22 сентября, суббота 17:50
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Аудит Информационной безопасности

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Аудит Информационной безопасности

    Коллеги, начитавшись разных заумных бумажек и напугав ими свое начальство, я встал перед задачей проведения аудита ИБ в своем банке.
    "Ха!" - скажут некоторые, "так есть же уйма контор, которые этот самый аудит за деньги делает!".
    "Да, есть",- отвечу я. Но во-первых, я не знаю как конторы его делают, я не доверяю никому.
    Да и во-вторых, все это денег стоит и не малых.

    Вот я и решил проделать этот аудит самостоятельно, но чтоб был он не хуже того, что лавки делают.

    В связи с этим вопросы:
    1) а какие есть методики проведения такого аудита и где их нарыть?
    2) каким софтом целесообразно воспользоваться чтоб понять что у меня не сообвествует всяким стандартам.
    3) если все же нанимать кого-то на стороне, чего они мне дадут-то взамен денег? Как хоть выглядит отчет от проведения такого аудита, а то может там байда всякая понаписана?

    Заранее признателен!

  • #2
    Berrimor,
    Стандарт ЦБ РФ СТО БР ИББС-1.1-2007 Аудит информационной безопасности
    Стандарт ЦБ РФ СТО БР ИББС-1.2-2007 Методика оценки соответствия
    Чем больше связей, тем меньше степеней свободы.

    Комментарий


    • #3
      1) У ЦБ есть методика. Можете найти в теме - Эти стандарты должен знать каждый специалист по ИБ!
      2) Есть софт от DigitalSecurity Кондор и Гриф, не имеющих аналогов. Они опираются на стандарты ISO 17799:2005 и ISO 27001
      По ИББС есть софт http://abiss.ru/introduction/
      3) Если по ИББС, то - http://www.cbr.ru/credit/Gubzi_docs/main.asp?Prtid=Res

      Комментарий


      • #4
        Berrimor
        Вопрос исключительно масштабности организации
        В некоторых случаях (с одобрения руководства) всё же проще привлечь "лавочников"...
        barmalei
        "Гриф" и "Кондор", imho, всё же больше направлены на нормативно-правовой анализ, пентест всё равно придётся проводить ручками...
        Всё в наших руках...(с)

        Комментарий


        • #5
          Сообщение от Berrimor Посмотреть сообщение
          В связи с этим вопросы:
          1) а какие есть методики проведения такого аудита и где их нарыть?
          2) каким софтом целесообразно воспользоваться чтоб понять что у меня не сообвествует всяким стандартам.
          3) если все же нанимать кого-то на стороне, чего они мне дадут-то взамен денег? Как хоть выглядит отчет от проведения такого аудита, а то может там байда всякая понаписана?
          1. Методики проведения аудита - СТО ИББС плюс методические рекомендации ЦБ по проведению инспекционных проверок (там есть крохотный кусочек, касаемый ИБ). Ничего полее подробного не видел
          2. Софт... Вы можете воспользоваться чем-нибудь вроде CRAMM toolkit, но не думаю, что это целесообразно. Такой софт нужно затачивать под собственные бизнес-процессы, а для этого нужно для начала уметь проводить аудит без софта Он только облегчает некоторые рутинные операции, но не делает за вас работу.
          3. По-разному. Я проводил аудит одного крупного московского процессинга через месяц после того, как их Информзащита проверяла. Их безопасник нервно вздрагивал, когда их вспоминал - ребята сунули носы, куда только можно. Умудрились найти много мелких, но неприятных вещей. Та же информзащита в аналогичных проектах, но в другое время и у других заказчиков умудрялась выдавать абсолютно пустой отчет.

          Это характерно не только для них, но и для большинства других контор. Так что, если хотите внешний аудит - ориентируйтесь на список консультантов-кандидатов ABISS и очень четко формулируйте критерии приемки работ.

