3 декабря, четверг 13:28
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Аудит IT-систем и подразделенийV

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Zuz
    Участник ответил
    2 Week:
    А к чему такая секретность? ;-)

    Прокомментировать:


  • Week
    Участник ответил
    СледопятВ аське когда будешь?

    Прокомментировать:


  • Week
    Участник ответил
    СледопятСозвонимся по аське.

    Прокомментировать:


  • Следопят
    Участник ответил
    week
    Катюш, так все - таки интересно было бы узнать. Кто же вас проверял ? )))

    Прокомментировать:


  • Week
    Участник ответил
    Zuz Я думаю, что глобальный документ надо разрабатывать. Здесь отдельными Положениями не обойтись.

    Прокомментировать:


  • Zuz
    Участник ответил
    2 Week:
    Но ведь пройти такую проверку с формальной точки зрения нереально. ;-) Радует, что не определены санкции за выполнение требований стандарта.

    Что касается стандарта, я тут в своих записях нашёл, что в ЗАО «Метробанк» внедрен СТО БР ИББС-1.0-2004, а также апробирована «Методика оценки соответствия информационной безопасности организаций банковской системы РФ», прилагаемая к стандарту СТО БР ИББС-4.0 «Обеспечение информационной безопасности организаций банковской системы РФ. Аудит информационной безопасности» (источник журнал «Информационная безопасность», № 5, октябрь-ноябрь 2005 г.).

    Может, у кого есть возможность поинтересоваться?
    На сайте соответствующего технического комитета http://www.techcom3623.ru появилась новость об образовании «Сообщества пользователей стандартов Банка России по обеспечению информационной безопасности организаций банковской системы Российской федерации»
    Видимо нам всем туда: http://www.abiss.ru/

    Прокомментировать:


  • Week
    Участник ответил
    Zuz Я сама была очень удивлена такому подходу.Единственное, Проверка была Филиала и проверяло его не МГТУ. Был отдельный вопрос в проверке: Проверка обеспечения филиалом безопасности информационных технологий. Освещу основные пункты:
    1. Кто осуществляет информационное обеспечение и поддержание работоспособности автоматизированных систем;
    2. Чем определяется планирование внедрения и развития применяемых информационных технологий;
    3. Кто осуществляет сопровождение автоматизированных банковскимх систем;
    4. На основании чего сотрудники выполняют операции в АБС;
    Кто проводит обслуживание компьютеоного и телекоммуникационного оборудования;
    5. Кто производит устранение сбоев и неисправностей аппаратных средств;
    6. На основании чего осуществляется управление информационной безопасности.
    И вот здесь, начинается...
    а именно, Положение должно учитывать рекомендации Стандарта. Положение должно быть разработана на основе построения моделей внутренних и внешних угроз и моделей нарушителей, должна быть идентификация подлежащих защите информационных активов, оценка рисков в области ИБ пп.5.7 и 7.17 Стандарта. Должно присутствовать формализованное описание процедур мониторинга и аудита системы обеспечения ИБ п.5.9 Стандарта.
    7. На кого возложено обеспечение ИБ и ответственность за ИБ рабочих мест;
    8. Каким документом определяется Политика в области контроля доступа;
    9. Меры по организации защиты от вредоносного программного обеспечения;
    10. Обеспечение ИБ дистанциннного обслуживания и передачи информации;
    11.Обеспечение ИБ плптежного технологического процесса;
    12. Кто обеспечивает работу АБС;
    Начинаем: Рассматривают эксплуатационные документы к АБС, а именно права пользователя, в части администратора ИБ системы, в соответствии с п. 8.2.8.5 Стандарта.(т.е. несоответсвие самого руководства пользователя Стандарту).
    13. Кто определяет перечень пользователей АБС, их права доступа, пароли для входа в АБС, конфигурацию меню пользователей(должно быть соответствие руководства пользователя п.8.2.9.6. Стандарта);
    14. Обеспечение физической безопасности средст вычислительной техники и защита от сбоев электропитания ;
    15. "План действий на случай непредвиденных обстоятельств"
    рассматриваются вопросы:
    -перечень непредвиденных ситуаций;
    - действия в случае возникновения непредвиденных обстоятельств;
    - периодичность резервного копирования и меры по обеспечению резервных копий. Здесь вот и рассматривают технические характеристики дублирующего сервера. Садится мальчик и смотрит.
    16. Определение порядка проверки Планов действий, в части их выполнимости, в случаях возникновения непредвиденных обстоятельств.
    17. Практические испытания планов.(Например, Хронометраж восстановительных действий и фтксирование этих данных в Протоколе проверки.
    Правда!- ...можно застрелиться.

    Прокомментировать:


  • Zuz
    Участник ответил
    2 Week:
    Но самое главное, что ЦБ при проведении проверки, уже ссылается на этот стандарт.
    А можно подробнее, на основании чего? Есть ли у них методические рекомендации при проверке типа № 47-Т (они должны быть обязательно иначе это не проверка)?

