25 ноября, среда 16:52
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Аудит IT-систем и подразделенийV

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • ПРиветствую дамы и господа!
    Вот и в банке где я работаю с нового года открывается этот самый отдел, меня переводят туда, 2 года проверял займы, депозиты и многое другое...Переводят потому что у меня есть опыт работы ИТ-специалистом, со стороны не хотят брать нового человека.

    Надеюсь на взаимную помощь

    Комментарий


    • ну и как работается на новом месте?

      Комментарий


      • Сообщение от Bulkyn Посмотреть сообщение
        ПРиветствую дамы и господа!
        Вот и в банке где я работаю с нового года открывается этот самый отдел, меня переводят туда, 2 года проверял займы, депозиты и многое другое...Переводят потому что у меня есть опыт работы ИТ-специалистом, со стороны не хотят брать нового человека.

        Надеюсь на взаимную помощь
        Ну как начало работы?
        Кстати, кто был инициатором создания подобного отдела?
        Сколько человек в отделе (при этом каков размер банка в кол-ве сотрудников/филиалов)?

        Комментарий


        • приветствую всех! смотрю тема как-то не очень активно живет - пытаюсь поддержать! работаю в достаточно крупном банке аудитором IT-систем более полутора лет, работы хватает, самое легкое проверить информационную безопасность автоматизированных систем, самое трудное - эффективность ПО при обеспечении бизнес-процессов ... призываю подискутировать на тему ТРУДНОГО, соотвественно готов поделиться собственным опытом! Всем удачи!!!

          Комментарий


          • Доброго времени суток.
            Я также лишь недавно стал работать на должности ИТ-аудитора в достаточно крупном банке. Пришел из сферы ИТ безопасности.
            Теже сложности по поводу контролей уровня приложения.
            Будет интересно, если коллеги поделятся своим практическим опытом проведения аудитов.

            Комментарий


            • Если под "контролем уровня приложений" вы понимаете эффективность, то могу сказать, что все проверки на эту тему приводили к следующим результатам: ПО некачественное (для проверки использовали параметры стандартов ISO) и не оправдывает вложенных в него средств и ресурсов. Прикиньте какой визг это вызывало со стороны наших компьютерщиков :-)) особенно по части средств и ресурсов!!!

              Комментарий


              • Aleksis
                Не могли бы Вы более детально описать, что Вы имеете ввиду под эффективностью ПО?
                Какие стандарты ISO Вы используете в работе?
                У нас отдел ИТ аудита только лишь создан, поэтому работа еще не налажена должным образом.
                Сейчас основной упор делается на эффективность общих компьютерных контролей, но параллельно проверяются бизнес-процессы и эффективность контролей приложений, которые учавствуют в этих бизнес-процессах.

                Комментарий


                • Эффективность программного обеспечения - отношение уровня услуг, предоставляемых программным продуктом пользователю при заданных условиях, к объему используемых ресурсов. Иначе говоря, как ПО выполняет поставленные перед ним задачи, и насколько оправдывает затраченные ресурсы. Хочу отметить, что за эту тему взялись недавно, так что сами сейчас находимся в процессе поиска. При проверке использовали следующие ISO: 9126-2003 - характеристики качества ПО, 12119-2003 - требования к качеству, 14764-2003 - сопровождение ПО и 12207-2003 - процессы жизненного цикла ПО.
                  Раньше в основном занимались проверкой ИБ, вообщем-то тут ничего сложного: сломать пару серверов, выявить нарушения парольных политик, безопасность передачи данных и т.п.. А чем занимались Вы?

                  Комментарий


                  • Работаю лишь несколько месяцев, поэтому сказать, что я чем-либо серйозно занимался пока не могу.
                    Сейчас проходит общий аудит ИТ безопасности, если так можно выразиться.
                    Также параллельно проверяются ИТ системы во время остальных плановых проверок.
                    Системного подхода пока нет, но как говорится "Москва не сразу строилась".
                    Поэтому хотелось бы узнать опыт коллег, как развивались (развиваются) отделы ИТ аудита в других организациях.
                    Эффективностью ПО мы пока не занимались настолько углубленно. Скорее некоторые критичные вещи, которые выполняются информационными системами на этапе ввода информации, обработки и вывода.

