20 октября, вторник 17:18
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Аудит IT-систем и подразделенийV

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Участник создал тему Аудит IT-систем и подразделенийV

    Аудит IT-систем и подразделенийV

    В любом банке есть подразделения, отвечающие за автоматизацию. И, по логике, они тоже должны проверяться службой внетреннего контроля. Подскажите какие-нибудь методики или планы по которым можно проверить автоматизаторов.

  • Jho
    Участник ответил
    Коллеги, хелп! В моем царстве случилось чудо- и в СВК (будущей СВА) выделили целый отдел аудита ИТ и ИБ! Ранее трудились на благо под эгидой начальника СВК простыми специалистами. Сейчас поставлена задача написать положение об отделе + должностные. Ну с должностными попроще будет - действующие подходят, а вот за рыбу Положения буду очень признателен! Данный крик о помощи размещу в 2х ветках. мыло - jho@ya.ru

    Прокомментировать:


  • BigPofig
    Участник ответил
    Ребята а можете дать ресурс откуда можно скачать 3 cobit audit guidelines

    Сообщение от Хэванс_До Посмотреть сообщение
    Ужас... Я прошу прощения, просто читая то, что народ тут пишет, убедился, что аудит ИТ в банках всё ещё в зачаточном состоянии. Могу порекомендовать четыре вещи:
    1. Прочтите COBIT, в 3-й части есть Audit Guidance. Очень полезно.
    2. Хотите начать серьёзный Аудит ИТ, сделайте обзор IT project management. Айтишники будут в экстазе. Не буду оригинален, если скажу, что главное, в чём Вам нужно убедиться это Alignment of Business and IT strategic objectives. Звучит как Rocket Science, но поверьте, что это основное.
    3. Хотите сделать хороший аудит по ИТ security... Посмотрите segregation of duties в своих системах. Даю 99,9%, что обнаружите остутсвие такого контроля - как такового... и не только в системах, но и в бизнес-процессах.
    4. BCP не проверяйте... его не бывает... :-))) Начните с DRP.
    Ребята а можете дать ресурс откуда можно скачать 3 cobit audit guidelines, позарез нужно - весь инет перерыл и не могу найти((((

    Прокомментировать:


  • Антон Дёмин
    Участник ответил
    Сообщение от АЛИЯ Посмотреть сообщение
    Как в этом случае минимизировать риски, что можно посоветовать филиалу приобрести для более длительной работы на случай отключения питания???
    Тут о минимальных затратах речь не идёт. Либо делать всё по-взрослому, либо просто вписать электроэнергию в форс-мажор.

    Прокомментировать:


  • DenM
    Участник ответил
    Генератор - тоже не на все случаи жизни спасение. У него запас топлива ограничен, как правило, 6-10 часов.
    Рабочий вариант - договор с эксплуатирующей компанией об аренде генератора на случай ЧП.

    Прокомментировать:


  • АЛИЯ
    Участник ответил
    Антон Дёмин, не могли бы еще подсказать, как можно выйти из ситуации при минимальных затратах. У нас в филиале на случай сбойных ситуаций (отключения электропитания, к примеру) имеются дополнительные источник питания для оборудования: Серверная, из расчета на 15 минут работы в случае отказа питания; каждый компьютер филиала снабжён резервным локальным ИБП, время автономной работы не более 10 минут.
    Резервный источник питания на случай перебоя питания на более длительное время (генератор, к примеру) в филиале отсутствует. Буквально на днях было отключение питания, и с утра до середины дня филиал и все ДО и ОО сидели без связи. Как в этом случае минимизировать риски, что можно посоветовать филиалу приобрести для более длительной работы на случай отключения питания???

    Прокомментировать:


  • Антон Дёмин
    Участник ответил
    Сообщение от АЛИЯ Посмотреть сообщение
    сказано просто "прочные двери"
    Я не видел дверей прочнее, чем железные.

    Прокомментировать:


  • АЛИЯ
    Участник ответил
    Антон Дёмин, Стены действительно гипсокартон просто меня немного смущает, что в типовых требованиях ФСБ и в нашей Политике по СКЗи сказано просто "прочные двери", вот поэтому не уверенна в принципиальности железных дверей...

    Прокомментировать:


  • Антон Дёмин
    Участник ответил
    АЛИЯ, железную дверь поставьте. К стенам требований нет - она может быть в гипсокартоне. Заведите туда видеокамеру. Ну и КД организационными методами.

