20 октября, вторник 17:27
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Аудит IT-систем и подразделенийV

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Ого, я смотрю тема получила неожиданное развитие! Классно. Полностью согласен с Hitch, +100000! Если курировать внешний аудит будут местные же айтишники, то жди отчета типа "работают не щадя живота своего, но есть некоторые недостатки,...", я сталкивался с таким - это когда в ходе внутреннего аудита указываешь на не совсем успешное состояние дел в области ИТ, на глаза руководству тут же вытаскивают отчет внешнего аудита со словами "Вот видите!!!! А это же ученые люди пишут, сертификатами обвешанные!!!" ... Так что лучше внешним аудитом руководить аудиторам внутренним, и пусть отчет будет излишне критичным, чем излишне зализанным.
    Vulpecula, аусорсинговая организация не сможет провести мероприятия по внедрению стандарта, в лучшем случае они напишут что надо делать, а делать придется Вам. Причем контроль за действиями аутсорсера должен быть крайне жесткий, каждое мероприятие должно приносить осязаемый результат, оплата только за результат, а не за сам процесс ... и все это очень желательно предусмотреть на стадии заключения договора.

    Комментарий


    • Aleksis,
      Именно с целью получения объективной оценки текущего состояния системы ИБ мы выбрали для проведения первичной оценки ту компанию, которая вторым этапом будет реализовывать приведение этой системы в соответствие со Стандартом по организационным и техническим вопросам.
      Если они напишут. что у нас все ОК, то им нечего будет реализовывать =)
      Результатом будет разработка и реализация плана необходимых мероприятий, доработка существующих и внедрение новых систем, а также полное внутреннее регламентирование процессов.
      На заключительном этапе их аудиторы будут делать заключительную оценку соответствия, которую мы сможем предоставить ЦБ и Роскомнадзору.
      Они также представляют своих консультантов при проверке банка регуляторами. Данная компания уже имеет опыт успешной реализации таких проектов в других банках, аналогичных нашему по специфике.
      Мы пообщались с представителями этих Банков, они результатом довольны.
      Естественно, курировать этот процесс будет не только специалисты IT и ИБ, но и СВК.
      Оформляться первичная оценка будет как самооценка с привлечением внешних специалистов.
      Best regards

      Комментарий


      • Рад, что у Вас так все хорошо организовано. Надеюсь, что Ваши планы обретут конкретное воплощение, чего вам искренне желаю. В заключении возьму на себя смелость обратить Ваше внимание на формирование метрик (параметров эффективности) после завершения каждого этапа работы поставщика услуг. Для начала, пусть поставщик эти метрики предложит сам. Кстати, это отвечает требованиям мировых стандартов.

        Комментарий


        • Сообщение от Vulpecula Посмотреть сообщение
          Aleksis,
          Именно с целью получения объективной оценки текущего состояния системы ИБ мы выбрали для проведения первичной оценки ту компанию, которая вторым этапом будет реализовывать приведение этой системы в соответствие со Стандартом по организационным и техническим вопросам.
          Ну, обольщаться не стоит... Поскольку сейчас все банки поставлены "в позу" в связи с ближайшем вступлением в силу 152-ФЗ и письма "шести", то все IT-шарашки усиленно кинулись окучивать грядку заряжая ценник и всячески пытаясь влезть в abiss, который настоятельно рекомендует банкам пользоваться услугами только "своих" кандидатов и членов, грозя пальчиком, что иначе ЦБ не примет результаты аудита, не трудно догадаться почему... Хотя РКН и ФСТЭК на ЦБ с высокой колокольни, придут и мало не покажется...
          Это я к чему - весь аудит они делают под копирку (шаблонный набор документации, шаблонный ТЗ и техпроект, и аудит. заключение тоже шаблонное)... Хорошо это или плохо, не важно. Важно, что аудит делать придется всем, а нам СВК, потом еще и проверять что там они напроверяли и навнедряли...
          С уважением

          Комментарий


          • Почему то считается что аудит, проводится для проверки безопасности IT, с этим не согласен , даже ICASA и та рекомендует проводить аудит всей инфраструктуры,хотя экзамены у них смешные
            тут одно пишут что она аудиторы , я кое что скомуниздил
            http://blogs.mrrlabs.asia/

            Комментарий


            • http://blogs.mrrlabs.asia/ там аудиторы печатаются вроде как

              Комментарий


              • очень полезная информация!

