20 октября, вторник 17:55
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Аудит IT-систем и подразделенийV

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • week
    Катюш, так все - таки интересно было бы узнать. Кто же вас проверял ? )))
    Я понял, это намек, я все ловлю на лету, но.....непонятно, что конкретно Вы имели ввиду?
    Положительные эмоции - это те эмоции, которые возникают, если на все положить .

    Комментарий


    • СледопятСозвонимся по аське.
      С уважением,Week

      Комментарий


      • СледопятВ аське когда будешь?
        С уважением,Week

        Комментарий


        • 2 Week:
          А к чему такая секретность? ;-)

          Комментарий


          • Zuz Никаких секретов. Я же написала, что не Московское ГТУ. Разве этого не достаточно.
            С уважением,Week

            Комментарий


            • 2 Week:
              Раз нет секретов, то можно для особо одарённых (по пятницам ;-)), пояснить это ЦБ или не ЦБ?

              Комментарий


              • Большая четверка всегда делает аудит ИТ систем во время фин аудита. Правда он очень узкий. Но они ///// могут сделать и полнуй аудит согласно Cobit ISO 27001/17799 и собственных стандартов. Также есть услуга по постановке функции внутреннего ИТ аудита в банке.
                Последний раз редактировалось DenM; 31.03.2006, 17:17. Причина: реклама вычеркнута

                Комментарий


                • Аудит ИТ-подразделений банка....
                  Тема серьёзная и ОЧЕНЬ важная!
                  ИТ-составляющая Банка играет огромную роль - это нельзя не признать.
                  Вместе с тем именно в ИТ очень много операционных рисков любого банка. И заключены они не только в ИТ как таковых, но и людях, работающих в ИТ-подразделениях.
                  Работая в ИТ различных банков (с 1995 г.), в том числе и таких как Русский Стандарт и Финансбанк на позициях менеджера среднего звена, могу с уверенностью говорить что, прохождение любого аудита ИТ-составляющей банка - как правило пустая формальность!
                  Особенно внешнего - а проверяли нас прайсы-ватеры и иже с ними.
                  ИХ ПРОСТО НИ КУДА НЕ ПУСКАЛИ! писались отчеты, акты и т.п. показывались им и все... да и сами они особо ни куда нос не совали.
                  Больше докучал внутренний контроль, да и то только в БРС-е, однако в УВК небыло ни одного человека хоть что-то понимающего в ИТ. Поэтому их докучание ограничивалось зудением-нудением и поисками виноватых стрелочников, да и то только тогда когда что-то случилось.
                  На мой взгляд, в департаменте/управлении/отделе внутреннего контроля обязательно должен быть человек разбирающийся в ИТ вопросах, чтобы у ИТ-шников небыло возможности вешать лапшу на уши руководству банка - а этим наш брат любит и умеет заниматься!

                  Комментарий


                  • То, что никуда не пускали - два варианта: либо пацаны зеленые пришли, которые не знают, как такие проблемы решать (такие вопросы решаются в течение максимум 2 минут с высшим руководством), либо руководство банка не заинтересовано в результатах аудита ИТ или просто не понимает его важность.
                    Адекватные банки, особенно западные, проводят разъяснительные беседы среди сотрудников о том, как нужно себя вести с аудитом и для чего он вообще нужен.

                    На счет простой формальности прохождения ИТ аудита - наверное имеется в виду ограниченный обзор ИТ в рамках финансового аудита?
                    Его нельзя рассматривать как полноценный ИТ аудит. Его цель - определить степень контроллируемости ИТ среды и определеть объем и направление аудиторских процедур. То, что прайсов не пустили смотреть ИТ системы означает следующие вещи:
                    1. они определили контроли на уровне ИТ как не эффективные и закрыли эти проблемы на уровне альтернативных процедур
                    2. руководство не получило объективной оценки ИТ и продолжает нести риски связанные с ИТ.
                    3. Аудиторы выполнили свою работу и забрали деньги за ее выполнение.
                    4. Банк не получил максимум услуг от потраченных денег из=за не адекватных ИТшников.

                    Комментарий


                    • Deloitte
                      Правда он очень узкий. Но они ///// могут сделать и полнуй аудит согласно Cobit ISO 27001/17799 и собственных стандартов.

                      А что, у DDT появились собсвенные стандарты ?!? Я думал большая четверка пользуется муждународными

                      Комментарий


                      • своими собственными - всегда.
                        просто они во многом базируются на международных, а иногда - международные - на них

                        Комментарий


                        • Они всегда должны базироваться на стандартах аудита, разве что могут быть более жесткие

                          Комментарий


                          • Сообщение от Коллектор Посмотреть сообщение
                            Аудит ИТ-подразделений банка....
                            Тема серьёзная и ОЧЕНЬ важная!
                            За плечами с 1996 года работа в ИТ-подразделениях разных банков на поприще программиста, внедренца, тестировщика, администратора, бизнес-ИТ-аналитика и даже успел программки пописать в двух наших ведущих софтовых компаниях, которые АБС-ки вояют.
                            Последний почти год проработал в банке TOP-20 в СВК специалистом банковских ИС. Пришлось окунуться с головой в контроль исполнения, архитектуру того, что местные ИТ-деятели напридумывали, ИТ-аудит филиалов.
                            Действительно завал работы по анализу и договорной базы и участию в проектах внедрения ИТ-решений в качестве проектировщика бизнес-процессов, и контролю исполнения принятых адекватных ИТ-решений. Вплоть до написания Положения и Программы ИТ-аудита филиальной сети и отслеживания Диаграммы Ганта процесса внедрения по ИТ-проектам.
                            Думаю в глазах местного Департамента Банковских Технологий в купе с безопасниками выглядел до последнего времени как постоянный объект скепсиса. Но местный авторитет СВК и продуманный подход в работе нашего Управления, зам. руководителя которого я являюсь, дали возможность работать в правильном направлении.