    Прокомментировать:


  • АЛИЯ
    Участник ответил
    Доброго всем дня. Уважаемые коллеги прошу помощи в следующем вопросе: при проверке инф.безопасности в ФИЛИАЛЕ установила, что оборудование, на котором установлены автоматизированные системы электронного документооборота, обрабатывающие информацию совместно с шифровальными (криптографическими) средствами защиты информации (СКЗИ), находится в отдельной комнате (обозначенной, как серверная, тогда, как серверов нет, они находятся в ЦО в другом городе). Данное помещение имеет окна, не оснащено железными дверьми (т.к. двери поставить нельзя, тонкие стены, могут рухнуть), закрывается на кодовый замок, лица, имеющие право доступа в указанное помещение не назначены, дополнительного контура сигнализации для контроля доступа в помещение нет.
    Какие рекомендации можно дать подразделению в данном случае для? (кроме назначения лиц имеющих право доступа).

    Прокомментировать:


  • Aleksis
    Участник ответил
    Кстати, щас проводим серьезный аудит, пытаясь опираться на методологию COBIT. Может у кого есть образцы опросников для менеджмента и айтишников для оценки уровня зрелости процессов. Если поделитесь, то в качестве ответной любезности могу поделиться результатами проверки (понятное дело слегка почищенными :-)))).

    Прокомментировать:


  • Aleksis
    Участник ответил
    Сообщение от Hitch Посмотреть сообщение
    ...... а если задача накопать косяков и в первую очередь прикрыть основные риски (что было похоже по вопросу) - нужно копать по исчерпывающему перечню вопросов.
    Могу с уверенностью сказать, что наличие косяков и оценка рисков очень хорошо интегируется в определение уровня зрелости процессов. Вопрос исключительно в квалификации аудитора. К сожалению большинство аудиторов на сегодняшний день тупо подгоняют результаты проверки под заранее подготовленный шаблон. Оформляется все это с кучей умных фраз и красивых графиков, но по сути своей пустышка. Могу сказать, что я имел дело с очень солидными фирмами - из большой четверки. Хотя когда смотришь на этого аудитора, у которого есть сертификат, но лет 25 от силы, думаешь - что от тебя ждать, когда полностью отсутствует практический и элементарый жизненный опыт?

    Прокомментировать:


  • Hitch
    Участник ответил
    Сообщение от Aleksis Посмотреть сообщение
    ...
    сложность заключается ... в тех методиках, которые будут использоваться для проверки, а также в формировании КРИТЕРИЕВ ОЦЕНКИ (начиная с выбора оценки типа модели зрелости процессов). Если есть интерес, то можно было бы подискутировать на эту тему.
    на мой взгляд, это смотря какую цель ставить:
    если задача оценить обстановку, то действительно, целесообразно оценивать процессы по модели зрелости (используя тот же Cobit), а если задача накопать косяков и в первую очередь прикрыть основные риски (что было похоже по вопросу) - нужно копать по исчерпывающему перечню вопросов.

    Прокомментировать:


  • Aleksis
    Участник ответил
    Всем привет! Давненько не был на форуме. Смотрю, что за прошедшее время ничего сильно не поменялось, а жаль - тема вроде как актуальная. Даже не столько в плане безопасности, сколько в плане ИТ менеджмента, чему в банках уделяется крайне мало внимания. Уважаемый Hitch как никто другой должен меня понять, как сертифицированный специалист. Насчет предложенного плана могу сказать, что мне нравиться. Возможно перечень вопросов для проверки ДО избыточен. Но сложность заключается не в этом, а в тех методиках, которые будут использоваться для проверки, а также в формировании КРИТЕРИЕВ ОЦЕНКИ (начиная с выбора оценки типа модели зрелости процессов). Если есть интерес, то можно было бы подискутировать на эту тему.

    Прокомментировать:


  • Hitch
    Участник ответил
    Извиняюсь за поздний ответ (был в отпуске), но может такой план поможет?

    10. Проверка организации автоматизации в филиале.
    10.1. Организация работы Отдела автоматизации.
    10.2. Эксплуатация компьютерной техники.
    10.3. Эксплуатация программного обеспечения.
    10.4. Организация локальной вычислительной сети.
    10.5. Организация связи с Головным офисом.
    10.6. Резервирование серверов и коммуникационного оборудования.
    10.7. Резервное и архивное копирование информации.
    10.8. Обеспечение непрерывности работы автоматизированной системы.
    10.9. Организация работы с банковскими картами.
    10.10. Организация работы с системами денежных переводов
    10.11. Организация работы с системой удаленного управления счетами клиентов
    10.12. Организация работы программно-аппаратным комплексом автоматизированного ввода платежных документов
    10.13. Взаимодействие с подразделениями Головного офиса.

