20 октября, вторник 17:36
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Аудит IT-систем и подразделенийV

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Kook Посмотреть сообщение
    Здравствуте уважаемые люди!

    Не могли бы вы подсказать где можно найти ISO 17799 и ISO 15408?
    Естественно бесплатно!
    Стандарт ИБ (ЦБ РФ) довольно много вобрал в себя из этих документов. Если Вы организуете работу в соответствии с ним, то уже хорошо!

    Комментарий


    • Спасибо всем кто откликнулся!
      Читал и Стандарт ЦБР и Гост 15408- как оказалось перевод ISO 15408!
      Но в плане создания документов по аудиту,(таких как Положение о нём, программу , план ,инструкция) это мало помогает!

      Может кто занимался этим вопросом и сможет что подсказать?
      Примером поделиться?!
      Тема то новая! Материала моловато!Особенно конктретного!

      Комментарий


      • DenM
        Спасибо, но находили и дешевле!

        Я смотрю вы депломированный специалист!И как давно вы в жэтой области работаете?
        Очень хотелось бы перенять немного знаний!

        Комментарий


        • Kook ответы на Ваши вопросы можно найти здесь: www.iia-ru.ru и на моей личной странице (есть в профиле юзера).
          Однако, обращаю вниманиние на Правила форума http://dom.bankir.ru/faq.php?faq=for...q_common_rules , п.14.
          Личные вопросы обсуждаются в би-мэйл.
          DenM, CIA

          Модератор форумов

          Комментарий


          • О как!
            Спасибо будем изучать!

            А что за би-мэйл что то не найду!

            Комментарий


            • Компания GlobalTrust Solutions - официальный дистрибьютор Британского института стандартов (BSI) сообщает о выходе русского перевода нового британского стандарта BS 7799-3:2006, "Системы управления информационной безопасностью - Часть 3: Руководство по управлению рисками информационной безопасности". Перевод и распространение данного стандарта осуществляется на основании лицензионного соглашения с BSI № 2006AT0005.
              Ожидается, что до конца 2007 года ISO утвердит BS 7799-3 в качестве международного стандарта, который получит индекс 27005. BS 7799-3 определяет процессы оценки и управления рисками как составной элемент системы управления организации, используя процессную модель, включающую в себя четыре группы процессов: планирование, реализация, проверка, действие (ПРПД), что отражает стандартный цикл любых процессов управления.
              http://www.securitylab.ru/news/278855.php

              Комментарий


              • Необходимо провести "Проверку надежности функционирования системы внутреннего контроля за использованием автоматизированных информационных систем"
                Подскажите пожалуйста с чем ЭТО едят и с чего начать
                Ни какой информации найти не смогла
                Чай не пьёшь - какой работа? А попьёшь ТАК спать охота!

                Комментарий


                • Nuri Ни какой информации найти не смогла удивительно 7 страниц написали и ссылок кучу надавали.
                  Начинайте с требований ЦБ и стандарта COBIT.
                  Несколько практических рекомендаций от ведущих консультантов в виде презентаций выложено также в закрытой (для официальных членов профсоюза) части сайта Института внутренних аудиторов
                  DenM, CIA

                  Модератор форумов

                  Комментарий


                  • Nuri Проверку надежности функционирования системы внутреннего контроля за использованием автоматизированных информационных систем
                    Воткните в сервер лом и засеките время, за которое прибежит представитель системы внутреннего контроля.
                    С уважением, Антон

                    Комментарий


                    • Nuri
                      Не знаю поможет или нет, здесь все до кучи - может что-то и нацепляете себе
                      Описание АИС:
                      - информационные
                      - вычислительные
                      - коммуникационные (транспортную машину для связи с РЦ можно сюда отнести?)
                      Правомерность применения АИС на соблюдение лицензионных требований
                      Применение программных средств, несанкционированных администратором
                      Доступы к ИБС:
                      - порядок предоставления доступов
                      - соответствие доступов выполняемому кругу операций
                      - возможность злоупотребления доступами
                      Резервирование информации
                      Протоколирование и анализ сбоев в АИC
                      Своевременность обновления антивирусных программ
                      Безопасность и доступы в помещения администраторов, серверов
                      Я ловлю осень на губах снегом...

                      Комментарий


                      • Klёn

                        Большое спасибо!

                        Дело в том, что ЦБ после проведения тематической проверки написал нам замечание, что не проведены проверки:
                        1. Проверка в сфере информационной безопасности
                        2. Проверка надежности функционирования системы внутреннего контроля за использованием автоматизированных систем..

