26 февраля, пятница 15:14
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Уточняющие вопросы при проведении аудита

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Уточняющие вопросы при проведении аудита

    Доброго всем времени суток!
    У меня сейчас возникла такая запарка: мне необходимо провести аудит, следую методике проведения оценки соответствия (СТО БР ИББС 1.2-2010), а вот каким образом применять дополнительные и уточняющие вопросы, не могу сообразить! Поделитеь пожалйста советами!

  • #2
    Сообщение от CA$PER Посмотреть сообщение
    Доброго всем времени суток!
    У меня сейчас возникла такая запарка: мне необходимо провести аудит, следую методике проведения оценки соответствия (СТО БР ИББС 1.2-2010), а вот каким образом применять дополнительные и уточняющие вопросы, не могу сообразить! Поделитеь пожалйста советами!
    Забей на них

    Комментарий


    • #3
      Сообщение от Berckut Посмотреть сообщение
      Забей на них
      +1

      Комментарий


      • #4
        Мда.... не густо...

        Комментарий


        • #5
          Сообщение от CA$PER Посмотреть сообщение
          Доброго всем времени суток!
          У меня сейчас возникла такая запарка: мне необходимо провести аудит, следую методике проведения оценки соответствия (СТО БР ИББС 1.2-2010), а вот каким образом применять дополнительные и уточняющие вопросы, не могу сообразить! Поделитеь пожалйста советами!
          Какая конкретно проблема с уточняющими вопросами? берете их из приложения СТО в чистом виде и отвечаете на них, далее нужно результаты оценки этих вопросов учитывать в результатах оценки частных критериев. Смотри подробнее в ветке Практическая реализация - проводим самооценку по СТО.

          Комментарий


          • #6
            Общие подход получается такой:
            1. Провести анализ актуальности требований вопросов Приложения В для деятельности Банка. Выделить неоцениваемые вопросы Приложения В (выставляется оценка «1») и документально оформить основания признания каждого вопроса неоцениваемым (не относится к деятельности организации, не является актуальным для организации) - (СТО БР ИББС-1.2-2010, п.10.5)

            2. Провести оценивание всех актуальных вопросов Приложения В, документально оформить результаты оценивания, в том числе путем составления листов сбора свидетельств аудита (СТО БР ИББС-1.2-2010, п.10.4)

            3. На основе приложения В составить списки актуальных уточняющих вопросов по ПДн для каждого частного показателя, указанного в приложении В, и провести их оценивание согласно критериям таблицы 7 СТО БР ИББС-1.2. (СТО БР ИББС-1.2-2010, п.п.10.2, 10.4)

            4. При оценивании частных показателей учитывать полученные оценки степени выполнения требований по ПДн в рамках ЧП на основе списков уточняющих вопросов, например так: "Оценка частного показателя не может быть больше оценки степени выполнения требований по ПДн в рамках данного частного показателя" – Приложение В играет роль понижающего фактора.

            Что-то типа того реализовано в ПО НПФ Кристалл по проведению самооценок и аудитов ИБ.

            А вообще в СТО БР ИББС-1.2 учет приложения В прописан очень криво.

            Комментарий


            • #7
              А вообще в СТО БР ИББС-1.2 учет приложения В прописан очень криво.
              От чего и последовал первый ответ в теме, такого содержания:
              Забей на них

              Комментарий


              • #8
                Сообщение от Sec Посмотреть сообщение
                Что-то типа того реализовано в ПО НПФ Кристалл по проведению самооценок и аудитов ИБ.
                .
                Софт Кристалла сделан достаточно криво. Логика работы программы не дает тебе оценить частный показатель выше чем минимальное значение соответствующих уточняющих вопросов. При количестве уточняющих вопросов более 10, все становится совсем грустно.

                если вспомнить еще, что некоторые уточняющие вопросы по смыслу совсем в молоко уходят - точно плакать захочется

                Комментарий


                • #9
                  Сообщение от Sec Посмотреть сообщение
                  Общие подход получается такой:
                  ...
                  3. На основе приложения В составить списки актуальных уточняющих вопросов по ПДн для каждого частного показателя, указанного в приложении В, и провести их оценивание согласно критериям таблицы 7 СТО БР ИББС-1.2. (СТО БР ИББС-1.2-2010, п.п.10.2, 10.4)
                  Оценивание уточняющих вопросов -
                  — “Выполняется в полном объеме”;
                  — “Выполняется не в полном объеме”;
                  — “Не выполняется”.
                  а на осноании таблицы 7 оцениваются частные показатели, таким образом получается если на частный показатель не влияет уточняющий вопрос то оцениваем мы его по степени документир. или по степени выполнения или по тому и по тому в зависимости от сути поставленного вопроса. Если влияют уточняющие вопросы то по таблице 7, но опять же она носит рекомендательный характер.