    11. Обеспечение информационной безопасности в филиале.
    11.1. Организационные мероприятия по информационной безопасности.
    11.2. Организация защиты серверов филиала.
    11.3. Организация защиты рабочих станций филиала.
    11.4. Организация защиты информации при ее обработке и хранении в автоматизированной системе.
    11.5. Организация парольной защиты.
    11.6. Организация антивирусной защиты.
    11.7. Обеспечение информационной безопасности при взаимодействии с сетью Интернет.
    11.8. Организация защиты выделенных помещений.
    11.9. Обеспечение безопасности при работе со сменными носителями информации (кроме ключевых).
    11.10. Соблюдение требований безопасности при эксплуатации средств криптографической защиты информации.
    11.11. Соблюдение требований безопасности при взаимодействии с Банком России.
    11.12. Порядок внутреннего контроля за соблюдением информационной безопасности.
    11.13. Вопросы безопасности, связанные с персоналом филиала.

    Прокомментировать:


  • ЛЕА
    Участник ответил
    Бойко Сергей, мы региональный банк, нас недавно проверял ЦБ, один из пунктов проверки как раз было проверка информ. безопасности и технологий. Интересен был тот факт, что это настолько относительная сфера, что по сравнению с крупными банками мы уступаем в данной области в силу своих размеров и спектра осуществ. операций, однако если сравнить с аналогичными нашего банка организациями. то они пришли к выводу, что у нас информ.безопасноть, как и технологии находятся на достаточно хорошем уровне. Очень сложно проверить особенно информ. безопасноть в силу отсутствия достаточных знаний в данной области, обычно проверяющие на это не много обращают внимания.

    Прокомментировать:


  • ЛЕА
    Участник ответил
    Добрый день! Когда мы проверяем на предмет соблюдения информ.безопасности, то смотрим - возможность подключения внешних устройств, целостность маркировки сист.блоков, заполнение всех журналов, предусмотренных внутр.документами, работа с конфид.документами и документами, содерж. конфид. информацию, а также хождение в архивный день (если такое есть), наличие распорядительных документов.

    Прокомментировать:


  • Бойко Сергей
    Участник ответил
    Сообщение от Hitch Посмотреть сообщение
    Попробуйте в первую очередь поднять внутреннюю нормативку...
    .
    спасибо за совет, пороем в документах
    может у кого есть примерный план, программа, которую используете при выездных проверках доп.офисов или филиалов?

    Прокомментировать:


  • Hitch
    Участник ответил
    Сообщение от Бойко Сергей Посмотреть сообщение
    Добрый день.
    поделитесь пожалуйста опытом:
    выездная комплексная проверка ДО. направление - соблюдение информац. безопасности дополнительным офисом
    что смотреть? чему уделять внимание?
    Попробуйте в первую очередь поднять внутреннюю нормативку...

    Прокомментировать:


  • Бойко Сергей
    Участник ответил
    Добрый день.
    поделитесь пожалуйста опытом:
    выездная комплексная проверка ДО. направление - соблюдение информац. безопасности дополнительным офисом
    что смотреть? чему уделять внимание?

    Прокомментировать:


  • Алексей Лаврищев
    Участник ответил
    Изначально идея ЦБ была во вводе стандарта, согласованного со всеми заинтересованными ведомствами, чтобы обеспечить для банков только одну надзорную контору - собственно сам ЦБ. Но, видимо, органы не хотят отдавать кусок пирога, поэтому не дали ЦБ протолкнуть эту идею. Ну а он видимо бился не на том уровне, где надо эти вопросы решать. В итоге родился этот стандарт, который в случае присоединения к нему лишь "добавляет" ещё одного проверяющего в виде ЦБ, который будет проверять соответствие стандарту.
    Думаю, большинство отказалось от присоединения.

