21 ноября, среда 00:28
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

ИТ и ИБ аудит неизвестной компании

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • ИТ и ИБ аудит неизвестной компании

    Задача - провести ИТ и следом (по пятам) ИБ аудит в неизвестной компании. Есть лишь информация: контакты, соглашение о конфе и время.

    Я когда работал в банке проверял филиалы по известным методикам + было известно, что есть, чего нет и как (где) что смотреть и чт делать.

    Задумался, с чего начать...

    1) Сервера-Роли-ПО-Версии
    2) АРМ-Роли-ПО-Версии
    3) Переходим к знакомому и очень урезаному ИБ аудиту.

    Коллеги, есть ли у кого рыбы методик по ИТ аудиту?
    (трижды обезличеные очень приветствуются)

    Ах, да, цель всего мероприятия. Посмотреть что есть, чего нет и "впарить" свои решения по ИБ и ПДн.

  • #2
    Сообщение от UzbekRus Посмотреть сообщение
    Задача - провести ИТ и следом (по пятам) ИБ аудит в неизвестной компании. Есть лишь информация: контакты, соглашение о конфе и время.

    Ах, да, цель всего мероприятия. Посмотреть что есть, чего нет и "впарить" свои решения по ИБ и ПДн.
    Значит есть две области, которые будут обследоваться при аудите
    1. ПДн
    2. Наличие и эффективность СЗ
    Вот это и проверяйте.
    Где есть ПДн - как обрабатываются и как защищаются.
    Какие СЗ установлены, насколько эфективно используются, прикрывают ли они (установленные в результате вашего всестороннего анализа ))) риски.
    Аудитом это назвать это сложно, зато задачи решит.

    Сообщение от UzbekRus Посмотреть сообщение
    1) Сервера-Роли-ПО-Версии
    2) АРМ-Роли-ПО-Версии
    Ну это уже отличное начало, только не хватает - кучи других объектов - сетевого оборудования, съёмных носителей, людей и т.п и т.д.

    Комментарий


    • #3
      Тоже участвовал в проведении аудитов ИБ.Сначала определяли профиль компании,то есть какой деятельностью занимается и соответственно к какой "группе риска" по ИБ она относится(т.е. есть ли секретка,ПДн, коммерческая тайна, банковская). Как показывает практика, наиболее интересным для аудируемой фирмы являются те активы,которые попадают под обязательную защиту.
      После этого составляли критерии аудита, достаточно детальные, согласовывали с аудируемой организацией. Запрашивали инфу о существующих процессах ИБ, то есть о тех документах которые идут в поддержку эти процессам. После анализа документации - непосредственный аудит на месте.

      Комментарий


      • #4
        uzbekrusу
        "Я когда работал в банке" - а сейчас где работаешь?

        Комментарий


        • #5
          Сообщение от UzbekRus Посмотреть сообщение
          Задача - провести ИТ и следом (по пятам) ИБ аудит в неизвестной компании. Есть лишь информация: контакты, соглашение о конфе и время.
          Это похоже на обследование, а не на аудит. Или на смесь одного с другим.

          Начните с изучения всей доступной документации.

          Для аудита нужны критерии. Их можно взять как раз из внутренних документов или из требований регуляторов и государства.

          Комментарий


          • #6
            Да. Вы правы, это должно быть обследование. Если нужно будет полнее, значит нужно:
            1) убедиться в увеличении толщины кошелька
            2) выехать для аудита.

            Комментарий

            Пользователи, просматривающие эту тему

            Свернуть

            Присутствует 1. Участников: 0, гостей: 1.

            Обработка...
            X