27 октября, вторник 00:33
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Аудит IT-систем и подразделенийV

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #61
    Хэванс_До А Вы не пробовали оценивать личностные качества людей при приеме на работу? Это по поводу "уйдет и все сломает".

    Комментарий


    • #62
      2 Goga_Ch
      Здравствуйте, уважаемый.
      Да, при приёме на работу проводятся тесты, собеседования с участием психолога, что в свою очередь конечно же частично уменьшает риск. Однако, я всё же думаю, что "человеческий фактор" - вещь упрямая и при создании мер контроля нельзя полагаться только на личностные качества.
      Удача любит подготовленный разум...

      Комментарий


      • #63
        Хэванс_До Доброго времени суток.
        Есть несколько вариантов развитя событий:
        Сговор - Несколько человек сговорившись крадут деньги.
        Одиночка пойманый - после фиксирования кражи авторство устанавливается.
        Одиночка непойманый - авторство установить нельзя.

        На самом деле первый вариант - практически никак исключить нельзя.
        Последний - нельзя допустить.

        Второй это то, к чему дОлжно стремится. Непробиваемых защит не бывает, но если цена взлома превышает вознагрождение - никто заморачиваться не будет.

        Админа АБС можно поставить в такие рамки, что он не сможет скрыть следы.

        В данный момент *униксы есть сестема распределения полномочий отвечающих "где-то около B1". Соглоситесь это высокий уровень.
        RSBAC
        Подавая сигналы в рог будь всегда справедлив, но строг. ©

        Комментарий


        • #64
          2 Romsan
          Очень интересно про RSBAC! Читаю, но с большой долей скепсиса!
          Удача любит подготовленный разум...

          Комментарий


          • #65
            Хэванс_До ага... если учесть что Вы читаете рускую версию для чайников - то скепсис вполне оправдан. Это просто заманиха...
            Подавая сигналы в рог будь всегда справедлив, но строг. ©

            Комментарий


            • #66
              Хэванс_До
              Вы ИМХО не рассмотрели еще один аспект Это прямой доступ админа к серверу Вы предполагаете что рядом с ним все это время должен находиться офицер безопасности? А он выдержит несколько часов стояния? Или например ставите вы новую железку Кто и как этим будет заниматься? Понятно, что можно потом проконтроллировать что туда поставлено, но для этого как минимум надо знать полный набор исполняемых модулей всего ПО, которое там используется
              Я не админ, я программист И скажем для меня не представляет труда написать DLL модуль, который дернется, скажем из макроса расчета баланса в RS-Bank, причем, естественно ни разу не под моим логином, а например, под логином главбуха, и сделает с сервером все что угодно Причем именно не с АБС, а с сервером Как Вы предполагаете контроллировать такую ситуацию?
              ИМХО все рассуждения здесь хороши, но:
              1. Они не дают не то что 100% гарантии, но максимум 50%
              2. Они предполагают наличие четко отлаженного механизма работы всех подразделений банка Я такоих в России не знаю, возможно есть Реально при таком подходе Вам прийдется выдерживать постоянный прессинг со стороны каких-нибудь теть-бухгалтеров, которых админ только что послал по факсу на основании того, что для того чтобы им сделать хорошо, ему надо не 15 мин а час-полтора, потому как ему надо поймать офицера безопасности, админа # 2, подписать пару бумажек на физический доступ к серваку и т. д.

              Вы зацикливаетесь на технической стороне вопроса, ИМХО Вообще еще бы неплохо контроллировать зампредов банка и председателя тоже Они наемные рабочие, и уж точно могут сделать все Или почему Вы не задаетесь вопросом, что злой админ вступит в преступный сговор с Вами?

              Romsan правильно сказал, Непробиваемых защит не бывает, но если цена взлома превышает вознагрождение - никто заморачиваться не будет.
              Кормить надо - они и не улетят
              Goga_Ch тоже прав Подбирать надо персонал изначально

              Комментарий


              • #67
                vsv Да... Р-стайл к стати давно обещал сделать подобие офицера безопасности(вопрос ставился в разной степини сложности и функциональности) но решение так и не родилось. Это к стати одна из причин почему Сбер уходит с него.

                Насчет могу сделать что хочу - ну не совсем так. При определенном уровне организации - ты будешь пойман.

