20 октября, вторник 17:05
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Аудит IT-систем и подразделенийV

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • senegalka По-моему это наглость- требовать по внтренней указивке что-либо с банков Когда они рассылали предыдущий стандарт, то устно говорили, что вот в 2007 году выйдет версия 2.0 - ее сделают обязательной. Кстати, наша СВК уже взяла Стандарт на вооружение - такой актище раскатали по автоматизации, что при прочтении сложилось впечатление о том, что весь банк уже давно не работает.
    Хотя, если рассмотреть его (Стандарт) поближе - то всего то надо кучу бумажек подложить - задокументировать рабочий процесс и назначить крайних за все. Вплоть до размагничивания дискет. И усе.
    Реально полезного в работе там практически нет.

    а если положить на полку? Как же - уже распечатано и положено. А совсем положить не получается - пока получается только отложить.

    Особенно меня развлекает необходимость регламентации действий в случае непредвиденных ситуаций.
    С уважением, Антон

    Комментарий


    • спасибо за ответы!
      Demin Особенно меня развлекает необходимость регламентации действий в случае непредвиденных ситуаций. кстати, единственное что я сделала еще полгода, так это план действий в случае возникновения непредвиденных ситуаций. бред конечно.
      вообще стандарт жутко неудобный. кажется, единственное что им добъются, так это пыльную стопку никому ненужной мукулатуры.

      Комментарий


      • senegalkaТак я же не утверждаю, что Вы обязаны выполнять требования стандартов...
        Но "в связи с высокой заинтересованностью банковского сообщества Российской Федерации в использовании стандарта СТО БР ИББС-1.0 следующие развивающие этот стандарт документы разработаны и введены в действие распоряжениями Банка России" Если заглянуть в СТО БР ИББС-1,0-2006 раздел 1, то можно прочесть: "Настоящий стандарт может быть введен в действие организаций БС РФ в качестве обязательного к исполнению в случае, если такая необходимость существует." ИМХО, все к этому и идет

        Комментарий


        • Gellon что обозначает аббревиатураБС РФ ?

          Комментарий


          • senegalka Банковская система Российской Федерации

            Комментарий


            • Demin я правильно понимаю, что ИББС-2.1-2007 (про самооценку информ.безоп-ти) предназначен как рекомендация для СВК, а ИББС-1.1-2007 (про аудит информ.безо-ти) - это рекомендация для внешних аудиторов????

              Комментарий


              • Уважаемые коллеги!
                Из СТАНДАРТОВ Банка России весьма смутно прослеживается набор необходимых документов, а как показала практика проверок ЦБ, запрашивают они весьма конкретные названия внутренних документов по информационной безопасности. У нас разработана только политика ИБ, План для непредвиденных ситуаций, модели нарушителей и инструкции для пользователей Интернет, ЛВС и ПК.

                Поделитесь ориентировочными перечнями внутрибанковской документации по ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ! У кого какие документы уже составлены и какие планируете?

                Комментарий


                • Tak_iNi Дублировать сообщения не надо!!!! Первый раз удалил по-тихому. Сейчас - устное предупреждение. При повторе будет "плюс", см. Правила форума
                  DenM, CIA

                  Модератор форумов

                  Комментарий


                  • Сообщение от Tak_iNi Посмотреть сообщение
                    Уважаемые коллеги!
                    Из СТАНДАРТОВ Банка России весьма смутно прослеживается набор необходимых документов, а как показала практика проверок ЦБ, запрашивают они весьма конкретные названия внутренних документов по информационной безопасности. У нас разработана только политика ИБ, План для непредвиденных ситуаций, модели нарушителей и инструкции для пользователей Интернет, ЛВС и ПК.

                    Поделитесь ориентировочными перечнями внутрибанковской документации по ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ! У кого какие документы уже составлены и какие планируете?
                    на globaltrust.ru были?

                    Комментарий


                    • verter2k
                      на globaltrust.ru были?

                      и что там? сайт некой компании. чем Вы ее можете порекомендовать?

                      да и не вижу я большого смысла в услугах такого рода для компании/банка среднего (и тем более малого) размера.
                      основная задача инф.безопасности в банке - это банковская тайна о клиентах банка. здесь вполне можно обойтись собственными силами внутренних айтишников и сисадминов. а от основного внутреннего фактора риска информационной безопасности - персонала банка - никакая супер-модная консалтинговая компания в полной мере не защитит.

