ЛИЧНЫЙ КАБИНЕТ

Войти Регистрация

ИТ-риски при проведении Due Diligence

Раздел: ИТ-аудит

Авторы: 


Максим Козлов, начальник отдела ИТ аудитов, Блок внутреннего контроля и аудита ПАО «МТС», член Института внутренних аудиторов, CISA, член международной ассоциации ISACA


Роговской Андрей, руководитель проекта отдела ИТ аудитов, Блок внутреннего контроля и аудита ПАО «МТС», член Института внутренних аудиторов


В настоящее время процесс оценки и составления объективного представления об объекте инвестирования (Due Diligence) – широко распространенная практика. Основной упор при проведении Due Diligence делается на финансовую отчетность, основные материальные / нематериальные активы, рыночные исследования. При этом не уделяется достаточного внимания ИТ-процессам, активам и аспектам информационной безопасности (далее – ИБ) исследуемого объекта инвестирования. Впоследствии при интеграции ИТ-ландшафтов объединяющихся компаний могут возникать проблемы, связанные с различным уровнем зрелости технологических процессов и информационной безопасности, таких как: разнородность программных и аппаратных платформ, использующихся для эксплуатации информационных систем, использование разных стандартов обслуживания, методологии управления и др. В результате необходимо проводить значительную работу по выстраиванию однородного ИТ-ландшафта и единых процессов организации и управления ИТ и информационной безопасностью, что может составлять значительную часть инвестиций на последующем этапе интеграции приобретаемого актива в объединенную структуру компании. Таким образом, для получения исчерпывающей информации об объекте инвестирования в рамках проведения Due Diligence необходимо проводить, в том числе анализ ИТ-инфраструктуры и оценку уровня информационной безопасности.


Основными объектами ИТ-анализа в рамках проведения Due Diligence могут быть следующие области:

·                Анализ регламентации процессов управления ИТ и информационной безопасности;

·                Анализ требований и стандартов регуляторов и бизнес-партнеров в части ИТ-активов и степень их реализации в объекте инвестирования;

·                Анализ динамики изменений бюджета на развитие, функционирование и поддержку ИТ-инфраструктуры за несколько последних лет, включая расходы на аутсорсинговые ИТ-сервисы;

·                Анализ проектов развития ИТ;

·                Анализ операционных процессов ИТ;

·                Анализ и инвентаризация основных ИТ-активов;

·                Анализ процессов обеспечения непрерывности функционирования ИТ-сервисов и наличие резервирования их компонентов;

·                Анализ состояния информационной безопасности.


При проведении анализа в первую очередь следует определить основные информационные активы компании. В широком смысле под активом понимается информация в различной форме (бумажные и электронные документы, базы и файлы данных и др.) и средства ее обработки (программное и аппаратное обеспечение, информационные системы и сервисы). Любая современная компания использует в своей работе различные информационные системы, которые объединены в информационные активы, как критичные с точки зрения выполнения миссии компании, так и с точки зрения сопровождения внутренних бизнес-процессов. При этом следует учитывать, что не все информационные активы имеют одинаковую ценность для компании, и, следовательно, в целях разумной достаточности (в первую очередь, с экономической точки зрения) для обеспечения их безопасности требуются разные средства защиты. Поэтому после идентификации информационных активов следующим важным шагом является классификация информации в соответствии с потенциальным уровнем ущерба в случае ее компрометации или недоступности. Для каждого класса должны быть определены отдельные требования и процедуры по уровню защиты информации (процессы контроля доступа, хранения и использования данных), а также критерии для отнесения информации к тому или иному классу. Классификации подлежит не только конечная информация (данные), но также и средства ее обработки, в том числе информационные системы. Кроме того, классификация информационных ресурсов позволяет оценить экономическую целесообразность внедренных средств защиты.


Основными рисками доступности и функционирования ИТ-активов могут являться:


·                Отсутствие механизмов обеспечения резервирования и отказоустойчивости информационных систем (данные механизмы могут быть реализованы как на программном, так и на аппаратном уровне эксплуатируемой информационной системы) может привести к катастрофическим последствиям для критически-важных процессов компании (например, остановка платежей из-за выхода из строя финансовой системы). В зависимости от ценности бизнес-процессов инвестиции в обеспечение доступности критически важных информационных систем могут составлять значительную часть финансовых затрат.


·                Использование устаревшего оборудования, которое не находится на технической поддержке производителя, может привести к выходу из строя и невозможности проведения мероприятий по своевременной замене оборудования. Также стоит учитывать, что устаревшее ИТ-оборудование приведет к дополнительным затратам со стороны инвестора на закупку замены устаревшего оборудования.


·                Использование устаревших версий операционных систем и баз данных может привести к инцидентам информационной безопасности в части нарушения доступности, целостности и конфиденциальности данных в информационных системах.


