1. аналіз ризиків окремо, що створює умови для розуміння аудитором особливостей тієї чи іншої ризикової ситуації або специфіки несприятливих наслідків її реалізації. Подібний аналіз дає можливість вибрати найбільш підходящі інструменти управління для кожного конкретного ризику;
2. вивчення ризикового портфеля в цілому, що дозволяє встановити загальний вплив ризиків на розглянуту фірму. Подібне комплексне уявлення Про сукупності ризиків називається профілем ризику, а його документальне вираз – паспортом ризику. Це забезпечує єдину точку зору служби внутрішнього аудиту на ризики фірми, а значить і визначення особливостей її політики з побудови адекватної системи внутрішнього контролю.

      Очевидно, система внутрішнього аудиту, орієнтованого на управління ризиком повинна спиратися на обидва цих рівня і поєднувати в собі інструменти і методи, характерні для кожного з них. Недотримання цієї умови призведе до втрати адекватності проведеної політики і, як наслідок, до зменшення фінансової стійкості фірми.

      Вивчення портфеля ризиків в цілому означає, що у дослідження ризикової ситуації поряд з джерелами невизначеності, пов'язаними з поведінкою окремих ризиків, включається ще одна структурна характеристика ризику – ступінь взаємозв'язку між ризиками. У більшості випадків повна інформація про нього відсутня (наприклад, відомо, що ризики в портфелі корельованості, але не ясно, яким чином або яка природа взаємозв'язку). Тому даний аспект також може бути потужним джерелом невизначеності, в якій має місце система управління ризиком. Для подолання цієї невизначеності служба внутрішнього аудиту використовує інструментарій інформатизації компанії, а саме:

• ефективна організація інформаційних потоків, що дозволяє комплексно вирішувати проблеми найбільш відповідному для цього менеджеру;
• забезпечення інформаційної безпеки прийнятих рішень (включаючи відсутність витоків інформації, своєчасність прийняття рішень, подолання адміністративних бар'єрів і т.д.);
• всебічний облік різних обмежень для прийняття рішень (перш за все, ресурсних і тимчасових) для портфеля ризиків в цілому дозволяє більш ефективно управляти ресурсами.

      Поєднання цих методів з урахуванням специфіки конкретних ризиків на рівні їх індивідуального аналізу робить систему внутрішнього аудиту, орієнтованого на управління ризиком в умовах інформатизації більш адекватною і гнучкою.

      Для компаній будь-якої форми власності та приналежності до будь-якого сектору економіки [9] має сенс дослідити ризики, пов'язані з доступом до інформаційно-комунікаційних технологій для виключення структурної характеристики ризику «небезпеку» в мережі Інтернет.

      Врахування специфіки діяльності комерційної організації в умовах інформатизації дозволить внутрішньому аудитору встановити пріоритет ранжирування профільних ризиків, що вимагає розгляду в першу чергу тих з них, які роблять на діяльність організації найбільший вплив. Взаємозв'язок між стратегією розвитку фірми і системою управління ризиком [9] проявляється не тільки в тому, що перша визначає другу, але й у наявності зворотного зв'язку, а саме: вибір того чи іншого варіанта управління ризиком може зажадати деякого коректування зазначеної стратегії або попереднього обліку певних ризиків при її створенні. Це пояснюється наявністю специфічного впливу ризику при веденні бізнесу в електронному середовищі на такі цілі фірми, як:

