не будут│программного обеспечения, обеспечивающего│ │

│разработчиком ПО.│поддерживаться │интерфейс с системой SWIFT │ │

│Установленное │существующим интерфейсом│ │ │

│программное │SWIFT │ │ │

│обеспечение для SWIFT│ │ │ │

│не поддерживается│ │ │ │

│разработчиком (MERVA)│ │ │ │

│Файлы аудита действий│Несанкционированные │Файлы аудита действий пользователей в ЛВС│ !! │

│пользователей ЛВС не│действия, которые│(лог-файлы) должны быть активизированы в│ │

│анализируются. Работа│потенциально могут быть│операционных системах - Windows NT, Novell│ │

│сотрудников и внешних│осуществлены │NetWare и Unix. Сотрудники службы ИТ или│ │

│консультантов в│пользователями, не будут│информационной безопасности должны иметь доступ│ │

│локальной │вовремя выявлены │к данным файлам и регулярно анализировать их в│ │

│вычислительной сети│ │целях контроля за действиями персонала. Также│ │

│контролируется при│ │можно рекомендовать использование специальных│ │

│помощи файлов аудита│ │программ для анализа и эффективного мониторинга│ │

│(лог-файлов), с│ │действий пользователей. В ходе процесса│ │

│помощью которых│ │резервирования необходимо также периодически│ │

│возможно │ │создавать резервные копии лог-файлов │ │

│протоколирование всех│ │ │ │

│действий │ │ │ │

│пользователей. Однако│ │ │ │

│сотрудники ИТ не│ │ │ │

│имеют возможности│ │ │ │

│регулярно │ │ │ │

│анализировать │ │ │ │

│информацию о работе│ │ │ │

│пользователей, в│ │ │ │

│основном из-за│ │ │ │

│нехватки кадровых│ │ │ │

│ресурсов │ │ │ │

│Передача │Передача информации│Для защиты информации при передаче по внешним│ !!! │

│конфиденциальных │через открытые каналы│каналам связи необходимо применять│ │

│данных по открытым│повышает риск│соответствующие процедуры криптографической│ │

│каналам. В настоящее│несанкционированного │защиты на всех внешних каналах │ │

│время банк, его│доступа, модификации,│ │ │

│филиалы и внешние│раскрытия или потери│ │ │

│организации │информации │ │ │

│обмениваются │ │ │ │

│информацией через│ │ │ │

│открытые каналы, не│ │ │ │

│защищенные │ │ │ │

│криптографическими │ │ │ │

│механизмами │ │ │ │

│Доступ к директории│Данный факт повышает│Мы рекомендуем банку ограничить существующие│ !! │

│платежей. В ходе│риск │права доступа к критичным сетевым директориям.│ │

│нашего обзора мы│несанкционированного │Права доступа к директории, предназначенной для│ │

│отметили, что четыре│доступа к платежной│отправки платежей в ЦБ РФ, должны быть│ │

│сотрудника расчетного│системе и мошенничества│предоставлены только тем сотрудникам, которые│ │

│отдела имеют доступ к│при осуществлении│работают с указанной директорией в ходе│ │

│директории платежей│платежных операций банка│выполнения возложенных на них функций.│ │

│ЦБ РФ. Кроме того, к│ │Сотрудники ИТ должны быть лишены права доступа к│ │

│указанной директории│ │данной директории │ │

│имеют доступ│ │ │ │

│некоторые сотрудники│ │ │ │

│подразделения ИТ │ │ │ │

│Недостаточная длина│Пароли с│Банку необходимо провести проверку соблюдения│ !!! │

│паролей. Мы отметили,│несоответствующей длиной│парольной политики и не допускать использования│ │

│что некоторые│повышают риск│паролей менее чем из 6 символов │ │

│сотрудники ИТ не│несанкционированного │ │ │

│выполняют заявленных│доступа к базе данных,│ │ │

│внутренними │что в свою очередь может│ │ │

│регламентами │привести к│ │ │

│требований к│несанкционированному │ │ │

│количеству символов│раскрытию или изменению│ │ │

│пароля к ИС. Один из│информации │ │ │

│сотрудников службы ИТ│ │ │ │

│использует пароль для│ │ │ │

│системы "Новая│ │ │ │

│Афина", состоящий из│ │ │ │

│3 символов. При этом│ │ │ │

│он имеет полный│ │ │ │

│доступ к базе данных │ │ │ │

│Доступ в серверную│Повышается риск│Серверная комната должна закрываться при помощи│ !! │

│комнату не ограничен│несанкционированного │электронного замка. Следует рассмотреть│ │

│как следует. Серверы│доступа к критичному│возможность установки системы видеонаблюдения │ │

│расположены в│компьютерному │ │ │

│комнате, которая│оборудованию │ │ │

│запирается на│ │ │ │

│стандартный замок.│ │ │ │

│Как правило, дверь│ │ │ │

│серверной комнаты не│ │ │ │

│закрывается. │ │ │ │

│Существует свободный│ │ │ │

│доступ к компьютерам│ │ │ │

│и ключевым системам │ │ │ │

│Физический доступ к│Данная ситуация повышает│Необходимо ограничить физический доступ к│ !!! │