                Комментарий


                • Оценка рисков нарушения информационной безопасности

                  Добрый день, коллеги!
                  Вопрос на засыпку. Каким образом можно провести оценку рисков нарушения информационной безопасности без использования рекомендаций Банка России РС БР ИББС-2.2-2009
                  Дело в том, что на сегоднешний день (пока вопрос не решен) Банк не присоеденился к Стандарту Банка России. Поэтому у меня как у внутреннего контроллера нет оснований требовать от подразделений выполнения рекомендаций ЦБР в области обеспечения информационной безопасности. Т.е. намерение провести оценки используя рекомендации ЦБР уже было встречено отв-м подразделением в "штыки" - на каком основании, мы (Банк) не под чем не подписывались.
                  Так как планом проверок данная проверка предусмотрена, то оценку проводить все же следует, но как и какую?

                  думаю понятно выразился.

                  Комментарий


                  • Сообщение от Бойко Сергей Посмотреть сообщение
                    Дело в том, что на сегоднешний день (пока вопрос не решен) Банк не присоеденился к Стандарту Банка России.
                    Наш случай. Мы тоже не.
                    Значит, все эти модели и так далее разрабатывались самостоятельно. Лицензии ФСБ получены? Лицензиат ФСТЭК сервера аттестовал? Им предъявлялись соответствующие документы - их и смотрите.
                    С уважением, Антон

                    Комментарий


                    • Бойко Сергей, для оценки рисков не обязательно присоединяться к Стандарту. Если у вас провекрка выполнения - тогда "да", нужен нормативный акт, выполнение которого проверяется. Это провекрка на "комплаенс". А для оценки рисков достаточно в справке-отчете указать, что аудитор руководствуется "бест-практис", и составить анкеты и оценочные листы на основе Стандарта
                      DenM, CIA

                      Модератор форумов

                      Комментарий


                      • Стандарт показывает "как надо" с точки зрения ЦБ. Считаю, что если есть время и возможности нужно пойти от печки: определить основные риски и посмотреть как они закрыты. Кроме того, есть требования по лицензированию разных областей защиты информаци, как уже коллеги справедливо заметили ФСБ, ФСТЭК и других не менее замечательных и уважаемых органов. Здесь где-то на форуме болтался примерный план проверки. Там зерно истины было какое-то. Гляньте.
                        "I worry incessantly, that I might be too clear" A.Greenspan

                        Комментарий


                        • А! РСКН ишшо. (или как там он сейчас называется)
                          С уважением, Антон

                          Комментарий


                          • Так и есть. пока мы все также являемся субъектами проверки указанных органов.
                            Есть мнение, что не направив в ТУ (ГУ) ЦБ Подтверждения соответствия Стандарту БР в указанный срок, мы автоматом попадаем (вернее исключаемся из списка проверяемых ЦБ). что думаете по этому поводу.
                            т.е. составить вопросник на основе Стандарта и рекомендаций как бест практик? думаю сгодится, не заставляю но так делают другие.
                            кста.
                            У наших безопасников оговорка, что рассмотреть альтернативу присоединения или нет мы представили, но следует проводить оценку соответствия сторонней организацией. Средств бюджета к сожалению сыскать не удалось, поэтому безопасники и открестились "все что от нас зависило мы сделали". Контора эта просит 3-4млн.
                            Но вспоминая п.11.6 СТО БР ИББС наделен правом и возможностью провести самооценку соответствия. Что мне по всей вероятности и предстоит в ближайшее время.
                            Теперь, будьте добры, поясните плиз, что я не догоняю, почему я сделаю это за свой оклад, а некто откусит немалый кусочек пирога?
                            в Чем разница, преимущества и недостатки, что мне нужно учесть в ходе оценки, что мне не удасться?
                            У кого есть опыт
                            Еще одна ремарочка. в эту сумму входит обязанность разработки для нас нормативуи (ЧМУ и бла бла бла....)
                            Спасибо.

                            Комментарий


                            • Изначально идея ЦБ была во вводе стандарта, согласованного со всеми заинтересованными ведомствами, чтобы обеспечить для банков только одну надзорную контору - собственно сам ЦБ. Но, видимо, органы не хотят отдавать кусок пирога, поэтому не дали ЦБ протолкнуть эту идею. Ну а он видимо бился не на том уровне, где надо эти вопросы решать. В итоге родился этот стандарт, который в случае присоединения к нему лишь "добавляет" ещё одного проверяющего в виде ЦБ, который будет проверять соответствие стандарту.
                              Думаю, большинство отказалось от присоединения.
                              "I worry incessantly, that I might be too clear" A.Greenspan

                              Комментарий


                              • Добрый день.
                                поделитесь пожалуйста опытом:
                                выездная комплексная проверка ДО. направление - соблюдение информац. безопасности дополнительным офисом
                                что смотреть? чему уделять внимание?