1. Продовження операцій. Подія, що виникло в результаті реалізації ризикової ситуації, може бути настільки несприятливим, що призведе до припинення операцій фірми (наприклад, у зв'язку з її банкрутством). Очевидно, що в подібній ситуації мети і місія фірми не можуть бути реалізовані, тому стратегія розвитку фірми повинна враховувати можливість виникнення подібних обставин. У даному аспекті найбільш імовірний ризик, пов'язаний з використанням об'єктів інтелектуальної власності: порушення чужих авторських і патентних прав, плагіат – "піратське" – використання об'єктів інтелектуальної власності, що належать страхувальникові, втрата прав на об'єкти інтелектуальної власності.
2. Стабільність операцій та/або грошових потоків. Фінансовий ризик, породжуваний діяльністю у сфері е-комерції: перерви в бізнес-процесах через атаки хакерів чи помилок в програмах, у тому числі викликаних нелояльністю програмістів і інші непередбачені витрати, ризик втрати або пошкодження обладнання, за допомогою якого здійснюється діяльність на ринку е-комерції; ризик, пов'язаний зі зберіганням та доставкою товарів, що є об'єктами онлайн торгівлі.
3. Прибутковість операцій. Хоча для досягнення певних цілей фірма може дозволити собі відносно короткі періоди збиткової роботи, прибутковість операцій є необхідною умовою її функціонування в довгостроковій перспективі, тому ризик, пов'язаний з фінансовою інформацією, що використовується в сфері електронної комерції (пошкодження, спотворення, розкрадання, блокування доступу) є дуже актуальним.
4. Ділова репутація. Ризик порушення зобов'язань партнерами (наприклад, компаніями, що здійснюють доставку товарів – об'єктів онлайн торгівлі).

      Проведений аналіз показує тісний взаємозв’язок між стратегією розвитку фірми, з одного боку, і ризиками і системою аудиту та контролю, з іншого боку, в умовах розвитку електронної комерції як найважливішого напряму діяльності будь-якої компанії при формуванні конкурентної переваги на ринку. Наявність такого взаємозв'язку свідчить, по-перше, про важливість обліку та внутрішнього аудиту ризиків та здійснення заходів з управління ними і, по-друге, про те, що управління ризиком є важливою складовою частиною загального менеджменту компаній.

4. Аудит інформаційних систем та безпеки web-додатків

      У наш час досить важко уявити собі процвітаючу компанію, у якої немає корпоративної інформаційної системи.

      І дійсно, жорсткі умови сучасного бізнесу, висока конкуренція і колосальне зростання обсягів інформації, стимулюють організації на впровадження інформаційних систем, все більше і більше інформації у них зберігається і все більш цінною і стратегічно важливою стає інформаційна система. Багато в чому ефективність інформаційних систем залежить від того, наскільки добре забезпечений їх захист з точки зору інформаційної безпеки. Адже згідно з дослідженням Gartner, 70% атак спрямовані на бізнес-додатки та бази даних (БД) організацій.

      Основні загрози інформаційної системи:

• порушення цілісності та доступності інформації;
• порушення конфіденційності інформації.
• розкрадання і знищення корпоративної інформації вже не рідкість, на превеликий жаль, кількість подібних інцидентів тільки зростає.

      Для запобігання подібних загроз необхідне проведення аудиту інформаційних систем.

      Основна мета аудиту:

      У першу чергу аудит інформаційної системи призначений для отримання об'єктивної та незалежної оцінки ступеня її захищеності, як від зовнішніх, так і від внутрішніх зловмисників, а так само формування організаційно розпорядчої документації, яка описує повноваження і відповідальність співробітників організації мають доступ до інформаційної системи.

      Коли необхідний аудит інформаційних систем:

• при впровадженні інформаційної системи (CRM, ERP і т.д.);
• при впровадженні нового модуля, до вже існуючої інформаційної системи;
• перед тим як здійснюється інтеграція нового додатка з уже існуючих;
• при підозрі на некоректну функціонування інформаційної системи з точки зору інформаційної безпеки.

      Етапи аудиту інформаційних систем

      Основні етапи аудиту інформаційної системи наступні:

• формування плану аудиту;
• формування робочої групи;
• збір первинної інформації та її аналіз;
• оцінка ризиків на основі отриманої інформації;
• створення плану з управління ризиками;
• розробка рекомендацій з управління ризиками;
• реалізація заходів щодо зниження ризиків.

