27 октября, вторник 01:36
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Аудит IT-систем и подразделенийV

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • лампочка рекомендую взять за аналогию требования SWIFT по работе в их системе. вот они семинар, кстати, организуют http://www.swift.ru/index.php?n=5&f=1#Audit
    А вообще то при подключении системы банку выдается набор толмудов с описанием стандартов.

    стандарты ISACA http://www.isaca.ru/- более общие советы, но кое-что можно выудить тоже, особенно, если член этой ассоциации (не мой случай, сорри)
    DenM, CIA

    Модератор форумов

    Комментарий


    • Спасибо большое, а вот как Вы относитесь к тому, что для максимальной надежности сохранения информации, надо создавать помимо основной серверной, еще дополнительную (резервную) серверную в отдельном помещении для того, чтобы если что-то случится с основной серверной (например пожар и т.п.), можно было бы из резервной серверной все восстановить
      Или это полная чушь?
      Заранее, спасибо

      Комментарий


      • Сообщение от лампочка
        Кто-нибудь подскажет чем должна быть оборудована серверная,
        Попробуйте посмотреть документ СТАНДАРТ БАНКА РОССИИ
        ОБЕСПЕЧЕНИЕ
        ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
        ОБЩИЕ ПОЛОЖЕНИЯ
        Дата введения: 2004-12-01
        With best personal regards.

        Комментарий


        • Сообщение от лампочка
          ...надо создавать помимо основной серверной, еще дополнительную (резервную) серверную в отдельном помещении...
          Или это полная чушь?
          Не чушь.
          На прошлой проверке нам сделали замечание о том, что данные хранятся территориально в одном месте. Мол, они должны быть распределены. А вдруг наводнение? Или пожар в здании...
          Поэтому что-то наподобие резервной серверной должно быть(правда не скажу на основании какого документа, скорее просто здравого смысла для), но опять же, соответствующе возможностям банка.

          Комментарий


          • Приложение 1 "Перечень..." п.19 содержит Стандарт ЦБР Р-609
            Может быть сможете подсказать как в ваших банках планируется проводить внешний аудит по этому стандарту: в рамках общего ежегодного аудита или отдельный аудит по информационной безопасности?
            Подскажите какие основные пункты содержат ваши внутрибанковские положения по информационной безопасности и какие внутренние документы регламентируют вашу деятельность в области информационной безопасности. Может быть кто-нибудь не пожалеет и скинет почитать ваши положения по информационной безопасности?
            Каким образом вы организовываете проверку СВК по информационной безопасности? Как выглядит программа проверки по этому направлению?

            Комментарий


            • OVP по ИБ есть отдельная тема. http://dom.bankir.ru/showthread.php?t=4598
              и разве в 47-т идет речь о ВНЕШНЕМ аудите?
              по 47-т - отдельная тема - http://dom.bankir.ru/showthread.php?t=53305 там и постить нужно
              прошу пользоваться поиском и соблюдать Правила форума.
              DenM, CIA

              Модератор форумов

              Комментарий


              • DenM упс, сорри, уже объединила
                In God we trust.And we screen everithing else.

                Комментарий


                • Речь о внешнем аудите идет в п.11.2 Р-609 (47-Т ссылается на Р-609) "Внешний аудит ИБ организаций БС РФ должен проводится не реже одного раза в год."

                  Комментарий


                  • OVP варианты программ проверки по инф. безопасности выше в этой теме
                    положение по инф. безоп. попробую выложить чуть позже
                    In God we trust.And we screen everithing else.

                    Комментарий


                    • Уважаемые специалисты!
                      Работая в службе внутреннего контроля, получил задание: провести проверку деятельности филиала банка по вопросу организации внутреннего контроля за функционированием и использованием информационных банковских систем в части обрабатываемой и храняйщейся в филиале информации от несакционированного доступа.
                      Эта тема для меня новая, подскажите, с чего начать???
                      Может есть методика??

