29 ноября, воскресенье 11:21
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Методические материалы\помощь по внешнему аудиту Банков по СТО БР и П-382

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Методические материалы\помощь по внешнему аудиту Банков по СТО БР и П-382

    Добрый день, уважаемые знатоки!

    Прошу вашей помощи по методическим вопросам относящимся к проведению аудита по требованиям СТО БИ ИББС-2014 и П-382.

    Буду благодарен за любую помощь, советы, ссылки\материалы.

    Исходные данные:

    Работаю в консалтинговой компании оказывающей преимущественно услуги консалтингово характера и внешнего финансового аудита (в рамках которого так же проводится аудит финансово значимых ИТ-систем клиента). Есть желание развить линейку продуктов по ИБ в компании. Для этого пилотным проектом организуем проведение вешнего аудита для Банков (наших клиентов) по требованиям ИБ от Банка России СТО БР ИББС-2014 и Постановления П-382 (ФЗ-161 О НПС).
    В прошлом есть опыт работы в ИБ отделе небольшого регионального Банка. Но сравнивать его с титанами вроде Сбера, ВТБ, РосСельхоза, Юниаструма и т.д. не корректно. Поэтому прошу, дорогие форумчане, помощи в методических вопросах.

    И так, список вопросов:

    1. Есть ли у кого-нибудь типовая форма отчета (для руководства), которую компания аудитор, предоставляет заказчику по результатам проведения аудита на соответствие СТО БИ или П-382.

    Хотя бы видеть структуру отчета, оглавление, базовые блоки, понимать объем в листах и т.д.

    2. На сколько знаю отчет о самооценке отправляется в ЦБ в виде формы, которая указана в РС БР ИББС 2.1 2007, Приложение А. «Форма листов для сбора свидетельств самооценки информационной безопасности». Там всего 5 столбцов.

    А подойдет ли такая форма для отчета при внешнем аудите? Может ли кто-нибудь поделиться образцом заполненной формы?

    3. Вопрос тот же самый что в предыдущем пункте, но относится уже к форме отчетности по П-382. Насколько знаю по П-382 необходимо заполнять два отчета, они прописаны в УКАЗАНИИ от 9 июня 2012 г. N 2831-У – формы 0403202 (ЗИ) и 0403203 (Инциденты).

    Есть у кого-нибудь образец заполненной формы?

    4. При формировании списка работ необходимо какие информационные системы (ИС) в Банке будут попадать под требования СТО БР и П-382? К примеру, в банке может быть две сотни ИС, но нам нужно проверить на соответствие только конкретные. На ум приходят сразу АБС, АРМ КБР (ТПК ПСД), НБКИ, Комита – вобщем все специфические, которые присуще только Банку и в которых протекают бизнес-процессы подпадающие под требования защиты.

    Нужен конкретный перечень ИС которые нужно проверить. Проблема как его сформировать? Весь та же АБС может распадаться на фронт-енд и бэк-энд, системы типо SAP состоять из 3-звенной архитектуры (терминал, сервер приложений, СУБД). Какие компоненты тогда проверять на соответствие безопасности?

    Есть ли у кого-нибудь хотя бы ориентировочный список таких ИС в Банке на которые нужно обратить внимание при тестировании выполнения требований СТО БР и П-382?

    5. В СТО БР выдвигаются требования к тем или иным процессам в ИС – должен быть мониторинг событий ИБ, установлен антивирус, SIEM, IDS\IPS, PUM и т.д. Но в стандарте не написано, как именно проводить тестирование? Как убедиться в том, что реально в системе, к примеру, реализовано требование по разделению полномочий, или как проверить выполняется ли обеспечение ИБ на стадиях ЖЦ АБС, или обеспечение ИБ банковских информационных технологических процессов. Что стоит за этими формулировками?
    Может ли кто-нибудь поделиться методиками того как по факту проводить тестирование (сбор аудиторских доказательств) технических ИС Банка на выполнение требований СТО БР и П-382?


    Всем спасибо, жду комментариев!

  • #2
    Сообщение от Алексей Володин Посмотреть сообщение
    5. В СТО БР выдвигаются требования к тем или иным процессам в ИС – должен быть мониторинг событий ИБ, установлен антивирус, SIEM, IDS\IPS, PUM и т.д. Но в стандарте не написано, как именно проводить тестирование? Как убедиться в том, что реально в системе, к примеру, реализовано требование по разделению полномочий, или как проверить выполняется ли обеспечение ИБ на стадиях ЖЦ АБС, или обеспечение ИБ банковских информационных технологических процессов. Что стоит за этими формулировками?
    Читаешь такие сообщения, и становится страшно жить. Так вот обратишься к врачу с серьезным заболеванием, а потом выяснится, что он на профессиональном форуме выяснял: "Пацаны, объясните по-быстренькому, как рак лечится".