                                Комментарий


                                • Сообщение от Бойко Сергей Посмотреть сообщение
                                  Добрый день.
                                  поделитесь пожалуйста опытом:
                                  выездная комплексная проверка ДО. направление - соблюдение информац. безопасности дополнительным офисом
                                  что смотреть? чему уделять внимание?
                                  Попробуйте в первую очередь поднять внутреннюю нормативку...

                                  Комментарий


                                  • Сообщение от Hitch Посмотреть сообщение
                                    Попробуйте в первую очередь поднять внутреннюю нормативку...
                                    .
                                    спасибо за совет, пороем в документах
                                    может у кого есть примерный план, программа, которую используете при выездных проверках доп.офисов или филиалов?

                                    Комментарий


                                    • Добрый день! Когда мы проверяем на предмет соблюдения информ.безопасности, то смотрим - возможность подключения внешних устройств, целостность маркировки сист.блоков, заполнение всех журналов, предусмотренных внутр.документами, работа с конфид.документами и документами, содерж. конфид. информацию, а также хождение в архивный день (если такое есть), наличие распорядительных документов.

                                      Комментарий


                                      • Бойко Сергей, мы региональный банк, нас недавно проверял ЦБ, один из пунктов проверки как раз было проверка информ. безопасности и технологий. Интересен был тот факт, что это настолько относительная сфера, что по сравнению с крупными банками мы уступаем в данной области в силу своих размеров и спектра осуществ. операций, однако если сравнить с аналогичными нашего банка организациями. то они пришли к выводу, что у нас информ.безопасноть, как и технологии находятся на достаточно хорошем уровне. Очень сложно проверить особенно информ. безопасноть в силу отсутствия достаточных знаний в данной области, обычно проверяющие на это не много обращают внимания.

                                        Комментарий


                                        • Извиняюсь за поздний ответ (был в отпуске), но может такой план поможет?

                                          10. Проверка организации автоматизации в филиале.
                                          10.1. Организация работы Отдела автоматизации.
                                          10.2. Эксплуатация компьютерной техники.
                                          10.3. Эксплуатация программного обеспечения.
                                          10.4. Организация локальной вычислительной сети.
                                          10.5. Организация связи с Головным офисом.
                                          10.6. Резервирование серверов и коммуникационного оборудования.
                                          10.7. Резервное и архивное копирование информации.
                                          10.8. Обеспечение непрерывности работы автоматизированной системы.
                                          10.9. Организация работы с банковскими картами.
                                          10.10. Организация работы с системами денежных переводов
                                          10.11. Организация работы с системой удаленного управления счетами клиентов
                                          10.12. Организация работы программно-аппаратным комплексом автоматизированного ввода платежных документов
                                          10.13. Взаимодействие с подразделениями Головного офиса.

                                          11. Обеспечение информационной безопасности в филиале.
                                          11.1. Организационные мероприятия по информационной безопасности.
                                          11.2. Организация защиты серверов филиала.
                                          11.3. Организация защиты рабочих станций филиала.
                                          11.4. Организация защиты информации при ее обработке и хранении в автоматизированной системе.
                                          11.5. Организация парольной защиты.
                                          11.6. Организация антивирусной защиты.
                                          11.7. Обеспечение информационной безопасности при взаимодействии с сетью Интернет.
                                          11.8. Организация защиты выделенных помещений.
                                          11.9. Обеспечение безопасности при работе со сменными носителями информации (кроме ключевых).
                                          11.10. Соблюдение требований безопасности при эксплуатации средств криптографической защиты информации.
                                          11.11. Соблюдение требований безопасности при взаимодействии с Банком России.
                                          11.12. Порядок внутреннего контроля за соблюдением информационной безопасности.
                                          11.13. Вопросы безопасности, связанные с персоналом филиала.

                                          Комментарий


                                          • Всем привет! Давненько не был на форуме. Смотрю, что за прошедшее время ничего сильно не поменялось, а жаль - тема вроде как актуальная. Даже не столько в плане безопасности, сколько в плане ИТ менеджмента, чему в банках уделяется крайне мало внимания. Уважаемый Hitch как никто другой должен меня понять, как сертифицированный специалист. Насчет предложенного плана могу сказать, что мне нравиться. Возможно перечень вопросов для проверки ДО избыточен. Но сложность заключается не в этом, а в тех методиках, которые будут использоваться для проверки, а также в формировании КРИТЕРИЕВ ОЦЕНКИ (начиная с выбора оценки типа модели зрелости процессов). Если есть интерес, то можно было бы подискутировать на эту тему.