                      Комментарий


                      • Январь начать нужно с внимательного чтения этой темы и правил форума
                        DenM, CIA

                        Модератор форумов

                        Комментарий


                        • Январь какое-то слово Вы, имхо, пропустили..
                          правильно я понимаю, что речь идет об узконаправленной проверке качества защиты инфы от несанкционированного доступа ?
                          если так, то Вам придется взять за основу то, что выложено, например, тут
                          и составить нечто, нацеленное именно на защиту с учетом внутренних документов (регламентов) Вашего банка, а также отчетов (если таковые предусмотрены), которые предосставляет в СВК ИТ-служба.
                          Также посмотрите помянутый выше Стандарт ЦБР
                          "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения"
                          (от 18·ноября 2004·г. N·Р-609).
                          И... творите !
                          In God we trust.And we screen everithing else.

                          Комментарий


                          • да, кстати.
                            положение по ИБ не выложу посмотрела и поняла, что надо менять...
                            так что, может быть кто-то из коллег, а ?
                            In God we trust.And we screen everithing else.

                            Комментарий


                            • Сообщение от OVP
                              Речь о внешнем аудите идет в п.11.2 Р-609 (47-Т ссылается на Р-609) "Внешний аудит ИБ организаций БС РФ должен проводится не реже одного раза в год."
                              Не могу найти в консультанте Письмо 47-Т. Поделитесь

                              Комментарий


                              • adams12 прошу !
                                In God we trust.And we screen everithing else.

                                Комментарий


                                • Для аудита безопасности можно и нудно применять ISO 27001 ISO 17799. На основе последнего и постороен Стандарт ЦБ.

                                  Комментарий


                                  • Сообщение от Сергейй
                                    Для аудита безопасности можно и нудно применять ISO 27001 ISO 17799. На основе последнего и постороен Стандарт ЦБ.
                                    То, что это нудно согласен. Но то, что это нужно - еще более.

                                    Комментарий


                                    • Подскажите, что именно проверитьв информационной системе Банка, на обратить внимание?

                                      Комментарий


                                      • Сообщение от Олли
                                        Подскажите, что именно проверитьв информационной системе Банка, на обратить внимание?
                                        Вот здесь 22-е сообщение смотрите http://dom.bankir.ru/showthread.php?t=53930&page=2
                                        Лучше ничего не делать, чем делать вредное.

                                        Комментарий


                                        • На всякий случай, если вдруг кому надо.
                                          Вместо Р-609 уже новый стандарт, оказывается.
                                          СТО БР ИББС-1.0-2006
                                          Я понял, это намек, я все ловлю на лету, но.....непонятно, что конкретно Вы имели ввиду?
                                          Положительные эмоции - это те эмоции, которые возникают, если на все положить .

                                          Комментарий


                                          • Хотя, для понимания смысла лучше читать сначала Р-609...
                                            А этот , новый , так вообще бред какой-то....
                                            один п. 5.1. чего стоит :
                                            "5. Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций БС РФ
                                            5.1. Любая целенаправленная деятельность (бизнес) порождает риски, сущность которых — естественная неопределенность будущего. Это — объективная реальность, и понизить эти риски можно лишь до уровня неопределенности сущностей, характеризующих природу бизнеса. Оставшаяся часть риска, определяемого факторами среды деятельности организации БС РФ, на которые организация не в силах влиять, должна быть неизбежно принята...."

                                            Такое впечатление, что читаешь древний трактат, о бренности бытия...
                                            Чего? проще и строже что ли нельзя писАть ?
                                            Прям как мемуары какие-то...
                                            Я понял, это намек, я все ловлю на лету, но.....непонятно, что конкретно Вы имели ввиду?
                                            Положительные эмоции - это те эмоции, которые возникают, если на все положить .