                            Комментарий


                            • Сообщение от Week Посмотреть сообщение
                              Zuz Я сама была очень удивлена такому подходу.Единственное, Проверка была Филиала и проверяло его не МГТУ. Был отдельный вопрос в проверке: Проверка обеспечения филиалом безопасности информационных технологий...
                              Правда!- ...можно застрелиться.
                              После ИТ-проверки двух филиалов и ГО могу сказать - стреляться не стоит. Нужно планомерно закрывать все эти вопросы внутренней методологией и регламентами.
                              Только нужно сразу донести руководству серьезность рисков, которые закрывают эти документы.

                              Комментарий


                              • Fеrmа Если у Вас есть наработки по данному вопросу буду очень признательна.
                                С уважением,Week

                                Комментарий


                                • Уважаемые коллеги, насколько принципиально наличие в банке Программы развития систем автоматизации на год и утвержденных Планов работ отдела информационных технологий (Управления и т.д. в зависимости от орг.структуры банка)?
                                  Как хорошо ничего не делать, а потом отдохнуть!

                                  Комментарий


                                  • MEB f а почему именно на год, а не на 3 года и для кого принципиально?

                                    Комментарий


                                    • Foxy на 3 года даже, наверно, еще лучше. для кого принципиально?слышала, что ЦБ-шники при проверке смотрят наличие планов. Вот и думаю, что, наверно, лучше такие планы реально делать, т.к. при проверке СВК у наших прогр. этого нет. Да и вообще, много чего нет в смысле описания формализованных процедур...
                                      Как хорошо ничего не делать, а потом отдохнуть!

                                      Комментарий


                                      • Мда, планы и программы для ЦБшных проверок...
                                        Цена таким планам?

                                        Комментарий


                                        • Уважаемые коллеги, при проверке выяснилось, что бухгалтера-операционисты имеют практику обмениваться паролями при работе в АРМе (например, я завтра с утра задержусь, так вот тебе мой пароль, сделай проводку, если срочно надо будет...) Кто-то сталкивался с таким демократизмом? Cчитаю, что такую практику надо пресекать. У кого какое мнение?
                                          Как хорошо ничего не делать, а потом отдохнуть!

                                          Комментарий


                                          • MEB
                                            Это вполне распространенное явление. Бороться, конечно, надо. И начать с внутрибанковских регламентов (по инф. безопасности).

                                            Комментарий


                                            • ROMKA Интересно, а при оценке рисков, связанных с работой IT-подразделения, у вас это явление учитывается?
                                              Как хорошо ничего не делать, а потом отдохнуть!

                                              Комментарий


                                              • Сообщение от MEB Посмотреть сообщение
                                                ROMKA Интересно, а при оценке рисков, связанных с работой IT-подразделения, у вас это явление учитывается?
                                                Это скорее оперриски ИБ, а не IT-подразделения.
                                                При написании Положения и Программы по IT-аудиту филиалов мне пришлось развести эти два понятия. Хотя как следующий шаг в Положение включил анализ и оперрисков ИБ, что требует ЦБ.

                                                Комментарий


                                                • Пожалуйста, приведите нормативные документы ЦБ по ИБ. И еще: какие обязательные разделы должна включать в себя Политика по ИБ (внутренняя по банку)?
                                                  Как хорошо ничего не делать, а потом отдохнуть!

                                                  Комментарий


                                                  • MEB
                                                    Распоряжение Банка России от 26 января 2006 г. N Р-27 (стандарт обеспечения ИБ), рекомендован к использованию.

                                                    Про разделы можно почитать тут:
                                                    http://www.globaltrust.ru/security/k...ide_Struct.htm

                                                    Статьи:
                                                    http://www.jetinfo.ru/1999/9/1/article1.9.1999.html
                                                    http://www.jetinfo.ru/annexes/16/annex-16.html
                                                    http://www.globaltrust.ru/security/P...b5_AAM_ADT.htm
                                                    http://www.crime-research.ru/articles/Kudinov1/
                                                    http://www.cioworld.ru/techniques/ef...953/print.html

                                                    Комментарий


                                                    • ROMKA Большое спасибо за ссылки на статьи.
                                                      Как хорошо ничего не делать, а потом отдохнуть!

                                                      Комментарий


                                                      • MEB нормативные документы ЦБ по ИБ
                                                        здесь не смотрели? http://www.cbr.ru/credit/Gubzi_docs/
                                                        DenM, CIA

                                                        Модератор форумов

                                                        Комментарий


                                                        • советую почитать также www.abiss.ru - сайт сообщества по внедрению стандарта по ИБ
                                                          стандарт пока рекомендательный, но рано или поздно станет обязательным.

                                                          Комментарий


                                                          • Здравствуте уважаемые люди!

                                                            Не могли бы вы подсказать где можно найти ISO 17799 и ISO 15408?
                                                            Естественно бесплатно!

                                                            Комментарий


                                                            • Kook

                                                              http://webstore.ansi.org/ansidocstor...FRH9Zgod6lY0kw
                                                              File Size: 1.03 MB
                                                              Price: $170.00

                                                              Бесплатно чужое брать - нехорошо!
                                                              Последний раз редактировалось DenM; 17.11.2006, 19:59.
                                                              DenM, CIA

                                                              Модератор форумов

                                                              Комментарий

                                                              Обработка...
                                                              X