16 октября, вторник 19:52
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Ведение журналов. Проверки.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Ведение журналов. Проверки.

    Добрый день уважаемые форумчане!

    Подскажите, что нужно знать при проверка IT части ЦБ? Как часто Цб может это делать? Что проверяют? На что обратить внимание? И т.д. ...

    Как правильно вести различные журналы ключей, дискет, установленных программ (сигнатура, ПТК ПСД) и т.д. и т.п.
    (честно говоря уже запутался)

  • #2
    Вот чем могу - помогу.
    Насколько я знаю:
    1 ЦБ ДОЛЖНЫ проверять комбанки не реже 1 раза в 2 года, но РЕАЛЬНО проверяют раз в 3-4 (зависит от региона и "крупности" банка).
    2 Как у нас пройдёт проверка ЦБ - поделюсь опытом (пока ждём)из опыта других:
    "Проверка ЦБ РФ безопасности в КБ, дословно из акта: "Рассмотрены документы, разработанные в Банке, имеющие непосредственное отношение к защите информации в системе "Банк-Клиент" и при обмене информацией с Банком России", далее идет список документов разработанных в нашем банке: должностные инструкции, концепции, порядки, правила, регламенты, требования.
    Далее смотрелось соответствие этих документов действующим нормативным актам ЦБ, договорам с ЦБ. Соответствие типовых договоров, соглашений с клиентами на ДБО действующим нормативным актам. Изучались договора с поставщиками/аутсорсерами способных оказать влияние на ИБ банка. Пожалуй теория на этом закончилась, если что-то не упустил конечно. Далее проверялось фактическое исполнение вышеописанных документов. Помимо уже привычных процедур проверки работы с ключевыми материалами, средствами криптозащиты и прочего, в этом году смотрели такие вещи: "прописана у вас принудительная смена пароля каждые х дней, покажите как и где это реализовано" - показываем GPO, в инструкции администратора АРМ КБР прописаны права на каталоги для пользователей - показываем права на каталоги и т.д."
    3 Примерный перечень документов обеспечению информационной безопасности коммерческого банка в соответствии с международными стандартами и требованиями ЦБ:
    1. Концепция (Политика)информационной безопасности.
    2. Положение о службе (отделе) информационной безопасности Банка.
    3. План обеспечения непрерывной работы и восстановления работоспособности банковской автоматизированной системы в кризисных ситуациях.
    4. Журнал учета нештатных ситуаций.5. Правила работы с защищаемой информацией.
    6. Положение о правах доступа к информации.
    7. План защиты информационных систем Банка.
    8. Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к информационным ресурсам Банка.
    9. Инструкция по внесению изменений в состав и конфигурацию технических и программных средств автоматизированных банковских систем.
    10. Инструкция по работе сотрудников в сети Интернет (ЛВС, е-майл)
    11. Инструкция по организации парольной защиты.
    12. Инструкция по организации антивирусной защиты.
    13. Инструкция администратора безопасности сети.
    14. Отчеты о проведенных проверках безопасности автоматизированной банковской системы.
    15. Требования к процессу разработки программного продукта.
    16. Положение о распределении прав доступа пользователей информационных банковских систем.
    17. Положение по учету, хранению и использованию носителей ключевой информации.18. Положение по резервному копированию информации.
    19. Методика проведения полного анализа и управления рисками, связанными с нарушениями информационной безопасности.
    Список, возможно, не совсем полный и не 100% корректный. К названиям документов ЦБшники строго не придираются. Жирным - то, что точно знаю ДОЛНО БЫТЬ.

    4.По поводу журналов - отдельная тема (я брал ЦБшные формы, корректировал и - ВПЕРЁД!)

    Комментарий


    • #3
      Сообщение от Casus Посмотреть сообщение
      Добрый день уважаемые форумчане!

      Подскажите, что нужно знать при проверка IT части ЦБ? Как часто Цб может это делать? Что проверяют? На что обратить внимание? И т.д. ...

      Как правильно вести различные журналы ключей, дискет, установленных программ (сигнатура, ПТК ПСД) и т.д. и т.п.
      (честно говоря уже запутался)
      Плановая проверка не чаще чем раз в два года.
      По выявленным нарушениям выписывается предписание, в котором указывается срок для устранения нарушений. По окончании этого срока возможна внеплановая проверка. При внеплановой проверке могут проверяться только меры по устранению выявленных ранее недостатков. По итогам внеплановой проверки - новое предписание и т.д до устранения недостаков или отзыва лицензии.

      Подробнее см. ФЗ N134 от 8 августа 2001 г.

      Комментарий


      • #4
        Сорри, malotavr правильно поправил:
        Плановая проверка не чаще чем раз в два года.

        Комментарий


        • #5
          Сообщение от malotavr Посмотреть сообщение
          Подробнее см. ФЗ N134 от 8 августа 2001 г.
          Так в ФЗ N134 написано:
          -----
          3. Положения настоящего Федерального закона не применяются к отношениям,
          связанным с проведением:
          налогового контроля;
          валютного контроля;
          бюджетного контроля;
          банковского и страхового надзора, а также других видов специального
          государственного контроля за деятельностью юридических лиц и
          индивидуальных предпринимателей на финансовом рынке;
          -----

          Получается в нашем случае этот закон не применим?

          Комментарий


          • #6
            Упс.
            Я на этот закон только со стороны ФСБшных проверок смотрел

            Не чаще одного раза в год по одному поводу (статья 73 закона О ЦБ) и не реже одного раза в 18 месяцев (инструкция 105-И)

            Комментарий


            • #7
              вопрос может показаться простым, но все таки:
              в соответствии со всеми положениями и договорами с ЦБ налажен обмен сообщениями, открыт корсчет и т.п. Требуется вести различные журналы (журнал учета печатей, ключевых носителей и др..) Может кто поделится инфой по точному количеству журналов и методике их ведения? Интересна в частности Свердловская область.

              Комментарий

              Пользователи, просматривающие эту тему

              Свернуть

              Присутствует 1. Участников: 0, гостей: 1.

              Обработка...
              X