                Установка любого ПО и прочей приблуды... должно быть красиво и продуманно описано. В зависимости от категории информации и связей с внешними данными и прочая...
                Никто ведь не будет файловый сервер свободного обмена держать на машине с АБС?
                Всякое ПО должно пройти несколько стадий: Выбор, тестирование, занесение в банк ПО(с описью, просчетом и описанием), ввод в опытную эксплуатацию, аттестацию, ввод в промышленную эксплуатацию.
                Соответственно целостность ПО должна быть защищена, контроль изменений, расчет хешей запускаемых модулей... вобщем забор можно построить.
                Подавая сигналы в рог будь всегда справедлив, но строг. ©

                Комментарий


                • #68
                  2 vsv
                  Я же рассматривал вариант прямого доступа к серверу. Про офицера безопасности я тоже ничего особенного не говорил! Просмотрите все посты сначала. Я ведь изначально ставил вопрос о том, что теоретически проконтролировать админа невозможно. Практически - можно уменьшить риск, но никак не полностью его исключить.
                  Кстати, Romsan прав, при правильной организации поймать Вашу закладку в проге гораздо проще, чем проконтролировать действия админа. Думаю, что Вас вычислят в течение банковского дня. Те же бухгалтера и админ, просматривая логи. Программист имеет гораздо меньше возможностей для мошенничества, при грамотной работе админа. Даже больше скажу, я думаю, что этот риск можно полностью исключить.
                  На счёт "Непробиваемых защит не бывает, но если цена взлома превышает вознагрождение - никто заморачиваться не будет." Я думаю, что сие высказывание подходит для злоумышленников, которые пытаются сделать что-то снаружи. У Админа особых затрат на взлом не будет, вернее и взлома-то никакого не будет. Единственное, что сейчас сдерживает большинство админов это или порядочность или боязнь наказания (если найдут и докажут).
                  Удача любит подготовленный разум...

                  Комментарий


                  • #69
                    Единственный выход - зомбирование сотрудников и особенно IT 8-)

                    Комментарий


                    • #70
                      Romsan
                      Насчет могу сделать что хочу - ну не совсем так.
                      А я же его и администрю Так что пока вряд ли поймают Надо воспользоваться моментом и сделать гадость

                      Соответственно целостность ПО должна быть защищена, контроль изменений, расчет хешей запускаемых модулей... вобщем забор можно построить.
                      Это все да Когда я работал в Сбере пытались сделать нечто подобное, на каждый чих по хэшу и все-такое Но оказалось уж больно геморройно, если на любое изменение макроса рисовать весь комплект документов Проще найти честных админов и иже с ними

                      Хэванс_До
                      при правильной организации
                      Ну это смотря что она делать будет и как будет выглядеть Ясно что поймать можно все, но из всех банков с которыми я так или иначе сталкивался, включая Сбер, банковский день - это маловато будет
                      Я вообще не спорю, и всегда был за то, чтобы в организации присутствовало отдельное независимое подразделение информационной безопасности Но реалии, с которыми приходилось сталкиваться как правило таковы, что 8 из 10 сотрудников оных в случае чего прийдут ко мне и попросят "А как мы можем посмотреть то-то и то-то" (согласитесь бред ), 9-тый вообще тупой и умеет только бумажки писать, которые через неделю бухгалтерского воя руководство отменяет, а 10-ого я оставил для Вас Я таких (10-тых) не встречал

                      Введение всех мер, коорые Вы предлагаете, предполагает на должности Информационного безопасника (ов) людей, досконально знающих именно техническую часть предмета Начиная от сетевого администрирования и заканчивая АБС ИМХО Ну есть они - хорошо Но чаще - нет

                      Поэтому думаю что основной упор должен быть сделан именно на подбор кадров во-первых, и на разделение труда (дабы исключить ситуацию, что я пишу и одновременно админю АБС-ку) во-вторых А это уже вопрос денег

                      ЗЫЖ Вы проигнорировали мою реплику на предмет, а как контроллировать контроллера?

                      Комментарий


                      • #71
                        2 vsv
                        Ну, что-то не со всем я согласен. Так Вы и программер и админ в одном лице? Тогда возникает ещё один риск - концентрации полномочий. Это неприемлемо.
                        Я не проигнорировал реплику на счёт контролёра, я просто про это уже писал! Вы мне рассказываете, то, о чём я уже говорил в данном обсуждении!!!
                        >>"А я же его и администрю Так что пока вряд ли поймают Надо воспользоваться моментом и сделать гадость".....
                        ВО-ВО!!! Это только доказывает правильность моей теории!!
                        [/I]
                        Удача любит подготовленный разум...

