20 сентября, четверг 01:20
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

IT-аудита и IT-безопасность

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • IT-аудита и IT-безопасность

    День добрый.
    Очень хочется услышать мнение посетителей форума о правильном разделении ролей/функций/территории между подразделениям IT-аудита и IT-безопасности. У меня есть некоторые разногласия с коллегами на это счет. Собственно говоря на данный момент я вижу, что роли будут во многом совпадать. Те и те должны одновременно ковыряться в системах банка и давать какие-либо рекомендации по изменению ИБ или аудит должен только проводить только проверку выполнения рекомендаций выдаваемых IT-безопасностью? Мне пока пока непонятно как два подразделения смогут качественно выполнять свою работу, если не будут делать одно и тоже, а если они будут делать одно и то-же то зачем два подразделения?
    Прошу поделиться своими мыслями по этому вопросу.

  • #2
    Доброго дня.

    не могли бы вы уточнить :
    IT-аудит - это проверка текущего Уровня IT Сервиса (SLA по ITIL) на соответствие заявленному? если так, то часть проверок будет пересекаться с IT-безопасностью. А часть нет. Стоит также отметить, что IT-аудит и IT-безопасность преследуют разные цели и в своих отчетах дают ответы на разные вопросы.

    IT-безопасность - это часть ИБ, но не всё ИБ. Вы упоминаете ИБ, но далее тему не раскрываете.

    Комментарий


    • #3
      Скорее речь идет об управлении IT безопасностью по ISO 27001. Речь идет о подразделениях банка, а не о внешних организациях. В банке есть поразделение аудита, безопасности, автоматизации. Безопасность должна анализировать текущие информационные активы, выявлять угрозы, оценкой рисков, предлагать меры по их утсранению, ставить конкретные задачи автоматизации по снижению рисков. Безопасность не внедряет непосредсвенно предложенные меры. Аудит должен контроллировать факт выполнения/невыполнения всех положений политики ИБ и конкретных рекомендаций IT-безопасности, но не выносить конкретных рекомендаций.
      На практике: внутренний аудит не лезет в циску, на предмет общего анализа чего там сделано, это задача IT-безопасности. Аудит может только проверить выполнена или нет конкретная рекомендация/политика по настройке - Да/Нет, не более того.
      Пока я представляю так, но могу ошибаться.

      Комментарий


      • #4
        Безопасность ставит задачи
        Автоматизация их реализует
        проверкой рализации занимается частично Аудит и частично Безопасность

        мое мнение - Аудит здесь лишний
        поскольку Безопасность не занимается реализацией требований, она вполне может проводить аудит на соответствие

        Комментарий


        • #5
          мое мнение - Аудит здесь лишний
          поскольку Безопасность не занимается реализацией требований, она вполне может проводить аудит на соответствие


          Ну кто-то же должен оценить адекватность предложенных безопасностью мер!
          Кроме того ИТ и безопасность зачастую не всегда находят общий язык, ИТ-аудит в таком случае выполняет роль "судьи"
          А вообще, вопрос темы должен решаться в каждом конкретном случае - если ИТ-безопасность никакая, то хоть ИТ-аудит укажет на "дыры"...

          Комментарий


          • #6
            если ИТ-безопасность никакая, то хоть ИТ-аудит укажет на "дыры"...
            а если ИТ-аудит чего пропустит, то огрехи подчистит ИТ-аудит2 и т.д.

            Ну кто-то же должен оценить адекватность предложенных безопасностью мер (Hitch) - Аудит должен контроллировать факт выполнения/невыполнения всех положений политики ИБ (AlexeyK)
            не этот случай

            Комментарий


            • #7
              Есть внешний аудит

              Комментарий


              • #8
                В идеале, согласно ISO27001 адекватность предложенных мер оценивается как изменение величины риск-фактора после внедрения этих мер. Т.е есть удвержденные метрики, методики их расчета и резклтат расчета на данным момент времени. Конечно, в реале в наших краях такого идеала достич сложно, но в целом алгоритм прописан в стандарте.

                Комментарий


                • #9
                  barmalei
                  Есть внешний аудит
                  Мысль неплоха, но вопрос в том, сколько будут стоить услуги действительно компетентного внешнего аудитора, который не будет под видом аудита "втюхивать" девайсы/продукты/решения того или иного производителя-разработчика?Насколько я себе представляю, цена вопроса в таком ключе измеряется, как минимум, десятками тысяч у.е.
                  Всё в наших руках...(с)

                  Комментарий


                  • #10
                    десятками тысяч у.е.
                    В ИБ практически все измеряется в таких пропорциях.
                    Я про дествительно хорошие продукты и услуги

                    Комментарий


                    • #11
                      Сообщение от box_roller Посмотреть сообщение
                      Безопасность ставит задачи
                      Автоматизация их реализует
                      проверкой рализации занимается частично Аудит и частично Безопасность

                      мое мнение - Аудит здесь лишний
                      поскольку Безопасность не занимается реализацией требований, она вполне может проводить аудит на соответствие
                      Не согласен с таким утверждением. Отдел ИБ - исполнительный механизм, выполняющий определенные функции безопасности. Отдел ИТ - тоже исполнительный механизм. Соответственно, должен существовать контролирующий механизм, который будет оценивать, как эти механизмы со своими функциями справляются.