                      Комментарий


                      • Подскажите, пожалуйста, кто-ниб. проводил оценку соответствия?
                        Может есть примеры расчетов?
                        Честно, я перечитал не один десяток раз и никак не могу точно понять как производить расчет! Может кто знает подскажет?!!!

                        Комментарий


                        • Люди, читайте пост!

                          Комментарий


                          • Коллеги! Нужна помощь, предстоит проверка не информационных систем, а именно IT-подразделения, по причине большого количества жалоб на уровень автоматизации. Если у кого-то есть опыт - прошу поделиться, либо просто дать совет
                            Дневной дозор

                            Комментарий


                            • Сообщение от Sherly Посмотреть сообщение
                              Коллеги! Нужна помощь, предстоит проверка не информационных систем, а именно IT-подразделения, по причине большого количества жалоб на уровень автоматизации. Если у кого-то есть опыт - прошу поделиться, либо просто дать совет
                              Тут был набросок плана проверки ИТ-подразделения...
                              Поставьте чуть конкретнее вопрос, что нужно проверить(работу администраторов, безопасность, поддержку,...), наверное смогу помочь.

                              Комментарий


                              • Hitch Спасибо, что ответили. В большей части - поддержку.
                                Дневной дозор

                                Комментарий


                                • В большей части - поддержку.

                                  Ну тогда примерно вот так можно было бы план набросать:


                                  1. Организация работы Отдела тех.поддержки
                                  1.1 Штат и функции отдела
                                  1.2 Ведение учетной документации по компьютерной технике
                                  1.3 Руководящие документы отдела
                                  1.4 Порядок работы с дополнительными офисами
                                  1.5 Использование удаленного доступа к пользовательским компьютерам
                                  1.6 Анализ работы, совершенствование методов работы

                                  2. Закупка, установка и обслуживание СВТ
                                  2.1 Порядок закупки и формирование резервов компьютерной техники
                                  2.2 Настройка и установка компьютеров
                                  2.3 Хранение и защита образов, дистрибутивов, их обновление
                                  2.4 Тестирование обновлений операционных систем и другого программного обеспечения
                                  2.5 Вывод из эксплуатации СВТ, передача между подразделениями

                                  3. Поддержка пользователей
                                  3.1 Прием и обработка заявок
                                  3.2 Контроль исполнения заявок

                                  Комментарий


                                  • Подскажите, пжл, Банк обязан(!)ли иметь службу ИБ или нет? А то говорят, что с мая обязательно должна существовать служба. Но
                                    в СТО БР ИББС-1.0-2006 п.9.7.1. Для реализации задач развертывания и эксплуатации СМИБ организации рекомендуется (!) иметь в своем составе (самостоятельную или в составе службы безопасности) службу ИБ (уполномоченное лицо).
                                    Как поступить?
                                    У нас такой службы нет, но есть админ.ИБ баз данных, админ.ИБ в отделе с работой с клиентами, админ.ИБ сети. Все ИБ-шники в разных отделах. Центра единого нет.
                                    Правомерно ли требовать ЦБ от нас создать отдельную Службу ИБ?

                                    Комментарий


                                    • exploit Врут. Имейте в виду - тут новый подфорум в технологическом департаменте, посвященный ИБ. Целиком. Так что, видимо, Вам туда.
                                      С уважением, Антон

                                      Комментарий


                                      • Всем доброго времени суток….
                                        У меня началась проверка надежности функционирования системы внутреннего контроля за использованием автоматизированной банковской системы.
                                        Теоретически , что смотреть представляю, но как и что конкретно отобразить в Акте проверки ума не приложу….. Да и к тому же руководство информационных технологий вообще не идет на встречу……
                                        Может кто сталкивался с такой(-кими) проверками???? Заранее спасибо…….

                                        Комментарий


                                        • bawarec что смотреть представляю - замечательно!
                                          руководство информационных технологий вообще не идет на встречу - обычное явление.
                                          Как вариант, пишите по такому плану:
                                          Процедура администрирования вычислительной сети банка.
                                          Процедура контроля за соблюдением порядка предоставления сотрудникам прав доступа и его документальное оформление, а также наличие парольной защиты и соблюдение прав пользователей сети.
                                          Процедура контроля обеспечения бесперебойной работы компьютерных и сетевых систем банка.
                                          Процедура контроля конфигурации и эксплуатации рабочих станций и серверов банка, а также разграничения доступа к ним сотрудников банка.
                                          Процедура контроля за эксплуатацией автоматизированных банковских систем и обеспечения надежности их функционирования.
                                          Процедура контроля администрирования системы операционного дня банка.
                                          Процедура контроля модуля парольной защиты и подключения локальной банковской сети к Интернету.
                                          Процедура контроля администрирования подготовки SWIFT-сообщений, системы "Клиент-банк" и работы в аналогичных системах удаленного обслуживания.
                                          Процедура контроля работы антивирусного программного обеспечения, а также за соблюдением порядка закупки необходимого оборудования и программного обеспечения.
                                          Как хорошо ничего не делать, а потом отдохнуть!