                        Комментарий


                        • #72
                          Хэванс_До
                          не проигнорировал реплику на счёт контролёра, я просто про это уже писал!
                          То что вы писали, я понял Условно говоря, у контоллера нет возможностей делать что-либо, кроме как видеть и стучать С технической частью все понятно
                          Но возникает другой вопрос, вот они сели с админом пива попили, а давай- давай И мы опять возвращаемся к вопросу о подборе кадров И никуда от этого не дется А при правильном подборе кадров, так ли уж необходимо выдумывать навороченную систему безопасности? Это не убеждение, это мысли вслух

                          Тогда возникает ещё один риск - концентрации полномочий. Это неприемлемо.
                          Я согласен, что неприемлемо Просто мы упираемся опять-таки в вопрос финансовой и кадровой политики банка Не технический

                          ВО-ВО!!! Это только доказывает правильность моей теории!!
                          Ну это же шутка была

                          Я просто к тому говорю, что в вопросах безопасности есть несколько аспектов, которые могут рассматриваться ИМХО только в комплексе Это технический аспект, психологический аспект, профпригодность кадров (всех задействованных, начиная от админов и заканчивая аудиторами) и финансовый аспект, плавно вытекающий из всех остальных
                          Задача - правильно подобрать сочетание всего этого, в том плане, что усилив одно можно ослабить другое, без риска для себя
                          У меня же сложилось впечатление, что вы тут слишком замкнулись на технической стороне вопроса, не задумываясь, а насколько это целесообразно и к чему это приведет Тут слишком много нюансов, чтобы говорить, что надо сделать то-то, то-то и то-то и наш банк на 60-70% гарантирован от посягательств со стороны злобного админа

                          Комментарий


                          • #73
                            2 Хэванс_До Вы, наверное, сисадмин Я ИТ-Директор. В числе моих задач было и написание концепции безопансости информационной системы (совместно со службой информационной безопасности).
                            Просто возникла необходимость написания научной статьи Я был прав по поводу "неконретной задачи". Вам надо было сразу сказать, что интресуют теортеические аспекты угрозы безопасности, исходящей от админов.
                            Во-первых я добился своего - тема ожила.
                            Во-вторых согласен с Romsan
                            На любой АБС можно сделать доступ и права регулируемые и отвечающие требованиям . Иногда трудоемкость этой задачи на порядки превышает эффективность.

                            Комментарий


                            • #74
                              Здравствуйте!
                              2 A.Bur
                              Значит начальник УИС. Теперь мне более понятно. Освещение такой проблемы перед руководством не будет Вам на руку... лишние заботы.
                              Не согласен с "неконкретной задачей". Теоретическая задача тоже может быть вполне конкретной.
                              Тема действительно ожила. Только я что-то не совсем понял, в первом посте Вы сказали, что тема исчерпана и не хотите вступать в обсуждение, теперь радуетесь, что обсуждение продолжено...
                              Извините за дотошность... профессиональное...
                              Romsan написал про ограничение доступа для программеров и юзеров, а с админами проблема так и осталась.
                              На счёт последней фразы - согласен! Согласно стандарта ISО 177999 затраты на меры контроля не должны превышать возможный убыток, всё должно быть сбалансировано. Просто мне, например, трудно оценить последствия, которые могут возникнуть в случае, если злоумышленником окажется админ.
                              Удача любит подготовленный разум...

                              Комментарий


                              • #75
                                Хэванс_До
                                У Вас несовсем корректное(на мой взгляд) понятие слова админ.
                                Если Админ - "Царь и Бог" - то от него по определению нет защиты. Если Админ конкретного ПО не обладает правами Админа от ОС - все решаемо.
                                Если ПО имеет еще и нормальную систему распределения прав и пономочий - то вообще проблем нет! Пишите(рисуйте) схему распределения, систему контроля и защитные меры... Ищите точки конфликта прав, отымайте их у обоих админов и отдавайте Офицеру безопасности.