          P.S. Внутренний и внешний аудит друг друга не заменяют. Внутренний - это ваша обязанность, внешний - демонстрация соответствия (чаще всего). Его стоит проводить тогда, когда вы сами уже все недостатки устранили, и вам нужно подтверждение. Иначе вы получите просто список самых очевидных недостатков, которые и так вам известны.

          Комментарий


          • #6
            Это не отчет об аудите, это заключение по его результатам.

            Комментарий


            • #7
              Сообщение от Berrimor Посмотреть сообщение
              Вот я и решил проделать этот аудит самостоятельно, но чтоб был он не хуже того, что лавки делают.
              Не зная ничего, делать не хуже чем те, кто знает всё... хм
              Удачи

              мои 5 коп
              iso 19011 - Рекомендации по аудиту.... bsi его рекомендуют применять для аудита СУИБ.

              Комментарий


              • #8
                Сообщение от box_roller Посмотреть сообщение
                Не зная ничего, делать не хуже чем те, кто знает всё... хм
                Удачи
                Я разве написал, что НИЧЕГО НЕ ЗНАЮ? У Вас галлюцинация.
                Я закончил те же курсы у тех же преподов, что и аудиторы.

                Это во-первых.
                Во-вторых, нет ничего такого, чему нельзя было бы научиться.
                Да, аудит я не делал. Значит, надо этому научиться, поэтому я и задаю вопросы.

                Сообщение от box_roller Посмотреть сообщение
                мои 5 коп
                iso 19011 - Рекомендации по аудиту.... bsi его рекомендуют применять для аудита СУИБ.
                Спасибо!
                И вообще всем спасибо за участие.
                Буду признателен если поделитесь еще какой-ли полезной инфой по аудиту ИБ.

                Комментарий


                • #9
                  Сообщение от Berrimor Посмотреть сообщение
                  Я разве написал, что НИЧЕГО НЕ ЗНАЮ? У Вас галлюцинация.
                  Она самая . Вся моя жизнь - галлюцинация. Тем и живу, оттого и радуюсь.

                  Сообщение от Berrimor Посмотреть сообщение
                  Я закончил те же курсы у тех же преподов, что и аудиторы.
                  Это во-первых.
                  Во-вторых, нет ничего такого, чему нельзя было бы научиться.
                  Да, аудит я не делал. Значит, надо этому научиться, поэтому я и задаю вопросы.
                  Моё мнение:
                  За один день работы с опытным аудитором (ходя за ним и смотря что и как он делает), можно получить больше информации, чем на любых курсах. Сила аудитора в его практическом опыте.


                  Сообщение от Berrimor Посмотреть сообщение
                  Спасибо!
                  И вообще всем спасибо за участие.
                  Буду признателен если поделитесь еще какой-ли полезной инфой по аудиту ИБ.
                  Есть ещё книга: "Аудит ИБ". http://www.ozon.ru/context/detail/id/3163653/
                  В сети есть её free скан . Выложен там же, где и стандарты.

                  Комментарий


                  • #10
                    Сообщение от box_roller Посмотреть сообщение
                    Она самая . Есть ещё книга: "Аудит ИБ". http://www.ozon.ru/context/detail/id/3163653/
                    В сети есть её free скан . Выложен там же, где и стандарты.
                    Книгу в интернет-магазинах я видел, а вот скан ее что-то не нашел. Может быть она там под видом стандартов?

                    Комментарий


                    • #11
                      Сообщение от Berrimor Посмотреть сообщение
                      Книгу в интернет-магазинах я видел, а вот скан ее что-то не нашел. Может быть она там под видом стандартов?
                      Обрати внимание на ссылку:
                      http://netzor.org/2007/10/01/audit-i...opasnosti.html

                      Комментарий

                      Пользователи, просматривающие эту тему

                      Свернуть

                      Присутствует 1. Участников: 0, гостей: 1.

                      Обработка...
                      X