                        Первую проверку осилили с горем пополам. На самом деле, когда экономисты проверяют ITишников выглядит ужасно , а специального человечка для подобных проверок у нас в отделе не предусмотрено

                        Эта проверка включала в себя:
                        1.Проверка наличия и качества внутренних документов, регламентирующих деятельность Управления информационных технологий в сфере информационной безопасности;
                        2. Проверка организации работы по обеспечению информационной безопасности
                        -служебные помещения
                        -обеспечение информационной безопасности при дистанционном обслуживании клиентов
                        -парольная защита
                        -средства антивирусной защиты
                        3.Порядок получения доступа к информационно-вычислительным ресурсам и обеспечения безопасности информации при работе с ними
                        4.Организация управления рисками в сфере информационной безопасности (IT-риски)

                        Что должна включать в себя вторая проверка я не знаю. И вообще чем они отличаются?
                        Чай не пьёшь - какой работа? А попьёшь ТАК спать охота!

                        Комментарий


                        • Nuri Я так понимаю, что это проверка проверяющих.
                          Какое Щастье, что у меня таких проверок еще не было.
                          С уважением, Антон

                          Комментарий


                          • Demin
                            это проверка проверяющих

                            что значит проверяющих? Эту проверку должны провести СВК в банке. Второй велосипед я уже не изобрету, а надо бы и срок - декабрь
                            Чай не пьёшь - какой работа? А попьёшь ТАК спать охота!

                            Комментарий


                            • Nuri
                              2. Проверка надежности функционирования системы внутреннего контроля за использованием автоматизированных систем.. - я так думаю, это из области стресстестирования. Надзирающий за вами ЦБ видимо хочет от вас "Проверку планов действий на случай возникновения непредвиденных обстоятельств в части их выполнимости" в разрезе автоматизированных систем..

                              Комментарий


                              • Nuri Я провела так называемое тестирование средств контроля на каждом этапе
                                1. Контроль на этапе инициации операции.
                                2. Контроль на этапе ввода операции в систему.
                                3. Контроль передачи данных.
                                4. Контроль на этапе обработки операции.
                                5. Контроль на этапе сохранения и поиска данных.
                                6. Контроль данных на выходе из системы.
                                Дневной дозор

                                Комментарий


                                • Attila Проверку планов действий на случай возникновения непредвиденных обстоятельств в части их выполнимости БУРС имеется в виду?
                                  С уважением, Антон

                                  Комментарий


                                  • Demin
                                    БУРС имеется в виду? - может и БУРС . А что это такое?

                                    Комментарий


                                    • Attila

                                      ЦБ видимо хочет от вас "Проверку планов действий на случай возникновения непредвиденных обстоятельств в части их выполнимости"
                                      да это ж ни как не проверить. Мне надо сервер взломать или пожар в серверной устроить? Вот задача то...

                                      Demin что значит БУРС?
                                      Чай не пьёшь - какой работа? А попьёшь ТАК спать охота!

                                      Комментарий


                                      • Attila БУРС . А что это такое
                                        Бухгалтерский учет ручным способом.
                                        706-У от 22/12/1999 года. В силу по понятным причинам так и не вступило. Но кое-что интересное почерпнуть можно.

                                        Nuri да это ж ни как не проверить. Мне надо сервер взломать или пожар в серверной устроить? Вот задача то... И я о том же.
                                        С уважением, Антон

                                        Комментарий


                                        • Demin
                                          Бухгалтерский учет ручным способом. - Ага, понятно.

                                          Nuri
                                          Мне надо сервер взломать или пожар в серверной устроить? - это тоже можно.

                                          Но вот, я, допустим, так делаю. Например, надо смоделировать ситуацию "прекращение доступа пользователей к сайту банка". Я иду к начальнику отдела автоматизации. Он, не предупреждая своих подчиненных, тихонько выдергивает где-нибудь какие-то проводки (или еще чего-нибудь делает - я в этом не сильно разбираюсь). Затем он сообщает своим подчиненным (ответственным за устранение данного вида сбоев) о том, что поступили жалобы о невозможности зайти на сайт банка и что надо с данной проблемой разобраться.
                                          Все. Время пошло. Я с часами сижу и жду, когда все устранится.
                                          Программисты звонят провайдеру, бегают по банку, ищща где возникла проблема и т. д. и т. п.
                                          Далее я записываю результаты - устранили/или нет, уложились в срок/или нет.