                                          Комментарий


                                          • Что-то тема как-то затихла..
                                            Неужто в связи с кризисом ИТ-аудит стал не интересен?

                                            Комментарий


                                            • Сообщение от Hitch Посмотреть сообщение
                                              Что-то тема как-то затихла..
                                              Неужто в связи с кризисом ИТ-аудит стал не интересен?
                                              Просто пока не актуален...А жаль. Интересно, курсы по ИТ аудиту сейчас проводятся? Самое время пойти подучится.

                                              Комментарий


                                              • Уважаемые коллеги, подскажите, пожалуйста, у кого как решен следующий вопрос: начальник управления ИТ имеет возможность дать неограниченный набор прав любому из пользователей, в т.ч. и себе. Конечно, можно распоряжениями оформить права на разные функции администрирования разным людям, но все равно д.б. дублеры. Пока же считаем, что пусть лучше все права будут у начальника ИТ, чем у многих (банк небольшой). А у кого как?
                                                Как хорошо ничего не делать, а потом отдохнуть!

                                                Комментарий


                                                • Обычно есть конкретные администраторы ЛВС, баз данных, прикладных систем... И тут уже не столь важно, кто они по должности. В соответствии с их обязанностями у них есть определенные права.
                                                  В идеале, права соответствующих админов не должны пересекаться:

                                                  Комментарий


                                                  • Здравствуйте участники форума. Вопрос ко всем - существуют ли на сегодняшний день какие-нибудь системы для автоматизации аудита ИС? ведутся ли разработки в этом направлении? очень хотелось бы узнать побольше об этом. я в рамках своей дипломной работы рассматриваю автоматизацию процесса аудита ИС на основе COBIT, но пока тока в самом начале нахожусь. если есть какие-нить дельные мысли по этому поводу, расскажите пожалуйста

                                                    Комментарий


                                                    • Olya_Z Вам лучше в форум Информационной безопасности
                                                      http://dom.bankir.ru/forumdisplay.php?f=143
                                                      Угол зрения зависит от занимаемого места.

                                                      Комментарий


                                                      • Сообщение от Alna Посмотреть сообщение
                                                        Olya_Z Вам лучше в форум Информационной безопасности
                                                        http://dom.bankir.ru/forumdisplay.php?f=143
                                                        Ну, если честно, я не совсем согласна...зачем это мне в форум информационной безопасности, когда я хочу узнать об аудите информационных систем в целом, а не только, скажем, о ее защищенности и т.п.? да и COBIT нельзя отнести к стандартам ИБ

                                                        Комментарий


                                                        • Olya_Z зачем это мне в форум информационной безопасности если Вы хотите разобраться в вопросе - то Вам туда, поскольку требования новые и наврят ли в банках уже появились автоматизированные системы для проверки ИБ. Пока начинают заказывать внешний аудит.
                                                          Угол зрения зависит от занимаемого места.

                                                          Комментарий


                                                          • Olya_Z Вопрос ко всем - существуют ли на сегодняшний день какие-нибудь системы для автоматизации аудита ИС? Существуют. Но ни названий ПО, ни производителя назвать не могу. Хотя серьезно покопаться в И-нете на эту тему пока руки не дошли. Приходилось разговаривать с коллегами одного крупного иностранного банка. Они тоже подтвердили, что ПО существует, но сами они его не используют и не видели: то ли дорого, то ли нецелесообразно, не понятно, но вопрос о закупке на сегодняшний день даже не обсуждается.

                                                            Вам, возможно, имеет смысл не в Информационную безопасность сходить, а в Автоматизацию. Может, там кто знает.

                                                            Комментарий


                                                            • Olya_Z Microsoft Security Assessment Tool поковыряйте.
                                                              С уважением, Антон

                                                              Комментарий

                                                              Обработка...
                                                              X