Также потенциальному инвестору следует обратить внимание на регламентирующие документы, описывающие процессы управления функций ИТ и информационной безопасности. Данные документы должны включать в себя различные политики (например, политика информационной безопасности, политика по управлению инцидентами, политика резервного копирования и т.д.) и внутренние стандарты (например, стандарт по использованию серверного и сетевого оборудования). Отсутствие принципов унификации и стандартизации используемого оборудования и инфраструктурного программного обеспечения влечет за собой разнородность ИТ-ландшафта и, как следствие, дополнительные затраты на сопровождение оборудования и программного обеспечения разных производителей (необходимость наличия нескольких узкоспециализированных ИТ-специалистов в штате компании, заключение дополнительных договоров технической поддержки по сравнению с использованием унифицированных решений).


Управления мощностями в любой организации является одним из ключевых ИТ-процессов для выстраивания долгосрочной модели по управлению закупками оборудования с учетом органического роста потребляемых ресурсов информационными системами и политику замены морально устаревшего, снятого с технической поддержки ИТ-оборудования. Процесс управления мощностями является частью проектной деятельности ИТ-подразделения компании, поэтому информацию о наличии данного процесса, а также его ключевых показателей можно получить из анализа проектов развития ИТ. При отсутствии процесса управления мощностями становится крайне затруднительно производить долгосрочную оценку и бюджетирование потребностей компании в замене устаревшего оборудования, масштабировании существующих и перспективных ИТ-систем с учетом их естественного роста.


В анализ нематериальных активов также должен быть включен процесс управления лицензиями в компании. Помимо наличия необходимого количества лицензий, также необходимо обратить внимание на условия их использования. Проблематика использования лицензионного программного обеспечения должна также рассматриваться и относительно автоматизированных рабочих мест сотрудников компании. В лицензионную частоту используемого программного обеспечения стоит также отнести и программное обеспечение собственной разработки. При анализе процессов собственной разработки стоит обратить внимание, оформлено ли право на использование программного обеспечения собственной разработки. При отсутствии необходимых лицензий и прав на программное обеспечение появляется риск дополнительных инвестиций в приобретаемую компанию.


При анализе операционной деятельности ИТ-подразделений необходимо провести оценку ключевых специалистов, занимающихся администрированием и разработкой критически важных для миссии компании информационных систем и сервисов. В данную оценку необходимо включать анализ профессиональных компетенций, а также дублирование ИТ-функций. Недостаточный анализ операционной деятельности ИТ- подразделений может привести к потере ключевых компетенций и, как следствие, к дополнительным затратам для поиска необходимых специалистов или передачи функции на внешнюю техническую поддержку. Также по вопросам кадрового состава ИТ-подразделений дополнительной статьей затрат могут выступать затраты на приведение уровня заработной платы в соответствии с заработной платой сотрудников аналогичного позиционного уровня компании-инвестора, дополнительные затраты на обучение и различные социальные выплаты.


В рамках проведения анализа ИТ-инфраструктуры необходимо также проводить анализ состояния информационной безопасности, который включает в себя исследование текущих процессов и оценку эффективности эксплуатируемых средств защиты информации, таких как: управление доступом, криптографическая защита, защита от вредоносного ПО, управление обновлениями и уязвимостями, безопасность сети и др. Данный анализ позволяет получить оценку текущего состояния обеспечения информационной безопасности и уровень уязвимости ИТ-инфраструктуры к актуальным угрозам.


Помимо анализа технических аспектов обеспечения информационной безопасности необходимо также проводить анализ требований и стандартов регуляторов и бизнес-партнеров в части ИТ, а также степень их реализации в компании. Например, обеспечение требований законодательства, в том числе по защите персональных данных (Федеральный закон № 152 «О персональных данных», 21-й приказ ФСТЭК и др.), требования по защите информации в государственных информационных системах (например, 17-й приказ ФСТЭК), отраслевые требования и стандарты по информационной безопасности (например, Стандарт Банка России СТО БР ИББС-1.0, Положение ЦБ РФ 382-П и др.), международные требования законов (например, закон Сарбейнза-Оксли) и стандартов (например, стандарт Payment Card Industry Data Security Standard - PCI DSS). Стоит отметить, что при оценке возможных требований регуляторов необходимо учитывать, что с 25 мая 2018 года в Европейском Союзе вступают в силу новые требования в области обработки и защиты персональных данных – General Data Protection Regulation (GDPR), которые при определенных условиях могут быть применены по отношению к российским компаниям. Правовые вопросы важны, так как нарушение обязательств и предъявляемых требований законодательства может нанести значительный ущерб бизнесу (например, наложение штрафов, отзыв профессиональных лицензий) и репутации. Кроме того, за несоблюдение требований некоторых законов (например, ФЗ №152, закон Сарбейнза-Оксли) предусмотрена уголовная ответственность в виде лишения свободы.