                                            Комментарий


                                            • СледопятДа-уж. Я когда этот бред читала, долго думала, кто-ж такое мог написать. Можно сказать, что ЦБ в моих глазах "вырос". Там не только растет профессиональный уровень, но и уровень написания Стандартов, Положений и Инструкций. Представляешь, Надюшка, если теперь все такие инструкции будут?
                                              С уважением,Week

                                              Комментарий


                                              • Следопят Но самое главное, что ЦБ при проведении проверки, уже ссылается на этот стандарт. И если нет описания моделей угроз и т.д. и т.п., в соответствии с этим стандартом, отмечают в актах замечания. Во!!! Как!!! А еще приходят мальчики, которые проверяют технические характеристики серверов. И не дай БОГ, что он окажется по своим характеристикам другим.
                                                С уважением,Week

                                                Комментарий


                                                • Week
                                                  Так ведь вроде стандарт РЕКОМЕНДОВАН и ты-ры -пы -ры его положения применяются на ДОБРОВОЛЬНОЙ основе ???

                                                  А еще приходят мальчики, которые проверяют технические характеристики серверов. И не дай БОГ, что он окажется по своим характеристикам другим

                                                  Чего ..прям так сразу ?
                                                  Я понял, это намек, я все ловлю на лету, но.....непонятно, что конкретно Вы имели ввиду?
                                                  Положительные эмоции - это те эмоции, которые возникают, если на все положить .

                                                  Комментарий


                                                  • Следопят Проверяют.Слово "рекомендация" это не рекомендация. как всегда: Читайте между строк. Мы с этим столкнулись. Приходят, садяться за , и смотрят(имеется ввиду хранение, дублирование информации).
                                                    С уважением,Week

                                                    Комментарий


                                                    • Следопят
                                                      Какая прелесть! Я давно так не смеялась!!!Вот спасибо, настроение подняла.
                                                      Hе иди по течению, не иди против течения, иди поперек него, если хочешь достичь берега.

                                                      Комментарий


                                                      • 2 Week:
                                                        Но самое главное, что ЦБ при проведении проверки, уже ссылается на этот стандарт.
                                                        А можно подробнее, на основании чего? Есть ли у них методические рекомендации при проверке типа № 47-Т (они должны быть обязательно иначе это не проверка)?

                                                        И если нет описания моделей угроз и т.д. и т.п., в соответствии с этим стандартом, отмечают в актах замечания.
                                                        А основание? Может, это было не замечание, а рекомендация (которая читай замечание)?
                                                        И вообще без методики такие проверки не возможны... Потому что взять, к примеру, ту же модель угроз, как они проверяют её на актуальность и соответствие действительности?
                                                        Просто ставят галочку, если у вас есть утверждённый документ с таким заголовком? Ну и толку от этого?!

                                                        Во!!! Как!!! А еще приходят мальчики, которые проверяют технические характеристики серверов.
                                                        Чего?! А каким образом и где им предоставлено право на фактически активный аудит?
                                                        Так ведь не бывает: пришли какие-то мальчики, и давай лазить по серверам, которые вообще-то работают. ;-)
                                                        Если их интересуют технические характеристики, то они должны их запросить или получить путём проведения интервью и проверки подтверждающих документов (типа накладных, актов ввода в эксплуатацию и т.п.).
                                                        И не дай БОГ, что он окажется по своим характеристикам другим.
                                                        Какими другими? Где ознакомится с требованиями?

                                                        Мы с этим столкнулись. Приходят, садяться за , и смотрят(имеется ввиду хранение, дублирование информации).
                                                        Может, это всё же было связано с проверкой системы внутреннего контроля 242-П + № 47-Т (там как раз про резервирование и резервное копирование есть пару моментов)?
                                                        Если, действительно делают так как вы описали "Приходят, садяться за , и смотрят", то это странно, т.к. не припомню, что бы ранее так делали ;-(

                                                        P.S. Пожалуйста, постарайтесь дать побольше информации, это многим пригодится ;-)