                                Если ж Вас интересует практическое решение в конкретное время в конкретном месте на конкретном ПО, ОС и в конкретном банке - я сразу могу сказать - там не ИДИАЛ.
                                Подавая сигналы в рог будь всегда справедлив, но строг. ©

                                Комментарий


                                • #76
                                  Хэванс_До трудно оценить последствия Вот и я об этом. ЧТО ЗАЩИЩАЕМ ? Какие риски, угрозы, убытки. Отсуда будет следовать надоли и как ограничивать админа.
                                  Опыт. У админ есть сперюзер, имеющий все права в Novell и WinNT - сетях. Действия этого юзера протоколируются и контролируются офицером безопасности. Аналогично организовано в АБС. Админ сети не имеет прав в АБС и наоборот. Это два разных человека. Права программеров ограниченны их задачами. За всем следит офицер безопаснсоти.

                                  Комментарий


                                  • #77
                                    Здравствуйте!
                                    2 Romsan
                                    Мне всё же кажется что вполне корректное, я всё больше склоняюсь к тому, что Админ - "царь и Бог", если он конечно грамотный админ. Я ещё раз повторюсь, что схема администрирования всегда иерархическая. Если это не так, то система становится неуправляемой. Согласен, что в случае разделения администрирования ОС и АБС риск снижается, но только для действий администратора АБС. Схему, конечно можно нарисовать, но всё равно она сведётся к ключевому админу. Всё что находится до него меня мало интересует, потому, как распределение остальных полномочий - ясно, как день. Поэтому нигде и нет ИДЕАЛА! Если бы всё было так просто, то кто-нибудь нарисовал бы такую схему. Или может мы попробуем?!?! А то, такое ощущение, что все прекрасно знают как решить эту проблему, но просто скрывают. Если так, то просто скажите и мы прекратим обсуждение.

                                    2 A.Bur
                                    Да что Вы, честное слово, ну?!?! Ну, если это система распределения веников для уборщиц, то действительно ничего делать не надо! Вы правы. Что я ещё могу сказать?!?!? Или ворпос в том, как оценить риски? Могу порекомендовать метод CRAMM. Очень хороший метод.
                                    Протоколируются, фиксируются.... Я не пойму, Вы все посты читали?
                                    Удача любит подготовленный разум...

                                    Комментарий


                                    • #78
                                      Хэванс_До Здраствуйте-здраствуйте.
                                      У Вас администратор ОС - имеет логин в СУБД? Если да то зачем, если нет - то почему разделение ограничивает тока администратора АБС?

                                      Или база открыта на столько - что там только ленивый не лазит?

                                      Согласитесь что любая серьезная СУБД - это всегда серьезные правила распределения полномочий.

                                      А то, такое ощущение, что все прекрасно знают как решить эту проблему - не все и не прекрасно. Но раскрывать логику защиты банка, если такая есть - както уж опрометчиво.
                                      Подавая сигналы в рог будь всегда справедлив, но строг. ©

                                      Комментарий


                                      • #79
                                        Здравствуйте!
                                        2 Romsan
                                        Наш Администратор ОС не имеет логина в оракл. Рабочие инстансы есессно закрыты.
                                        Однако, я думаю, что если админ ОС сильно захочет, то он логин заимеет. Тем более, что тут упоминалось об использовании opensource в качестве операционок.
                                        Хотя, вот, если честно, то создавая этот thread, я просто хотел показать банкирам, какую существенную угрозу представляют админы. Тем более в тех банках, где не уделяют особое внимание инф. безопасности и где инф. системы находятся полностью в руках АйТишников. Я думаю, что таких банков - 90%!
                                        P.S. День назад разговаривал с другом, который работает в Тайланде и Малайзии аудитором и консультантом по Ай-Ти. Их группа доводит системы до C2. Так вот, когда я рассказал ему о своих думках, он похлопал меня по плечу и сказал что-то типа :" Да, брат, ты действительно прозрел.... Вот и думай теперь как с этим бороться... Мы по-большому счёту с админами ничего поделать не можем".
                                        Вот так вот...
                                        Удача любит подготовленный разум...