    Комментарий


    • #3
      Сообщение от malotavr Посмотреть сообщение
      Читаешь такие сообщения, и становится страшно жить. Так вот обратишься к врачу с серьезным заболеванием, а потом выяснится, что он на профессиональном форуме выяснял: "Пацаны, объясните по-быстренькому, как рак лечится".
      А если без издевок и подколов? Просто попробовать помочь, подсказать где что посмотреть? Я ведь не скрываю что проекты пилотные, только готовимся к ним, спрашиваем старших коллег и знатоков кто уже давно в "этой теме".

      Что касается п.5 то вопрос не в том как именно проверить ту или иную систему ИБ, а как найти формально описание тестирования, какую методику использовать. Ведь каждый эксперт может сам исходя из своих знаний и опыта тестировать, но это все "отсебятина", методы не формальные. ЦБ нужны бумажки, ссылки, базу на основании чего и как делал.
      Потому и спрашиваю, быть может кто из коллег поделится хотя бы набросками

      Комментарий


      • #4
        Как же без издёвок, если даже сама постановка вопросов говорит о компетентности.
        Я, как заказчик. при проведении аудита хочу понимать, где у меня что-то реально недоделано, где что-то можно улучшить. Поэтому аудитор должен как минимум не хуже меня разбираться в теме. А тут... какую бумажку надо, да покажите заполненную, да дайте список, что проверять... Вы ж даже минимальную нормативку как следует не прочитали или не поняли.
        Идите поработайте к специалистам или в большой банк, наберитесь опыта и после уже идите в аудиторы.

        Комментарий


        • #5
          На самом деле вопрос действительно актуальный , и хотелось бы услышать ответы на вопросы , который задал товарищ Володин .
          Я в своей деятельности сталкивался со стандратами СТО-БР и с персональными данными , и хотел бы знать какие системы оценивают при аудите.

          Если тут , кто знает , ответьте пожалуйста.
          Если не знаете , не нужно писать негативные коментарии , либо пишите по делу , либо отправляйте ссылки, либо просто молча дальше

          Комментарий


          • #6
            Сообщение от Montana Посмотреть сообщение
            На самом деле вопрос действительно актуальный , и хотелось бы услышать ответы на вопросы , который задал товарищ Володин .
            Я в своей деятельности сталкивался со стандратами СТО-БР и с персональными данными , и хотел бы знать какие системы оценивают при аудите.

            Если тут , кто знает , ответьте пожалуйста.
            Если не знаете , не нужно писать негативные коментарии , либо пишите по делу , либо отправляйте ссылки, либо просто молча дальше
            Товарищ Володин фактически просит предоставить ему образец чужой оплаченной работы, чтобы заработать на этом денег.
            Ещё он какого-то лешего просит предоставить ему образцы заполнения никак не касающейся его отчётности банков (которая вообще может заполняться только в электронном виде).
            Указание на НБКИ и (особенно!) Комиту, как "специфически банковские системы" вызывают некоторую оторопь (как и отнесение только систем "типо SAP" к трёхзвенным).
            И это пишет человек "с опытом работы в ИБ банка".

            На этом фоне требование только что зарегистрировавшегося товарища Монтаны не писать негативных комментариев несомненно адекватно.

            Комментарий


            • #7
              Сообщение от Montana Посмотреть сообщение
              На самом деле вопрос действительно актуальный , и хотелось бы услышать ответы на вопросы , который задал товарищ Володин .
              Я в своей деятельности сталкивался со стандратами СТО-БР и с персональными данными , и хотел бы знать какие системы оценивают при аудите.

              Если тут , кто знает , ответьте пожалуйста.
              Если не знаете , не нужно писать негативные коментарии , либо пишите по делу , либо отправляйте ссылки, либо просто молча дальше
              Ну звиняйте, каков вопрос, таков и ответ.
              Ваш вопрос короткий, на него ответить просто: зависит от того, на что проверяют.

              Если это проверка выполнения 382-П, то проверяют только системы, участвующие в платежном процессе. Если сам банк не может их явно указать, тогда берете описание технологического процесса проведения платежа (с момента формирования платежки операционистом или в банк-клиенте и до отправки платежа в ЦБ) и смотрите, по каким системам платеж проходит. каждая такая система проверяется полностью.

              Если это проверка выполнения РСки по жизненному циклу, то она распространяется на все информационные системы банка без исключения (РСка "антихакерская", а тот же банк-клиент ломают не только через его собственную морду, но и через какой-нибудь контроллер системы видеонаблюдения, который криворукие инженеры воткнули в ту же сеть).