                    Комментарий


                    • а можно подробнее пояснить, что вы имели ввиду под "критичные вещи, которые выполняются информационными системами на этапе ввода информации, обработки и вывода"????
                      А по развитию отделов IT-аудита, то у нас тоже было все стандартно: вначале занимались проверкой безопасности автоматизированных систем, плюс проверка автоматизированных систем структурных подразделений на предмет соответствия требованиям локальных нормативных документов. Основные проблемы в нашей работе - слабая документальная база, регламентирующая ИТ-аудит и, как следствие, отсутствие методик. По мере проведения проверок конечно что-то накапливается и проявляется, но пока говорить о сформировавшейся системе проверок я не могу. Тем более, что перед нами постоянно ставят новые задачи, и такое впечатление, что руководство само слабо представляет, что мы должны делать.
                      Вместе с тем хочу заметить, что отдача от нашей работы есть - мы единственное подразделение внутри Банка, способное провести независимую проверку автоматизированной системы. Причем не боимся, к примеру, что за обнаруженные дыры и уязвимости нас накажут (как те же безопасники).

                      Комментарий


                      • )))
                        Под "конкретными вещами, которые выполняют информационные системы", я имел ввиду контроли, которые выполняются на этапе ввода, обработки и вывода информации в этих системах.

                        Комментарий


                        • ну вот видете - у вас неплохое начало! тем более, что это один из параметров качественных показателей ПО (см. перечисленные стандарты). В связи с этим позволю дать совет - при проверках такого рода кроме собственного мнения отраженного в итоговых документах, старайтесь привязаться к стандартам, либо иным нормативным актам (если таковые есть в вашем распоряжении).

                          Комментарий


                          • Сколько у Вас человек в отделе ИТ аудита?
                            Безсомненно каждую рекомендацию стараемся делать основываясь на best practises.
                            Со мной работает достаточно опытный коллега, есть у кого поучиться, но также хотелось бы узнать практический опыт других коллег.
                            У меня довольно таки неплохая теоретическая подготовка (сертификаты есть, только они на то и сертификаты, что показывают лишь теоретический уровень подготовки ), но вот практического опыта конечно не хватает.

                            Комментарий


                            • пока нас трое на весь банк, на мой взгляд вполне хватает на данный момент, хотя круг задач со временем расширяется и скоро потребуется увеличивать штат. таких спецов, чтобы с опытом нет - посему плоды наших трудов рождаются коллективным разумом с использованием доступной литературы и, конечно-же, интернета. не прочь поучиться, но пока не можем найти достойных курсов по нашей тематике. готов поделиться практическим опытом, если скажете конкретно, что Вас интересует, а мне вот интересно где вы берете "бест-практики" при проведении проверок?

                              Комментарий


                              • Сообщение от Aleksis Посмотреть сообщение
                                Эффективность программного обеспечения - отношение уровня услуг, предоставляемых программным продуктом пользователю при заданных условиях, к объему используемых ресурсов. Иначе говоря, как ПО выполняет поставленные перед ним задачи, и насколько оправдывает затраченные ресурсы. Хочу отметить, что за эту тему взялись недавно, так что сами сейчас находимся в процессе поиска. При проверке использовали следующие ISO: 9126-2003 - характеристики качества ПО, 12119-2003 - требования к качеству, 14764-2003 - сопровождение ПО и 12207-2003 - процессы жизненного цикла ПО.
                                Раньше в основном занимались проверкой ИБ, вообщем-то тут ничего сложного: сломать пару серверов, выявить нарушения парольных политик, безопасность передачи данных и т.п.. А чем занимались Вы?
                                Коллега, нет ли у Вас электронных вариантов вышеперечисленных стандартов?
                                Очень хотелось бы ознакомиться.

                                Комментарий


                                • Уважаемый mation2001!
                                  перечисленные мной стандарты актуальны для нашей страны. в электронном виде я ими не располагаю, но в Интернете есть аналогичные стандарты под тем же номером, но с другой датой принятия. Вообщем то все эти стандарты являются переводами ISO с адаптацией для конкретной страны. Например по характеристикам качества ПО есть ГОСТ Р ИСО 9126-93 (с аналогичным содержанием), который можно взять по следующей ссылке: http://www.klubok.net/Downloads-inde...s-lid-289.html. Да поможет Вам ГУГЛ!!!! :-)

                                  Комментарий


                                  • Спасибо за подсказку.
                                    Честно говоря не подумал, что ГОСТы могли приниматься в другие года.
                                    Искал только международные официальные ISO.

                                    Комментарий


                                    • Коллеги, для облегчения поиска выкладываю ссылку на очень информативный ресурс, который содержит массу стандартов.

                                      http://www.complexdoc.ru/index.php

                                      Комментарий


                                      • Уважаемые коллеги, у меня вопрос.
                                        Вы когда-нибудь привлекали для проведения IT аудита внешних специалистов?