│платежным терминалам│риск │указанным терминалам исключительно│ │

│SWIFT и рублевых│несанкционированного │уполномоченным сотрудникам. Терминалы SWIFT и│ │

│платежей не│доступа к функции│терминал рублевых платежей должны быть│ │

│ограничен. Данные│внешних платежей и│расположены в отдельной комнате. Следует│ │

│терминалы расположены│повышает возможность│рассмотреть возможность установки системы│ │

│в большом зале,│несанкционированных │видеонаблюдения за терминалами │ │

│доступ в который│переводов денежных│ │ │

│практически не│средств от имени банка │ │ │

│ограничен. В зале,│ │ │ │

│где расположены│ │ │ │

│терминалы, │ │ │ │

│функционируют четыре│ │ │ │

│различных │ │ │ │

│подразделения, │ │ │ │

│которые не имеют│ │ │ │

│отношения к указанным│ │ │ │

│терминалам. Кроме│ │ │ │

│того, там же│ │ │ │

│находится ксерокс,│ │ │ │

│используемый │ │ │ │

│сотрудниками банка, и│ │ │ │

│производится │ │ │ │

│обслуживание клиентов│ │ │ │

│Хранение ключевых│Повышается риск│Ключевая дискета должна храниться в сейфе │ !!! │

│дискет не│несанкционированного │ │ │

│соответствует │доступа к платежным│ │ │

│требованиям. В ходе│терминалам │ │ │

│обзора мы отметили,│ │ │ │

│что ключевая дискета│ │ │ │

│программы отправки│ │ │ │

│рублевых платежей│ │ │ │

│"Конва" не хранится в│ │ │ │

│сейфе, как того│ │ │ │

│требуют внутренние│ │ │ │

│положения банка и│ │ │ │

│инструкции ЦБ РФ │ │ │ │

│В банке отсутствует│Компьютерные системы│Мы рекомендуем провести анализ возможных рисков│ !! │

│план действий на│банка являются важным│деятельности банка, определить наиболее│ │

│случай чрезвычайной│компонентом в его│критичные сферы деятельности и подготовить общий│ │

│ситуации. В настоящее│успешной операционной│порядок действий сотрудников банка при│ │

│время ИТ-службой│деятельности, и если│возникновении чрезвычайных ситуаций. Такой│ │

│разработан ряд│произойдет │порядок действий должен предусматривать четкое│ │

│отдельных мер по│продолжительный сбой в│распределение ответственности между│ │

│восстановлению данных│компьютерных системах│специалистами банка по восстановлению│ │

│и замене оборудования│банка, это может│работоспособности системы, примерный перечень│ │

│в случае его выхода│сказаться самым│действий, возможные причины возникновения│ │

│из строя. Однако на│негативным образом на│ситуации, а также масштаб возможных потерь для│ │

│сегодняшний момент не│его деятельности и│деятельности банка. │ │

│существует плана│привести к│Разработанный документ должен быть утвержден│ │

│восстановления │дополнительным потерям │руководством банка и доведен до сведения всех│ │

│компьютерных систем в│ │ответственных специалистов │ │

│случае чрезвычайных│ │ │ │

│ситуаций │ │ │ │

│Отсутствие стороннего│Ввиду того, что все│Мы рекомендуем хранить резервные копии за│ ! │

│хранения резервных│резервные файлы хранятся│пределами здания │ │

│копий данных. В банке│в одном и том же здании,│ │ │

│внедрены процедуры│аварийная ситуация,│ │ │

│создания резервных│например пожар в здании,│ │ │

│файлов. Однако все│может полностью│ │ │

│резервные копии│уничтожить критичную│ │ │

│хранятся в этом же│информацию. В результате│ │ │

│здании │этого банку, возможно,│ │ │

│ │придется приостановить│ │ │

│ │свои операции │ │ │

│Серверная комната не│Риск повреждения или│Мы рекомендуем банку предпринять следующие шаги:│ ! │

│оборудована │выхода из строя│разработать и протестировать план тушения пожара│ │

│противопожарной │ключевого оборудования в│и эвакуации ключевого оборудования; обеспечить│ │

│газовой системой │случае пожара возрастает│наличие газовых огнетушителей в серверных│ │

│ │ │комнатах │ │

│В используемом банком│Отсутствие процедуры│Мы рекомендуем внедрить процедуру верификации│ !!! │

│программном │верификации может│валютных платежей, а также систему их│ │

│обеспечении │привести к│последующего контроля │ │

│отсутствует процедура│непреднамеренным ошибкам│ │ │

│верификации │или мошенничеству │ │ │

│международных │ │ │ │

│переводов. Все вводы│ │ │ │

│данных для платежей в│ │ │ │

│иностранной валюте│ │ │ │

│осуществляются одним│ │ │ │

│исполнителем │ │ │ │

└─────────────────────┴────────────────────────┴────────────────────────────────────────────────┴──────────┘

Дата добавления: 2019-01-14; просмотров: 521; Мы поможем в написании вашей работы!

Поделиться с друзьями:

⇐ Предыдущая 19 20 21 22 232425 26 27 28 Следующая ⇒

Мы поможем в написании ваших работ!