              А ответ на вопрос товарища Володина очень прост: аудит ИБ - это всегда субъективная оценка, которую эксперт делает на основе собственных знаний и опыта. Поэтому такой аудит должен проводить человек, досконально разбирающийся в предметной области. Поэтому заявка "я тут ща быстренько с финансового аудита переключусь на аудит ИБ, помогите" вызывает\, мягко говоря, неодобрение

              Комментарий


              • #8
                Сообщение от malotavr Посмотреть сообщение
                Если это проверка выполнения 382-П, то проверяют только системы, участвующие в платежном процессе. Если сам банк не может их явно указать, тогда берете описание технологического процесса проведения платежа (с момента формирования платежки операционистом или в банк-клиенте и до отправки платежа в ЦБ) и смотрите, по каким системам платеж проходит. каждая такая система проверяется полностью.
                Могу только присоединиться.
                382-П как полностью называется? "... при осуществлении переводов денежных средств". Соответственно, вот они, границы.
                Другой вопрос, что информационные системы (ИС) можно нарезать с какой угодно точностью, количество может быть сильно разным. От 1 "АБС банка" до отдельных модулей программного комплекса (до бесконечности, в общем).
                Так что всё зависит от того, как в банке границы ИС определены.

                Комментарий


                • #9
                  Алексей,
                  Вы вопросов назадавали, как минимум, на пару недельных учебных курсов по информационной безопасности.
                  Мне представляется, что для Вас и для Вашей компании самый оптимальный вариант оперативно пройти обучение в одном из учебных центров.
                  Повысите свою капитализацию)))

                  ЗЫ: а вот интересно, вопрос к аудитории, насколько обязательна лицензия ФСТЭК для компании, занимающейся аудитом по ИБ?
                  Последний раз редактировалось saches; 08.09.2016, 10:17.

                  Комментарий


                  • #10
                    Сообщение от saches Посмотреть сообщение
                    ЗЫ: а вот интересно, вопрос к аудитории, насколько обязательна лицензия ФСТЭК для компании, занимающейся аудитом по ИБ?
                    Когда в апреле этот вопрос задали мне во ФСТЭК, я выпал в осадок Оказывается, считается, что для таких услуг лицензия не нужна, но есть мнение, что зря. Прежде, чем уточнять нормативку, товарищи решили поинтересоваться и мнением рынка на этот счет. Мое мнение - нужна, должен же быть хоть какой-то фильтр на входе на этот рынок

                    Комментарий


                    • #11
                      Сообщение от Useless Посмотреть сообщение
                      Товарищ Володин фактически просит предоставить ему образец чужой оплаченной работы, чтобы заработать на этом денег..
                      Не результаты чужой оплаченной работы. А методическую помощь от более опытных коллег.
                      Просто хотя бы образцы, шаблоны или структуру документа. Все оебзличенное без конфиденциальной информации. И не халява, уважаемые форумчане.

                      Всем кто может помочь пишите в личку. Вознаграждение 500 USD.

                      Комментарий


                      • #12
                        Сообщение от malotavr Посмотреть сообщение
                        Мое мнение - нужна.....
                        Абсолютно согласен.
                        По результатам аудита, выдается заключение с рекомендациями, а то и с полным комплектов документов по самооценке и т.д.
                        А какие могут быть рекомендации по ИБ в рамках лицензируемой деятельности при отсутствии лицензии?
                        Т.е., руководители компании (ген.дир. + гл.бух.) легко могут попасть под ст. 171 УК РФ "Незаконное предпринимательство..." (если не ошибаюсь).
                        Алексей, оно Вам надо?(это бесплатно )

                        зы: хотя, статья 171 УК РФ в новой редакции предусмотрела освобождение от уголовной ответственности, если деяние совершено в первый раз, гражданин не имеет судимостей и возместил весь причиненный ущерб либо добровольно обратил доход в пользу государства....
                        Последний раз редактировалось saches; 08.09.2016, 14:28.

                        Комментарий


                        • #13
                          Сообщение от Алексей Володин Посмотреть сообщение
                          Не результаты чужой оплаченной работы. А методическую помощь от более опытных коллег.
                          Просто хотя бы образцы, шаблоны или структуру документа. Все оебзличенное без конфиденциальной информации. И не халява, уважаемые форумчане.
                          Всем кто может помочь пишите в личку. Вознаграждение 500 USD.
                          Послушайте, почему Вы действительно не хотите пойти поучиться или хотя бы почитать документы? Какая может быть методическая помощь, если Вы не разбираетесь в самых азах, если даже нормативку ЦБ не прочитали?
                          Вот смотрите:
                          Сообщение от Алексей Володин Посмотреть сообщение
                          1. Есть ли у кого-нибудь типовая форма отчета (для руководства), которую компания аудитор, предоставляет заказчику по результатам проведения аудита на соответствие СТО БИ или П-382.
                          Хотя бы видеть структуру отчета, оглавление, базовые блоки, понимать объем в листах и т.д.
                          ЦБ для таких вот аудиторов совершенно бесплатно разработал СТО БР 1.1-2007 "Аудит ИБ", где просто по пунктам изложил все этапы аудита и даже привёл примерную структуру отчёта. И как вообще можно ставить вопрос про примерный объём в листах, если все банки разные и объём информации в отчётах может быть совершенно несопоставим.