                                        Комментарий


                                        • #80
                                          Хэванс_До C2 - Притча во языцах. НТ4 отвечает требованиям С2 только при отключении сетевых устройств.
                                          и где инф. системы находятся полностью в руках АйТишников, а деньги в руках ГБ.
                                          Но это всё лирика.
                                          Непробиваемых защит не бывает, повторился. Есть задача - обезопаситься от действий админа - скажите цену.
                                          В зависимости от цены можно выстроить схему в которой каждый цент будет безопасить штуку зеленых призидентов(условно). При определенном соотношении цены/админа - он не пойдет на преступление.
                                          Подавая сигналы в рог будь всегда справедлив, но строг. ©

                                          Комментарий


                                          • #81
                                            ногу на цепь, и к сейфу! и родственников на мушку...
                                            а вообще, слабое место в безопасности, как правило, персонал...
                                            и это касается не только админов...
                                            кто, например, контролирует девочку, которая может сформировать платёжик немного не в тот банк тысяч эдак на 100-200? если в банке платежей 3-5-10 тысяч в день?

                                            Комментарий


                                            • #82
                                              2 Romsan
                                              Ой, да я про НТ и речь не веду! Неужели где-то пользуют?
                                              Хорошо, лирика, так лирика.
                                              Ну, не будет, так не будет!
                                              Будем думать дальше. Хотя, хотелось бы хоть на одну реальную схемку защиты посмотреть, где всё сбалансировано согласно оценке рисков.
                                              Удача любит подготовленный разум...

                                              Комментарий


                                              • #83
                                                Хэванс_До т.е. вы предлогаете чтоб один и шахматистов записал все будующие ходы своей партии, выложил в интернет... а потом пригласил кого нибудь сыграть? Приговаривая - я самый сильный, я побидю любого ни на йоту не откланяясь от уже записанной последовательности...
                                                Подавая сигналы в рог будь всегда справедлив, но строг. ©

                                                Комментарий


                                                • #84
                                                  2Romsan
                                                  Да нет, я этого не предлагаю. Или Вы хотите сказать, что у Вас есть такая схема, но админ про неё не знает? Я же не говорю про ваш конфиг фаервола, я говорю о контроле админа. Это же совершенно разные вещи.
                                                  Или у Вас есть какое-то техническое чудо? Тогда, как говорится, ОЙ!
                                                  Удача любит подготовленный разум...

                                                  Комментарий


                                                  • #85
                                                    Хэванс_До Если проводить дальше аналогию с шахматами, то Ваш выпад перефразируется в "У вас есть ходы пешкой которые не известны противникам?".

                                                    Мы ведь говорим о СИСТЕМЕ.
                                                    Мой админ знает как выстроенна система в моём банке. Он согласен в ней работать. Я не могу сказать что он пытался украсть и не смог, но я могу сказать что некоторые ошибки в работе удается локировать.
                                                    Если он попытается украсть - только тогда я буду знать на сколько она хороша, на сколько хорош админ... но боюсь Вы этого не узнаете.
                                                    Подавая сигналы в рог будь всегда справедлив, но строг. ©

                                                    Комментарий


                                                    • #86
                                                      Здравствуйте!
                                                      2 Romsan
                                                      Фраза про пешку мне понравилась!
                                                      Но я в общем-то тоже говорил о системе, мы просто как-то зациклились на технических мерах.
                                                      На счёт последного - согласен! По другому и быть не может!
                                                      Т.е. Вы всё свели к тому, о чём я и говорил.
                                                      Удача любит подготовленный разум...

                                                      Комментарий


                                                      • #87
                                                        Ну вы и выбрали тему ... дело в том, что контролировать полностью админа от а до я очень сложно, если админ не дурак он найдет по крайнемере 10 способов наи....ть вашу систему аудита...
                                                        давайте разберем все на основе *nix систем
                                                        ----------------------------------------------------------------------------------------------------------
                                                        Допустим что есть админ который работает с Ораклем
                                                        насколько мне известно Оракле должен поддреживать логирование транзакций
                                                        так вот такие логи нуна хранить тама куда не может добрать админ
                                                        так же разделение прав по логину .... к базе
                                                        т.е. идейно всегда можно посмотреть что делал админ БД
                                                        ----------------------------------------------------------------------------------------------------------
                                                        на счет админа который занимается именно админством самой системы ... уже сапсем сложней
                                                        можно провести логирование всей системы...логировать вся и все но незабывайте что админ в системе БОГ и может переписать ваши логи в два счета

                                                        Наиболее прикольный вариант ставите над админом видеокамеры и пишите каждый день работы админа пишиет на видео с супер качеством
                                                        но тоже не факт что админ не ободйт

                                                        вообщем УТОПИЯ все это

                                                        Платите Админу хорошо и относитесь к нему хорошо
                                                        здесь все дело в психологии ...
                                                        если к человеку относится поибат.... так он и отнесется к вам
                                                        Удачи

                                                        Комментарий


                                                        • #88
                                                          Прочитал весь этот топик ипонял.. банковское дело - это не для меня....