Также следует учитывать юридические особенности обеспечения правового режима охраны объектов интеллектуальной собственности, в том числе в отношении разрабатываемых нематериальных ИТ-активов (например, разработанное программное обеспечение и исходный программный код). В целях обеспечения защиты и передачи исключительных прав компании в отношении разрабатываемых нематериальных активов должны выполняться определенные организационные меры (например, организация процедуры подписания документов для оформления прав на создаваемые объекты интеллектуальной собственности, формализация, учет и идентификация создаваемых объектов и др.). Данные мероприятия необходимы для предотвращения возможных судебных исков о нарушении исключительных прав и выплаты компенсации, которые могут быть предъявлены со стороны авторов объектов интеллектуальной собственности.


Отдельного внимания заслуживает анализ процесса взаимодействия с третьими сторонами. У компании-объекта инвестиций могут быть заключены договорные отношения с внешними поставщиками услуг, в рамках которых возможна передача и обработка критичных данных. Данные договоры должны включать в себя соответствующие требования по обеспечению необходимого уровня информационной безопасности, установленный список лиц, имеющих доступ к обрабатываемым данным, ответственность за их нарушение. Также хорошей практикой является периодическое проведение аудитов поставщиков на соответствие установленным требованиям.


Таким образом, проведение анализа состояния информационной безопасности позволяет оценить текущий уровень безопасности ИТ-инфраструктуры, а также оценить и спрогнозировать риски информационной безопасности и их влияние на бизнес-процессы. При этом следует учитывать, что целевой уровень безопасности должен быть пропорционален оцененным рискам в целях предотвращения избыточных расходов на обеспечение информационной безопасности.


По результатам анализа ИТ-инфраструктуры должны быть проработаны и оценены возможные варианты последующего объединения ИТ-ландшафтов приобретаемой компании и компании-инвестора. В общем случае можно выделить три основных сценария:


1.       Оставить все как есть. В краткосрочной перспективе это самый низкозатратный сценарий ввиду отсутствия затрат на интеграцию, однако на горизонте нескольких лет инвестиции все равно потребуются, и их размер может быть значительно больше по сравнению с первоначальным расчетом. Кроме того, данный вариант подразумевает обособленность ИТ-ландшафта приобретаемой компании относительно общих направлений развития компании-инвестора, что может осложнять последующее взаимодействие, влиять на оптимизацию бизнес-процессов, а также общий уровень зрелости ИТ-инфраструктуры компании после объединения.


2.       Частичная интеграция. Данный сценарий подразумевает частичную оптимизацию в первую очередь критически важных ИТ-процессов. По сравнению с полной интеграцией он подразумевает более приемлемые затраты в краткосрочной перспективе, однако имеется вероятность деградации части функционала ИТ-процессов.


3.       Полная интеграция. Данный вариант подразумевает оптимизацию всех ИТ-процессов приобретаемой компании и приведение в соответствии с внутренними стандартами компании-инвестора всех аспектов ИТ/ИБ-процессов. Данный вариант является наиболее дорогостоящим при первоначальных инвестициях, однако в долгосрочной перспективе он обеспечивает прогнозируемые экономические затраты на развитие ИТ/ИБ-процессов объединенной компании.


Проведение описанного ИТ-анализа способствует получению исчерпывающей информации об объекте инвестирования в части текущего состояния ИТ-инфраструктуры и уровня информационной безопасности, а также разработку и оценку возможных сценариев интеграции ИТ-ландшафтов приобретаемой компании и компании-инвестора.


Следует отметить, что для организации качественного анализа в части ИТ нужно привлекать специалистов, обладающих достаточными знаниями и компетенциями в вопросах организации ИТ-процессов, управления информационной безопасностью, анализа и оценки информационных рисков. Данные эксперты должны входить в состав команды при проведении Due Diligence наряду со специалистами по финансовым и юридическим аспектам.


Недостаточное внимание к проблематике ИТ при проведении Due Diligence может привести к тому, что расходы и сроки работ, связанные с последующей интеграцией ИТ-ландшафтов и трансформацией бизнес-процессов, могут быть спрогнозированы некорректно, ИТ-риски и риски информационной безопасности могут быть недооценены. Качественный анализ ИТ-инфраструктуры позволяет заблаговременно выявить потенциальные проблемы и оценить размер инвестиций в части ИТ потенциальной сделки, потому его необходимо проводить до принятия решения об инвестировании.


Статья опубликована в журнале "Внутренний контроль в кредитной организации" № 4 (36) \ 2017