                                            Комментарий


                                            • Сообщение от Aleksis Посмотреть сообщение
                                              ...
                                              сложность заключается ... в тех методиках, которые будут использоваться для проверки, а также в формировании КРИТЕРИЕВ ОЦЕНКИ (начиная с выбора оценки типа модели зрелости процессов). Если есть интерес, то можно было бы подискутировать на эту тему.
                                              на мой взгляд, это смотря какую цель ставить:
                                              если задача оценить обстановку, то действительно, целесообразно оценивать процессы по модели зрелости (используя тот же Cobit), а если задача накопать косяков и в первую очередь прикрыть основные риски (что было похоже по вопросу) - нужно копать по исчерпывающему перечню вопросов.

                                              Комментарий


                                              • Сообщение от Hitch Посмотреть сообщение
                                                ...... а если задача накопать косяков и в первую очередь прикрыть основные риски (что было похоже по вопросу) - нужно копать по исчерпывающему перечню вопросов.
                                                Могу с уверенностью сказать, что наличие косяков и оценка рисков очень хорошо интегируется в определение уровня зрелости процессов. Вопрос исключительно в квалификации аудитора. К сожалению большинство аудиторов на сегодняшний день тупо подгоняют результаты проверки под заранее подготовленный шаблон. Оформляется все это с кучей умных фраз и красивых графиков, но по сути своей пустышка. Могу сказать, что я имел дело с очень солидными фирмами - из большой четверки. Хотя когда смотришь на этого аудитора, у которого есть сертификат, но лет 25 от силы, думаешь - что от тебя ждать, когда полностью отсутствует практический и элементарый жизненный опыт?

                                                Комментарий


                                                • Кстати, щас проводим серьезный аудит, пытаясь опираться на методологию COBIT. Может у кого есть образцы опросников для менеджмента и айтишников для оценки уровня зрелости процессов. Если поделитесь, то в качестве ответной любезности могу поделиться результатами проверки (понятное дело слегка почищенными :-)))).

                                                  Комментарий


                                                  • Доброго всем дня. Уважаемые коллеги прошу помощи в следующем вопросе: при проверке инф.безопасности в ФИЛИАЛЕ установила, что оборудование, на котором установлены автоматизированные системы электронного документооборота, обрабатывающие информацию совместно с шифровальными (криптографическими) средствами защиты информации (СКЗИ), находится в отдельной комнате (обозначенной, как серверная, тогда, как серверов нет, они находятся в ЦО в другом городе). Данное помещение имеет окна, не оснащено железными дверьми (т.к. двери поставить нельзя, тонкие стены, могут рухнуть), закрывается на кодовый замок, лица, имеющие право доступа в указанное помещение не назначены, дополнительного контура сигнализации для контроля доступа в помещение нет.
                                                    Какие рекомендации можно дать подразделению в данном случае для? (кроме назначения лиц имеющих право доступа).
                                                    "Дайте мне предрассудок, и я переверну мир"

                                                    Комментарий


                                                    • АЛИЯ, железную дверь поставьте. К стенам требований нет - она может быть в гипсокартоне. Заведите туда видеокамеру. Ну и КД организационными методами.
                                                      С уважением, Антон

                                                      Комментарий


                                                      • Антон Дёмин, Стены действительно гипсокартон просто меня немного смущает, что в типовых требованиях ФСБ и в нашей Политике по СКЗи сказано просто "прочные двери", вот поэтому не уверенна в принципиальности железных дверей...
                                                        "Дайте мне предрассудок, и я переверну мир"

                                                        Комментарий


                                                        • Сообщение от АЛИЯ Посмотреть сообщение
                                                          сказано просто "прочные двери"
                                                          Я не видел дверей прочнее, чем железные.
                                                          С уважением, Антон

                                                          Комментарий


                                                          • Антон Дёмин, не могли бы еще подсказать, как можно выйти из ситуации при минимальных затратах. У нас в филиале на случай сбойных ситуаций (отключения электропитания, к примеру) имеются дополнительные источник питания для оборудования: Серверная, из расчета на 15 минут работы в случае отказа питания; каждый компьютер филиала снабжён резервным локальным ИБП, время автономной работы не более 10 минут.
                                                            Резервный источник питания на случай перебоя питания на более длительное время (генератор, к примеру) в филиале отсутствует. Буквально на днях было отключение питания, и с утра до середины дня филиал и все ДО и ОО сидели без связи. Как в этом случае минимизировать риски, что можно посоветовать филиалу приобрести для более длительной работы на случай отключения питания???
                                                            "Дайте мне предрассудок, и я переверну мир"

                                                            Комментарий


                                                            • Генератор - тоже не на все случаи жизни спасение. У него запас топлива ограничен, как правило, 6-10 часов.
                                                              Рабочий вариант - договор с эксплуатирующей компанией об аренде генератора на случай ЧП.
                                                              DenM, CIA

                                                              Модератор форумов

                                                              Комментарий

                                                              Обработка...
                                                              X