    И если нет описания моделей угроз и т.д. и т.п., в соответствии с этим стандартом, отмечают в актах замечания.
    А основание? Может, это было не замечание, а рекомендация (которая читай замечание)?
    И вообще без методики такие проверки не возможны... Потому что взять, к примеру, ту же модель угроз, как они проверяют её на актуальность и соответствие действительности?
    Просто ставят галочку, если у вас есть утверждённый документ с таким заголовком? Ну и толку от этого?!

    Во!!! Как!!! А еще приходят мальчики, которые проверяют технические характеристики серверов.
    Чего?! А каким образом и где им предоставлено право на фактически активный аудит?
    Так ведь не бывает: пришли какие-то мальчики, и давай лазить по серверам, которые вообще-то работают. ;-)
    Если их интересуют технические характеристики, то они должны их запросить или получить путём проведения интервью и проверки подтверждающих документов (типа накладных, актов ввода в эксплуатацию и т.п.).
    И не дай БОГ, что он окажется по своим характеристикам другим.
    Какими другими? Где ознакомится с требованиями?

    Мы с этим столкнулись. Приходят, садяться за , и смотрят(имеется ввиду хранение, дублирование информации).
    Может, это всё же было связано с проверкой системы внутреннего контроля 242-П + № 47-Т (там как раз про резервирование и резервное копирование есть пару моментов)?
    Если, действительно делают так как вы описали "Приходят, садяться за , и смотрят", то это странно, т.к. не припомню, что бы ранее так делали ;-(

    P.S. Пожалуйста, постарайтесь дать побольше информации, это многим пригодится ;-)

    Прокомментировать:


  • Lessi
    Участник ответил
    Следопят
    Какая прелесть! Я давно так не смеялась!!!Вот спасибо, настроение подняла.

    Прокомментировать:


  • Week
    Участник ответил
    Следопят Проверяют.Слово "рекомендация" это не рекомендация. как всегда: Читайте между строк. Мы с этим столкнулись. Приходят, садяться за , и смотрят(имеется ввиду хранение, дублирование информации).

    Прокомментировать:


  • Следопят
    Участник ответил
    Week
    Так ведь вроде стандарт РЕКОМЕНДОВАН и ты-ры -пы -ры его положения применяются на ДОБРОВОЛЬНОЙ основе ???

    А еще приходят мальчики, которые проверяют технические характеристики серверов. И не дай БОГ, что он окажется по своим характеристикам другим

    Чего ..прям так сразу ?

    Прокомментировать:


  • Week
    Участник ответил
    Следопят Но самое главное, что ЦБ при проведении проверки, уже ссылается на этот стандарт. И если нет описания моделей угроз и т.д. и т.п., в соответствии с этим стандартом, отмечают в актах замечания. Во!!! Как!!! А еще приходят мальчики, которые проверяют технические характеристики серверов. И не дай БОГ, что он окажется по своим характеристикам другим.

    Прокомментировать:


  • Week
    Участник ответил
    СледопятДа-уж. Я когда этот бред читала, долго думала, кто-ж такое мог написать. Можно сказать, что ЦБ в моих глазах "вырос". Там не только растет профессиональный уровень, но и уровень написания Стандартов, Положений и Инструкций. Представляешь, Надюшка, если теперь все такие инструкции будут?

    Прокомментировать:


  • Следопят
    Участник ответил
    Хотя, для понимания смысла лучше читать сначала Р-609...
    А этот , новый , так вообще бред какой-то....
    один п. 5.1. чего стоит :
    "5. Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций БС РФ
    5.1. Любая целенаправленная деятельность (бизнес) порождает риски, сущность которых — естественная неопределенность будущего. Это — объективная реальность, и понизить эти риски можно лишь до уровня неопределенности сущностей, характеризующих природу бизнеса. Оставшаяся часть риска, определяемого факторами среды деятельности организации БС РФ, на которые организация не в силах влиять, должна быть неизбежно принята...."

    Такое впечатление, что читаешь древний трактат, о бренности бытия...
    Чего? проще и строже что ли нельзя писАть ?
    Прям как мемуары какие-то...

    Прокомментировать:


  • Следопят
    Участник ответил
    На всякий случай, если вдруг кому надо.
    Вместо Р-609 уже новый стандарт, оказывается.
    СТО БР ИББС-1.0-2006

    Прокомментировать:


  • Dimson
    Участник ответил
    Сообщение от Олли
    Подскажите, что именно проверитьв информационной системе Банка, на обратить внимание?
    Вот здесь 22-е сообщение смотрите http://dom.bankir.ru/showthread.php?t=53930&page=2

    Прокомментировать:


  • Олли
    Участник ответил
    Подскажите, что именно проверитьв информационной системе Банка, на обратить внимание?

    Прокомментировать:


  • verter2k
    Участник ответил
    Сообщение от Сергейй
    Для аудита безопасности можно и нудно применять ISO 27001 ISO 17799. На основе последнего и постороен Стандарт ЦБ.
    То, что это нудно согласен. Но то, что это нужно - еще более.

    Прокомментировать:


  • Аватар гостей
    Гость ответил
    Для аудита безопасности можно и нудно применять ISO 27001 ISO 17799. На основе последнего и постороен Стандарт ЦБ.

    Прокомментировать:


  • Sju
    Участник ответил
    adams12 прошу !

    Прокомментировать:

Обработка...
X