                          Сообщение от Алексей Володин Посмотреть сообщение
                          2. На сколько знаю отчет о самооценке отправляется в ЦБ в виде формы, которая указана в РС БР ИББС 2.1 2007, Приложение А. «Форма листов для сбора свидетельств самооценки информационной безопасности». Там всего 5 столбцов.
                          А подойдет ли такая форма для отчета при внешнем аудите? Может ли кто-нибудь поделиться образцом заполненной формы?
                          Очень плохо Вы знаете. И скорее всего, даже не занимались самооценкой в банке, если не понимаете, что такое Листы для сбора свидетельств. И наверно даже ни разу не отправляли ничего в ЦБ. Потому что отчёт отправляется в соответствии с СТО БР 1.2-2014. И столбцов там гораздо больше, чем 5 - почитайте на досуге, очень познавательно.

                          Сообщение от Алексей Володин Посмотреть сообщение
                          3. Вопрос тот же самый что в предыдущем пункте, но относится уже к форме отчетности по П-382. Насколько знаю по П-382 необходимо заполнять два отчета, они прописаны в УКАЗАНИИ от 9 июня 2012 г. N 2831-У – формы 0403202 (ЗИ) и 0403203 (Инциденты).
                          Есть у кого-нибудь образец заполненной формы?
                          Не поверите, но у 100% банков есть образец заполненной формы. Если почитаете нормативку, то даже поймёте - почему.
                          Что касается 202 формы, то там все вопросы написаны, как раз проверяющий (аудитор) и должен дать ответы на эти вопросы.
                          А насчёт 203 формы - так это вообще личное дело банка и никаких аудиторов совершенно не касается.

                          И вообще, прежде чем вопросы задавать, ну хотя бы МИНИМУМ из документов ЦБ почитайте уже...

                          Комментарий


                          • #14
                            Алексей, у меня для вас плохие новости.

                            Во-первых, проверки бывают для галочки (чтобы показать выполнение требований) и для реального выявления и закрытия проблем. Если вы захотите провести аудит по "второй" схеме, то вам придётся сменить имя. Лично я бы проведение аудита вам доверил только за бесплатно. Так сказать, баш на баш, и мы может чего-то получим, и вы может чему-то научитесь. Кстати, это не самая плохая идея и, например, с нормальными студентами-практикантами она находит полное взаимопонимание.

                            Во-вторых, никакой образец отчёта вам не поможет. У всех они будут разными, а в большинстве случае ИБэшники вообще используют форму, которую ввёл у себя СВК. Это из-за того, что часто к проверке приходится привлекать их, иначе служба ИБ будет проверять сама себя, а по понятиям ЦБ это не по феншую. Кстати, именно из-за этого, в последнее время, службы ИБ переходят от отчётов к справкам, потому что отчёт надо утверждать, а со справкой только ознакамливать. Содержание же отчёта вообще напрямую зависит от проверяемой деятельности и отчёт по проверке системы антивирусного контроля будет абсолютно отличаться от отчёта по проверке выполнения мер по резервному копированию.

                            В третьим, сделайте проще! Найдите признанную на рынке контору и заключите с ними договор на проведение какого-нить аудита защищённости у вас. Например, по линии тех же персональных данных. Они вам и образец отчёта в виде самого отчёта дадут, и заодно посмотрите, как это надо делать.

                            Комментарий


                            • #15
                              Сообщение от malotavr Посмотреть сообщение
                              Когда в апреле этот вопрос задали мне во ФСТЭК, я выпал в осадок Оказывается, считается, что для таких услуг лицензия не нужна, но есть мнение, что зря. Прежде, чем уточнять нормативку, товарищи решили поинтересоваться и мнением рынка на этот счет. Мое мнение - нужна, должен же быть хоть какой-то фильтр на входе на этот рынок
                              У нас ЦБ регулярно это доказывает. Ещё ни разу среди проверяющих сферу ИБ не было человека, хорошо разбирающего хотя бы в ИТ. В результате порой получаем абсолютно идиотские запросы и готовим им не менее идиотские ответы

                              Комментарий

                              Обработка...
                              X