                                                          Комментарий


                                                          • #89
                                                            полезные документы для грядущей проверки
                                                            источник http://rsl.whatis.ru/docs.shtml

                                                            07.07.04 Выложен комплект документов, который может понадобиться в подразделении ИТ при проведении комплексной проверки банка.
                                                            Что входит в комплект:

                                                            - Аварийный план работ банка по реализации альтернативных решений при невозможности решения плановых задач.
                                                            - Акт проверки безопасности информационной инфраструктуры банка.
                                                            - Аналитический отчет о проведенной проверке безопасности информационной банковской системы (ИБС).
                                                            - ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ Начальника Отдела прикладного программного обеспечения.
                                                            - ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ Начальника отдела платежных систем и интернет-технологий.
                                                            - ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ Начальника Отдела сопровождения системной инфраструктуры Банка.
                                                            - ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ Начальника отдела технического обеспечения.
                                                            - ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ Начальника Управления информационных технологий.
                                                            - ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ Специалиста Отдела прикладного программного обеспечения.
                                                            - ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ Специалиста Отдела платежных систем и интернет-технологий.
                                                            - ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ Специалиста отдела сопровождения системной инфраструктуры Банка.
                                                            - ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ Специалиста Отдела технического обеспечения.
                                                            - ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ Старшего специалиста Отдела прикладного программного обеспечения.
                                                            - ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ Старшего специалиста Отдела платежных систем и интернет-технологий.
                                                            - ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ Старшего специалиста отдела сопровождения системной инфраструктуры Банка.
                                                            - ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ Старшего специалиста Отдела технического обеспечения.
                                                            - Инструкция по защите информации от компьютерных вирусов.
                                                            - Инструкция пользователя персонального компьютера.
                                                            - Инструкция пользователей сети Интернет.
                                                            - Концепция создания и функционирования системы антивирусной защиты.
                                                            - Концепция обеспечения информационной безопасности банка.
                                                            - Концепция безопасности коммерческого банка.
                                                            - Методические указания по составлению документов, регламентирующих создание Аварийного Плана реализации альтернативных решений.
                                                            - Методические указания по составлению документов, регламентирующих создания системы антивирусной защиты.
                                                            - Методические указания по контролю за рисками, связанными с Интернет-Банкингом.
                                                            - Методика проведения полного анализа и управления рисками, связанными с нарушениями информационной безопасности.
                                                            - Политика информационной безопасности банка.
                                                            - Положение по созданию информационного архива и работе с архивной информацией.
                                                            - Положение о порядке обеспечения защиты и безопасности банковской информации.
                                                            - Положение об отделе прикладного программного обеспечения.
                                                            - Положение об отделе платежных систем и интернет-технологий.
                                                            - Положение об отделе сопровождения системной инфраструктуры банка.
                                                            - Положение об отделе технического обеспечения.
                                                            - Положение о порядке управления информационными потоками и обеспечении информационной безопасности банка.
                                                            - Положение об управлении информационных технологий.
                                                            - ТЕХНИЧЕСКОЕ ЗАДАНИЕ на разработку комплексной системы обеспечения безопасности в информационной системе банка.

                                                            Комплект документов требует определенной доработки, примерно на 90% обеспечивая потребность в наличии нормативных документов.
                                                            DenM, CIA

                                                            Модератор форумов

                                                            Комментарий


                                                            • #90
                                                              Привет всем.
                                                              1.Я - начал проверку отдела информатизации и сразу же столкнуллся с проблемой - отсутствие четко расписанных должностных инструкций программистов. Может быть кто-нибудь выложит должн. инструкции на старшего программиста и программиста (у нас их два человека в филиале, программы пишет головной, они занимаются обслуживанием программ и техники, и иногда что-нибудь пишут для решения специфических задач филиала) Заранее благодарю.
                                                              2.Кто-ибудь из внутреннего контроля уже проверял этот отдел, может есть какие-нибудь мысли каким образом всё это сделать?

                                                              Комментарий

                                                              Обработка...
                                                              X