                                          Аналогично делаем по другим сбойным ситуациям.

                                          Комментарий


                                          • Attila

                                            Аналогично делаем по другим сбойным ситуациям
                                            УЖОСССС
                                            нет уж на подобное я не решусь

                                            уложились в срок/или нет

                                            да у нас во внутренних документах ни где сроки не прописаны. Да и как их можно рассчитать? Поломки разные бывают и нормы устанавливать бессмысленно.
                                            Чай не пьёшь - какой работа? А попьёшь ТАК спать охота!

                                            Комментарий


                                            • Nuri
                                              УЖОСССС - На самом деле такая проверка - это самое легкое. Делать ничего не надо. Знай только - время засекай. У меня на подобную процедуру тратиться от силы 2 часа в год + время на написание справки по итогам проверки.

                                              да у нас во внутренних документах ни где сроки не прописаны. Да и как их можно рассчитать? Поломки разные бывают и нормы устанавливать бессмысленно. - у нас сроки прописыны (проверяющие из ЦБ потребовали).
                                              Толковый начальник отдела автоматизации может расписать примерные сроки. Исходя из опыта устранения подобных неполадок.

                                              У нас основные возможные сбойные ситуации сведены в таблицу, где напротив каждой ситуации указаны: ответственный за устранение, плановые сроки устранения, контактные телефоны (например провайдера и т. д.), организационные действия (кто, куда бежит, к кому обращается и т. п.)

                                              Комментарий


                                              • .
                                                SVM

                                                Комментарий


                                                • Attila Круто. Нас еще больше любить будут
                                                  Я ловлю осень на губах снегом...

                                                  Комментарий


                                                  • Klёn - А что делать? Пущщай бояцца!!!
                                                    А вообще, я когда нахожу какие-то ошибки или нарушения, и приходится писать "кляузу" на конкретного человека, то всегда говорю ему, что "ничего личного, работа такая". Многие относятся с пониманием.

                                                    Комментарий


                                                    • Ужас... Я прошу прощения, просто читая то, что народ тут пишет, убедился, что аудит ИТ в банках всё ещё в зачаточном состоянии. Могу порекомендовать четыре вещи:
                                                      1. Прочтите COBIT, в 3-й части есть Audit Guidance. Очень полезно.
                                                      2. Хотите начать серьёзный Аудит ИТ, сделайте обзор IT project management. Айтишники будут в экстазе. Не буду оригинален, если скажу, что главное, в чём Вам нужно убедиться это Alignment of Business and IT strategic objectives. Звучит как Rocket Science, но поверьте, что это основное.
                                                      3. Хотите сделать хороший аудит по ИТ security... Посмотрите segregation of duties в своих системах. Даю 99,9%, что обнаружите остутсвие такого контроля - как такового... и не только в системах, но и в бизнес-процессах.
                                                      4. BCP не проверяйте... его не бывает... :-))) Начните с DRP.
                                                      Удача любит подготовленный разум...

                                                      Комментарий


                                                      • Хэванс_До Если бы еще все аббревиатуры расписать да поподробней... Так сказать на будущее - будет к чему вернуться и хорошо подготовиться.
                                                        Я ловлю осень на губах снегом...

                                                        Комментарий


                                                        • Klёn 4. BCP не проверяйте... его не бывает... :-))) Начните с DRP.
                                                          По-русски это звучит примерно так (! нужно знать как "дважды два" каждому контролеру-аудитору):
                                                          BCP - план обеспечения бесперебойности работы
                                                          DRP - план восстановления работоспособности систем во внештатных ситуациях

                                                          В 242-п этим вопросам посвящены несколько пунктов.
                                                          И Стандарт ЦБ по вопросам ИТ безопасности также им уделяет большое внимание.
                                                          Читайте классику!
                                                          DenM, CIA

                                                          Модератор форумов

                                                          Комментарий


                                                          • DenM я в СВК с марта-апреля, так что до штудирования матчасти по IT еще руки не доросли. Сейчас эти риски не такие "модные", как операционный, кредитный. Думаю, всему свое время. Спасибо
                                                            Я ловлю осень на губах снегом...

                                                            Комментарий


                                                            • Сейчас эти риски не такие "модные",
                                                              Ещё какие модные... Хотя, сильно зависит от степени автоматизации Вашего банка. В ряде случаев эти риски становятся критическими для бизнеса.
                                                              Удача любит подготовленный разум...

                                                              Комментарий

                                                              Обработка...
                                                              X