    Прокомментировать:


  • Бойко Сергей
    Участник ответил
    Так и есть. пока мы все также являемся субъектами проверки указанных органов.
    Есть мнение, что не направив в ТУ (ГУ) ЦБ Подтверждения соответствия Стандарту БР в указанный срок, мы автоматом попадаем (вернее исключаемся из списка проверяемых ЦБ). что думаете по этому поводу.
    т.е. составить вопросник на основе Стандарта и рекомендаций как бест практик? думаю сгодится, не заставляю но так делают другие.
    кста.
    У наших безопасников оговорка, что рассмотреть альтернативу присоединения или нет мы представили, но следует проводить оценку соответствия сторонней организацией. Средств бюджета к сожалению сыскать не удалось, поэтому безопасники и открестились "все что от нас зависило мы сделали". Контора эта просит 3-4млн.
    Но вспоминая п.11.6 СТО БР ИББС наделен правом и возможностью провести самооценку соответствия. Что мне по всей вероятности и предстоит в ближайшее время.
    Теперь, будьте добры, поясните плиз, что я не догоняю, почему я сделаю это за свой оклад, а некто откусит немалый кусочек пирога?
    в Чем разница, преимущества и недостатки, что мне нужно учесть в ходе оценки, что мне не удасться?
    У кого есть опыт
    Еще одна ремарочка. в эту сумму входит обязанность разработки для нас нормативуи (ЧМУ и бла бла бла....)
    Спасибо.

    Прокомментировать:


  • Антон Дёмин
    Участник ответил
    А! РСКН ишшо. (или как там он сейчас называется)

    Прокомментировать:


  • Алексей Лаврищев
    Участник ответил
    Стандарт показывает "как надо" с точки зрения ЦБ. Считаю, что если есть время и возможности нужно пойти от печки: определить основные риски и посмотреть как они закрыты. Кроме того, есть требования по лицензированию разных областей защиты информаци, как уже коллеги справедливо заметили ФСБ, ФСТЭК и других не менее замечательных и уважаемых органов. Здесь где-то на форуме болтался примерный план проверки. Там зерно истины было какое-то. Гляньте.

    Прокомментировать:


  • DenM
    Участник ответил
    Бойко Сергей, для оценки рисков не обязательно присоединяться к Стандарту. Если у вас провекрка выполнения - тогда "да", нужен нормативный акт, выполнение которого проверяется. Это провекрка на "комплаенс". А для оценки рисков достаточно в справке-отчете указать, что аудитор руководствуется "бест-практис", и составить анкеты и оценочные листы на основе Стандарта

    Прокомментировать:


  • Антон Дёмин
    Участник ответил
    Сообщение от Бойко Сергей Посмотреть сообщение
    Дело в том, что на сегоднешний день (пока вопрос не решен) Банк не присоеденился к Стандарту Банка России.
    Наш случай. Мы тоже не.
    Значит, все эти модели и так далее разрабатывались самостоятельно. Лицензии ФСБ получены? Лицензиат ФСТЭК сервера аттестовал? Им предъявлялись соответствующие документы - их и смотрите.

    Прокомментировать:


  • Бойко Сергей
    Участник ответил
    Оценка рисков нарушения информационной безопасности

    Добрый день, коллеги!
    Вопрос на засыпку. Каким образом можно провести оценку рисков нарушения информационной безопасности без использования рекомендаций Банка России РС БР ИББС-2.2-2009
    Дело в том, что на сегоднешний день (пока вопрос не решен) Банк не присоеденился к Стандарту Банка России. Поэтому у меня как у внутреннего контроллера нет оснований требовать от подразделений выполнения рекомендаций ЦБР в области обеспечения информационной безопасности. Т.е. намерение провести оценки используя рекомендации ЦБР уже было встречено отв-м подразделением в "штыки" - на каком основании, мы (Банк) не под чем не подписывались.
    Так как планом проверок данная проверка предусмотрена, то оценку проводить все же следует, но как и какую?

    думаю понятно выразился.

    Прокомментировать:


  • zyxelx
    Участник ответил
    очень полезная информация!

    Прокомментировать:


  • MAILHOLDER
    Участник ответил
    http://blogs.mrrlabs.asia/ там аудиторы печатаются вроде как

    Прокомментировать:


  • MAILHOLDER
    Участник ответил
    Почему то считается что аудит, проводится для проверки безопасности IT, с этим не согласен , даже ICASA и та рекомендует проводить аудит всей инфраструктуры,хотя экзамены у них смешные
    тут одно пишут что она аудиторы , я кое что скомуниздил
    http://blogs.mrrlabs.asia/

    Прокомментировать:

Обработка...
X