                                        Нам корпоративный аудит выставил рекомендацию о привлечении квалифицированных специалистов для проведения аудита в области IT.
                                        Причина - отсутствие сертификата CISA у сотрудников СВК.

                                        Собственно, варианта два:
                                        - привлечение внешнего аудитора к плановой поверке СВК по вопросам IT;
                                        - проведение внешним аудитором отдельной проверки по вопросам IT, дополнительно к проверке СВК.

                                        Мы остановились на втором варианте (в этом году по крайней мере).
                                        И мне поручили составить список вопросов к проверке.
                                        А также список требований к внешним аудиторам...

                                        Собственно, вопросы:
                                        Каким образом разграничить вопросы внутреннего и внешного IT аудита?
                                        Каким образом оформляется привлечение подобных специалистов к участию в плановой (СВКшной) проверке?
                                        Best regards

                                        Комментарий


                                        • Первый вариант более результативный. Привлечь внешнего специалиста на outstaffing - работает как часть команды, решений сам не принимает, делает то, что велит руководитель проверки. Оплата почасовая
                                          В договоре так и прописывается - "делает, что скажут, не принимает управленческих решений".

                                          Комментарий


                                          • Vulpecula, честно говоря, не вижу прямой связи между наличием сертификата CISA и проведением аудита информационных технологий, возможно у Вашей службы внутреннего контроля просто нет необходимых специалистов. Насчет способа привлечения внешнего специалиста пожалуй соглашусь с Пронто. Но в обоих случаях перед тем как привлечь внешний аудит Вам необходимо провести большой объем подготовительной работы. Из своего опыта могу сказать, что как минимум необходимо подготовить конкретные вопросы и исходные данные, на основе которых будут формулироваться метрики, KPI, KGI, особенно это важно, если проверка будет проводиться на основе международных стандартов. В противном случае результирующий документ будет содержать кучу умных фраз о недостатках системы внутреннего контроля, низком уровне модели зрелости процессов и т.п., а также туманные рекомендации - то есть без толку потратите свои деньги.

                                            Комментарий


                                            • Aleksis, pronto,
                                              лично я так вообще не вижу смысла в приглашении подобного специалиста. =)
                                              Для нашего корпоративного аудита "сертификат" это пунктик: нет сертификата - не можешь "качественно проверить".

                                              Уже склонила менеджмент к привлечению одного специалиста, а не целой конторы. Собственно вопрос - а где таких специалистов берут?
                                              Если повезет, вообще отделаемся наплывом IT аудиторов из штабквартиры, без привлечения внешних контор...
                                              Best regards

                                              Комментарий


                                              • Насчет где брать специалиста, то в Москве такого добра навалом - с сертификатами и без, вопрос в цене. В этом нелегком вопросе вам поможет интернет. Большие аудиторские конторы типа Делойд_и_Туш, КПМГ, Эрнс_энд_Янг имеют в своем штате таких специалистов. Но возможно Вы вполне обойдетесь и услугами контор поскромнее, я знаю IT-expert (был там на курсах). Опять же вопрос - кого конкретно Вам подсунут. Могут тупо снять деньги, а прислать какого-нибудь экономиста 8-ой категории, прыщавого мальчика. Посему отнеситесь к данному вопросу очень тщательно. В любом случае прошу размещать информацию на форуме о том, что у Вас в итоге получилось. Полагаю, что будет интересно не только мне.

                                                Комментарий


                                                • Сообщение от Vulpecula Посмотреть сообщение
                                                  Aleksis, pronto,
                                                  ...Для нашего корпоративного аудита "сертификат" это пунктик: нет сертификата - не можешь "качественно проверить".

                                                  Уже склонила менеджмент к привлечению одного специалиста, а не целой конторы. Собственно вопрос - а где таких специалистов берут?
                                                  ...
                                                  Гораздо дешевле и эффективнее привлечь специалиста (в т.ч. с сертификатом) частным образом, поставив ему конкретные задачи.
                                                  Ну а если нужно для галочки, и чтоб всё официально - тут уж без консалтинговой организации не обойдешься ;-)

                                                  Комментарий


                                                  • Сейчас тоже стою перед выбором, в СВК нет специалистов по аудиту IT и информбезопасности, раньше совместно с IT-департаментом просто тестировали на стандарт, больше формально. Сейчас, понимаю, что качественный аудит своими силами не провести, банк высокотехнологичный, хочу инициировать внешний аудит, готовлю аргументы, нужны доводы за и проиив, доводами "за" мог бы послужить опыт других банков - коллеги, как у вас построены данные процессы, поделитесь, плиз:-)
                                                    Дневной дозор