                                                        Комментарий


                                                        • Zuz Я сама была очень удивлена такому подходу.Единственное, Проверка была Филиала и проверяло его не МГТУ. Был отдельный вопрос в проверке: Проверка обеспечения филиалом безопасности информационных технологий. Освещу основные пункты:
                                                          1. Кто осуществляет информационное обеспечение и поддержание работоспособности автоматизированных систем;
                                                          2. Чем определяется планирование внедрения и развития применяемых информационных технологий;
                                                          3. Кто осуществляет сопровождение автоматизированных банковскимх систем;
                                                          4. На основании чего сотрудники выполняют операции в АБС;
                                                          Кто проводит обслуживание компьютеоного и телекоммуникационного оборудования;
                                                          5. Кто производит устранение сбоев и неисправностей аппаратных средств;
                                                          6. На основании чего осуществляется управление информационной безопасности.
                                                          И вот здесь, начинается...
                                                          а именно, Положение должно учитывать рекомендации Стандарта. Положение должно быть разработана на основе построения моделей внутренних и внешних угроз и моделей нарушителей, должна быть идентификация подлежащих защите информационных активов, оценка рисков в области ИБ пп.5.7 и 7.17 Стандарта. Должно присутствовать формализованное описание процедур мониторинга и аудита системы обеспечения ИБ п.5.9 Стандарта.
                                                          7. На кого возложено обеспечение ИБ и ответственность за ИБ рабочих мест;
                                                          8. Каким документом определяется Политика в области контроля доступа;
                                                          9. Меры по организации защиты от вредоносного программного обеспечения;
                                                          10. Обеспечение ИБ дистанциннного обслуживания и передачи информации;
                                                          11.Обеспечение ИБ плптежного технологического процесса;
                                                          12. Кто обеспечивает работу АБС;
                                                          Начинаем: Рассматривают эксплуатационные документы к АБС, а именно права пользователя, в части администратора ИБ системы, в соответствии с п. 8.2.8.5 Стандарта.(т.е. несоответсвие самого руководства пользователя Стандарту).
                                                          13. Кто определяет перечень пользователей АБС, их права доступа, пароли для входа в АБС, конфигурацию меню пользователей(должно быть соответствие руководства пользователя п.8.2.9.6. Стандарта);
                                                          14. Обеспечение физической безопасности средст вычислительной техники и защита от сбоев электропитания ;
                                                          15. "План действий на случай непредвиденных обстоятельств"
                                                          рассматриваются вопросы:
                                                          -перечень непредвиденных ситуаций;
                                                          - действия в случае возникновения непредвиденных обстоятельств;
                                                          - периодичность резервного копирования и меры по обеспечению резервных копий. Здесь вот и рассматривают технические характеристики дублирующего сервера. Садится мальчик и смотрит.
                                                          16. Определение порядка проверки Планов действий, в части их выполнимости, в случаях возникновения непредвиденных обстоятельств.
                                                          17. Практические испытания планов.(Например, Хронометраж восстановительных действий и фтксирование этих данных в Протоколе проверки.
                                                          Правда!- ...можно застрелиться.
                                                          С уважением,Week

                                                          Комментарий


                                                          • 2 Week:
                                                            Но ведь пройти такую проверку с формальной точки зрения нереально. ;-) Радует, что не определены санкции за выполнение требований стандарта.

                                                            Что касается стандарта, я тут в своих записях нашёл, что в ЗАО «Метробанк» внедрен СТО БР ИББС-1.0-2004, а также апробирована «Методика оценки соответствия информационной безопасности организаций банковской системы РФ», прилагаемая к стандарту СТО БР ИББС-4.0 «Обеспечение информационной безопасности организаций банковской системы РФ. Аудит информационной безопасности» (источник журнал «Информационная безопасность», № 5, октябрь-ноябрь 2005 г.).

                                                            Может, у кого есть возможность поинтересоваться?
                                                            На сайте соответствующего технического комитета http://www.techcom3623.ru появилась новость об образовании «Сообщества пользователей стандартов Банка России по обеспечению информационной безопасности организаций банковской системы Российской федерации»
                                                            Видимо нам всем туда: http://www.abiss.ru/

                                                            Комментарий


                                                            • Zuz Я думаю, что глобальный документ надо разрабатывать. Здесь отдельными Положениями не обойтись.
                                                              С уважением,Week

                                                              Комментарий

                                                              Обработка...
                                                              X