      Результати аудиту

      Результатом аудиту інформаційної системи є:

• актуальна інформація про поточний рівень захищеності інформаційної системи;
• можливість продовжувати діяльність без побоювання, що інформація може бути викрадена або знищена;
• підвищення конкурентоспроможності на ринку, за рахунок високого рівня інформаційної безпеки;
• наявність організаційно розпорядчої документації, яка описує повноваження і відповідальність співробітників організації;
• зниження ризиків фінансових втрат, за рахунок забезпечення високої відмовостійкості інформаційної системи.

      Більшість компаній в сучасних ринкових умовах приділяють недостатньо уваги безпеці своїх web-додатків. Найчастіше керівництво може виправдовувати такий підхід низьким ступенем впливу web-додатків на бізнес-процеси компанії.

      Якщо мова йде про сайт-візитку, то втрати від скомпрометованого web-сайту дійсно можна розцінити як мінімальні. Однак не варто забувати, що і в цьому випадку компанія може нести значні ризики репутації, пов'язані, наприклад, з ситуацією коли на сайті відбувається малопомітна підміна контенту.

      Зовсім інша ситуація виникає коли бізнес-процеси компанії повністю засновані на функціонуванні web-додатки. До даної категорії відносяться інтернет-магазини, корпоративні портали, електронні торгові майданчики, SaaS-додатки і т.д. Можливі фінансові втрати компанії у разі виведення програми з ладу або розкрадання/підміни даних можуть варіювати в дуже широкому діапазоні.

      Згідно з останнім дослідженням, проведеним Web Application Security Consortium (WASC), ймовірність виникнення вразливостей високого ступеня ризику серед досліджених додатків склала від 80 до 96%

      Методика аудиту

      Проведення аудиту безпеки web-додатки передбачає кілька етапів робіт:

1. Автоматичне сканування. На даному етапі проводиться автоматичне сканування web-сайту за допомогою програмних засобів виявлення вразливостей. Проводиться аналіз наявності типових рішень, застосовуваних для web-ресурсу, таких як CMS, форуми, гостьові книги і тд. Більшість подібних рішень мають відкритий вихідний код і добре вивчені на предмет наявності вразливостей. Додатково проводиться пошук експлойтів у разі виявлення подібних вразливостей.

      Автоматичне сканування дозволяє виявити не тільки помилки на рівні вихідного коду web-сценарію, але також і типові помилки адміністрування сервера.

2. Метод «чорного ящика» (Black Box). Використовуючи інформацію, отриману на першому етапі, фахівець проводить аналіз виявлених вразливостей, а також пошук нових вразливостей неавтоматизованими засобами. Оцінюється можливість скомпрометувати систему без будь-яких додаткових знань про її внутрішній структурі.
3. Метод «білого скриньки» (White Box). Даний етап передбачає всебічний аналіз структури та вихідного коду web-додатки, а також умов функціонування web-додатки на фізичному сервері, таких як: ОС і застосовувана політика безпеки, використовуване серверне ПЗ і його настроювання.

      Основне завдання – виявлення причин знайдених раніше вразливостей, а також пошук нових вразливостей. Аналіз коду проводиться на основі вироблених рекомендацій щодо створення безпечного коду. У разі знаходження формальних ознак нової уразливості – вона перевіряється на предмет можливості її експлуатації.

      У разі розміщення web-додатки в умовах оренди місця на сервері хостингу – додатково може бути проведена оцінка загроз, що виходять від сусідніх доменів, розміщених на даному фізичному сервері.

4. Оцінка ризиків. На даному етапі проводиться аналіз усіх знайдених в процесі аудиту загроз, опис процесу і причин їх виникнення, оцінка ймовірності виникнення та ступеня впливу на бізнес-процеси Замовника.

      Усі виявлені вразливості класифікуються згідно Web Application Security Consortium Web Security Threat Classification (WASC WSTCv2)

5. Вироблення рекомендацій. На основі аналізу загроз, виробляється ряд рекомендацій щодо їх усунення і впровадження заходів щодо забезпечення інформаційної безпеки. На основі вироблених рекомендацій за погодженням із Замовником проводиться впровадження заходів щодо забезпечення інформаційної безпеки, які включають в себе настроювання системних параметрів, зміна вихідного коду програми і впровадження засобів захисту.