                                                    Комментарий


                                                    • Sherly,
                                                      Мы в итоге приняли более широкое решение.
                                                      Привлекли фирму на аутсерсинг на проект "переход на стандарт СТО БР ИББС", где первым пунктом идет "первичная оценка соответствия и разработка плана мероприятий". Эту оценку будем проводить совместно.
                                                      Потом они же реализуют данные мероприятия.
                                                      По окончанию проекта внешними силами проводим "оценку соответствия" и получаем официальное заключение.
                                                      В дальнейшем, в рамках ежегодной аудиторской проверки, добавим нашему аудитору дополнительную задачу по полной проверке IT и IS.
                                                      А СВК проверки проводит параллельно (на тему регламентированности, наличия необходимых лицензий, конфликта интересов, бесперебойности, соответствия стандарту и т.п.)...
                                                      Best regards

                                                      Комментарий


                                                      • Sherly, коллеги, как у вас построены данные процессы, поделитесь, плиз Чтобы действительно понять, что нужно делать, надо хотя бы один раз посмотреть, как проверяют аудиторы по IT системам и информбезопасности. Мне посчасливилось. У нас иностранный банк и проверки делают иностранные IT-аудиторы. После этого совершенно однозначно понимаешь, что, если ты не являешься специалистом в IT, а тем более, не натаскан на проведение аудита IT, то лучше и не трепыхаться. Это совершенно самостоятельная область аудита. Она даже сертифицируется отдельно, если не ошибаюсь. Это все равно, что экономиста кредитного отдела, а еще лучше, операциониста, посадить на место сисадмина. И что? Сможет он сисадминить? А аудиторы, к-е всю жизнь проверяют кредиты, депозиты и etc, почему-то искренне верят, что смогут провести IT-аудит. Да, они даже терминологией не владеют, не говоря о слэнге; не знают как там и что внутри устроено, чтобы дать оценки и тем более какие-то рекомендации.

                                                        Я понимаю, что у руководства многих банков пока остается ощущение, что брать отдельного человека только на аудит IT - это роскошь. Но рано или поздно, они к этому придут. Работы даже у одного человека в этой области - не паханное поле. И просто хорошие IT-шники и безопасники "в поле", никогда не заменят независимого IT-аудитора. Они сами это начинают понимать, когда сталкиваются с настоящими профессионалами в области IT-аудита.
                                                        "Не печалься, что люди не знают тебя, но печалься, что ты не знаешь людей!" (Конфуций)

                                                        Комментарий


                                                        • Vulpecula, Привлекли фирму на аутсерсинг на проект "переход на стандарт СТО БР ИББС", где первым пунктом идет "первичная оценка соответствия и разработка плана мероприятий". Эту оценку будем проводить совместно - предложу рассмотреть рук-ву как вариант;

                                                          UMNICHKA, Я понимаю, что у руководства многих банков пока остается ощущение, что брать отдельного человека только на аудит IT - это роскошь. Но рано или поздно, они к этому придут. Работы даже у одного человека в этой области - не паханное поле. И просто хорошие IT-шники и безопасники "в поле", никогда не заменят независимого IT-аудитора. Они сами это начинают понимать, когда сталкиваются с настоящими профессионалами в области IT-аудита - напишу в отчет СД, как рекомендацию - провести независимый аудит и/или сотрудника в штат, тем более, что заявляем себя банком "высоких технологий!"
                                                          Дневной дозор

                                                          Комментарий


                                                          • Sherly, При внешнем аутсорсинге всегда будет иметь место конфликт интересов: даже, если нам на самом деле захочится получить заключение о реальном состоянии IT систем; никуда не денется желание, чтобы проверяющие сказали, что у нас всё хорошо
                                                            "Не печалься, что люди не знают тебя, но печалься, что ты не знаешь людей!" (Конфуций)

                                                            Комментарий


                                                            • Сообщение от UMNICHKA Посмотреть сообщение
                                                              Sherly, При внешнем аутсорсинге всегда будет иметь место конфликт интересов: даже, если нам на самом деле захочится получить заключение о реальном состоянии IT систем; никуда не денется желание, чтобы проверяющие сказали, что у нас всё хорошо
                                                              ..особенно учитывая тот факт, что курируют такие внешние аудиты те же айтишники или безопасники

                                                              Комментарий

                                                              Обработка...
                                                              X