                  Комментарий


                  • #10
                    1. Из всего множества вопросов Приложения В выберем те вопросы, которые связаны с нашими ИСПДн (подскажу - Все: 1-13; ИСПДн-И(Б,С): 14-22, 29; ИСПДн-Б: 23; ИСПДн-С: 24-28, 30-34).
                    2. Далее начинаем оценку. Дойдя до частного показателя, указанного в Таблице 1 Приложения В, выписываем все вопросы Приложения В, влияющие на данный частный показатель с учетом типов ИСПДн (см. п.1).
                    3а. Оцениваем степень документированности требований: Смотря на все выписанные вопросы, решим, что:
                    а) требования всех выписанных вопросов установлены полностью в документах организации;
                    б) требования всех выписанных вопросов частично установлены в документах организации;
                    в) требования всех выписанных вопросов не установлены в документах организации.
                    3б. Оценим степень выполнения требований. Смотря на все выписанные вопросы, решим, что:
                    а) требования всех выписанных вопросов выполняются в полном объеме;
                    б) требования всех выписанных вопросов выполняются частично;
                    в) требования всех выписанных вопросов не выполняются.
                    4. Перейдем к оценке частного показателя. Прочитав вопрос, подготовив ответ, оценим степень документированности частного показателя не выше степени документированности всех уточняющих вопросов из п.3а, оценим степень выполнения требований частного показателя не выше степени выполнения п.3б.
                    5. Идем дальше, пока не наткнемся на следующий частный показатель, указанный в Таблице 1. Далее снова идём на п.2.

                    взято отсюда http://leetsoftru.blogspot.com/2011/04/12.html . там есть пример.

                    Комментарий


                    • #11
                      "Кто может помогите, кто может помогите" - цитата из мультфильма "Тайна 3ей Планеты". А дело в том, что необходима информация о минимальном составе, численности, квалификации сотрудников подразделения занимающегося аудитом ИБ. Конечно идет речь о создании такого подразделения с нуля, а уменя нет понятия: Кто должен в ходить в команду, какими сертификатыми он(они) должны обладать, дополнительные "подводные камни", чтобы "начать предоставлЯть клиентам услугу" по аудиту информационной безопасности.
                      Если у кого есть информация подобного рода, то подскажите.

                      Комментарий


                      • #12
                        Сообщение от Sec Посмотреть сообщение
                        Что-то типа того реализовано в ПО НПФ Кристалл по проведению самооценок и аудитов ИБ.
                        кстати софт Кристалла требует SQL Server 2000. Т.ч. плюсуйте еще 30 тыщ к стоимости программы и забудьте о Windows Vista/7/2008..

                        Комментарий


                        • #13
                          Сообщение от l33t Посмотреть сообщение
                          кстати софт Кристалла требует SQL Server 2000. Т.ч. плюсуйте еще 30 тыщ к стоимости программы и забудьте о Windows Vista/7/2008..
                          Недавно тестировал, тоже могу подтвердить, что очень неудобно специально под этот инструмент ставить устаревшие ОС и СУБД. Причем с MSDE она отказывается работать. Ещё несколько недостатков этот системы описал тут http://sborisov.blogspot.com/2011/05/2_31.html

                          Комментарий


                          • #14
                            Сообщение от l33t Посмотреть сообщение
                            Софт Кристалла сделан достаточно криво. Логика работы программы не дает тебе оценить частный показатель выше чем минимальное значение соответствующих уточняющих вопросов. При количестве уточняющих вопросов более 10, все становится совсем грустно.
                            Однако на сей день это пока единственный софт в котором есть автоматизация учета оценок Приложения В, пусть и сильно занижающая оценки.
                            Я не фанат этой программы, но это несомненный ее плюс.

                            Комментарий


                            • #15
                              Коллеги, насколько я знаю, есть еще программное средство от компании PACIFICA http://www.pacifica.ru/product/ExactFlow/eval_soft.php. Мы у себя использовали данное средство. Вопрос о применении дополнительных вопросов из приложения В они у себя реализовали.

                              Комментарий


                              • #16
                                Сообщение от l33t Посмотреть сообщение
                                кстати софт Кристалла требует SQL Server 2000. Т.ч. плюсуйте еще 30 тыщ к стоимости программы и забудьте о Windows Vista/7/2008..
                                По словам разработчиков, Estimate tools может работать и на MS SQL Server 2005 Express Edition и выше, что снимает указанные выше ограничения.
                                Прошу прощения если ввел кого-либо в заблуждение. Информация была основана только на собственном опыте.

                                Комментарий

                                Обработка...
                                X