                      Если назначить контролирующие функции отделу ИБ, получится дисбаланс - накосячив, отдел ИБ может просто скрыть свой косяк от руководства, а это противоречит принципам внутреннего контроля. Поэтому разумнее всего назначить контролирующие функции IT-аудитору, входящему в состав СВК.

                      Разделение обязанностей между безрпасниками и IT-аудитором довольно прозрачные: безопасники определяют, какие меры безопасности нужно применять и реализуют эти меры (сами или с помощью ITшников), а аудитор оценивает достаточность этих мер.

                      При этом роли у безопасников и аудитора разные. Грубо говоря, безопасники ставят требования по безопасности и реализуют их (сами или с помощью ITшников), а аудитор - это арбитр, которому ITшники и безопасники должны доказать, что и реализованных механихмов безопасности достаточно для защиты активов.

                      Комментарий


                      • #12
                        to malotavr
                        Если назначить контролирующие функции отделу ИБ, получится дисбаланс - накосячив, отдел ИБ может просто скрыть свой косяк от руководства, а это противоречит принципам внутреннего контроля
                        AlexeyK пишет Безопасность не внедряет непосредсвенно предложенные меры
                        В данной конкретной ситуации IT-безопасность только постановщик задач, сам себя никто не проверяет. Читаем топикстартера внимательнее

                        Комментарий


                        • #13
                          Сообщение от box_roller Посмотреть сообщение
                          to malotavr
                          Если назначить контролирующие функции отделу ИБ, получится дисбаланс - накосячив, отдел ИБ может просто скрыть свой косяк от руководства, а это противоречит принципам внутреннего контроля
                          AlexeyK пишет Безопасность не внедряет непосредсвенно предложенные меры
                          В данной конкретной ситуации IT-безопасность только постановщик задач, сам себя никто не проверяет. Читаем топикстартера внимательнее
                          Я, видимо, не совсем точно выражаюсь

                          В соответствии с положением 242-П банк должен создать эффективную систему внутреннего контроля. Одна из задач системы внутреннего контроля - контроль информационных потоков, по сути - информационная безопасность. Инструментом контроля информационных потоков является отдел ИБ, но он именно инструмент, исполнительный механизм. Служба внутреннего контроля должна гарантировать, что этот инструмент функционирует эффективно.

                          У Алексея отдел ИБ ограничиваются постановкой задач (выдвигает требования по ИБ, предлагает решения). Служба внутреннего контроля должна иметь уверенность, что, например, те требования и решения, которые предлагает отдел ИБ действительно достаточны для противодействия угрозам. Если отдел ИБ сам контролирует эффективность предлагаемых им же решений, этой уверенности взяться неоткуда. Поэтому чаще всего в службу внутреннего контроля включают IT-аудиторов.

                          Комментарий


                          • #14
                            Одна из задач системы внутреннего контроля - контроль информационных потоков, по сути - информационная безопасность. - этот момент можно трактовать по разному

                            меня смущает неопределенность в распределении функций :
                            AlexeyK пишет На практике: внутренний аудит не лезет в циску, на предмет общего анализа чего там сделано, это задача IT-безопасности. Аудит может только проверить выполнена или нет конкретная рекомендация/политика по настройке - Да/Нет, не более того.. Тут либо Аудит должен все забрать себе, возможно введя в группу дополнительного специалиста, либо отдать аудит ИБ IT-безопасности. У семи нянек дитя без глазу

                            Комментарий


                            • #15
                              Вот мне и не понятно, как поделить функции, что-бы не было конфиликтов.

                              Комментарий


                              • #16
                                Допустим есть принятая в банке "Политика ИБ", которая, перед принятием, была согласована и в IT, и в ИБ, и во внутреннем аудите. ИБ и IT проводят эту политику в жизнь на основании плана внедрения этой политики, а аудит должен проверять как проводятся, или вообще проводятся ли, мероприятия по реализации политики, выдерживаются ли сроки и т.п.
                                Естественно, в аудите должен быть соответствующий специалист.

                                Комментарий

                                Пользователи, просматривающие эту тему

                                Свернуть

                                Присутствует 1. Участников: 0, гостей: 1.

                                Обработка...
                                X