1 / 11

Информационная безопасность в банковской сфере

Аудит информационной безопасности банка. О проекте Стандарта СТО БР ИББС – 1.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности».

mariko
Download Presentation

Информационная безопасность в банковской сфере

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Аудит информационной безопасности банка. О проекте Стандарта СТО БР ИББС – 1.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» IT-Security Forum: «Ключевые шаги на пути к построению эффективной и защищенной ИТ-инфраструктуры» Информационная безопасность в банковской сфере АНДРЕЙ ДРОЗДОВ CISM, CISA Старший менеджер KPMG, Вице-президент Российского отделения ISACA г.Казань, 1 июня 2007 г.

  2. Содержание • Что такое аудит • Цели аудита ИБ • Основные стандарты аудита • Требования к аудиторамИБ (EA 7/03) • Стандарт аудита ИБ Банка России • Вопросы?

  3. Что такое аудит? • История вопроса • Аудит проверка соответствия норм и правилам на соответствие стандартам • Финансовый аудит • Аудит систем менеджмента • Стандарты и методологии аудита ИБ

  4. Цели аудита ИБ • Соответствие бизнес-целям компании • Совершенствование ISMS • Требования законодательства и регулирующих органов (242-п, SOX) • Требования клиентов и деловых партнеров (SAS70, ISO 27001, TrustServices, )

  5. Кто проводит мониторинг и аудит ИБ? Регулирующие органыЦБ РФ, ФКЦБ Акционеры Правление Внешнийаудит СлужбаВнутреннего контроля Платежные системы • Формирование общих требований к ИТ и ИБ • Аудит соблюдения требований, политик,планов,процедур СлужбаИТ СлужбаИБ Органы стандартизации (национальные и международные) • Политики ИБ • Мониторинг ИБ • Реакция на инциденты • Процедуры • Поддержка ИТ • Администрирование

  6. Методология и стандарты • Стандарт Банка России • Стандарт по Аудиту Банка России • Сobit (в особенности DS4, DS5) • Международные стандарты общего аудита • Закон РФ об аудите • ISO/IEC 27001:2005 ISMS - Requirements (revised version of BS 7799-2:2002 Information security management systems – specification with guidance for use.) • ISO 9001:2000 Quality Management Systems – Requirements • ISO 19011:2002, Guidelines on Quality and/or Environmental Management Systems Auditing • ISO/IEC 17021 Conformity Assessment – Requirements for bodies providing audit and certification of management systems  • EA 7/03, Guidelines for the Accreditation of Bodies Operating Certification/Registration of Information Security Management Systems (soon to be replaced by ISO/IEC 27006) • ISO/IEC 17799:2005 Code of practice for information security management

  7. Требования к аудиторской организации (EA-7/03) • Аккредитация в соответствующем государственном органе (в UK – UKAS) • Юридическое лицо • Компетентность • Независимость и беспристрастность • Наличие системы контроля качества • Наличие политик и процедур

  8. Требования к аудиторам (EA-7/03) • Высшее образование • 4 года опыта в ИТ, из них 2 в ИБ • Тренинг по аудиту • Опыт в 4 проектах • Личные профессиональные качества

  9. СТАНДАРТ БАНКА РОССИИСТО БР ИББС – 1.1 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИОРГАНИЗАЦИЙ БАНКОВСКОЙСИСТЕМЫРОССИЙСКОЙ ФЕДЕРАЦИИ Аудит информационной безопасности Москва 2007

  10. Содержание стандарта Введение 1. Область применения 2. Нормативные ссылки 3. Термины и определения 4. Исходная концептуальная схема (парадигма) аудита информационной безопасности организаций БС РФ 5. Основные принципы проведения аудита информационной безопасности организаций БС РФ 6. Менеджмент программы аудита информационной безопасности 7. Проведение аудита информационной безопасности 7.1. Требования к взаимоотношениям представителей аудиторской организации с представителями проверяемой организации 7.2. Требования к этапам проведения аудита информационной безопасности организаций БС РФ 8. Проведение самооценки информационной безопасности

  11. СПАСИБО ЗА ВНИМАНИЕ!ПОЖАЛУЙСТА, ВОПРОСЫ? Дроздов Андрей Валентинович CISM, CISA Старший менеджер KPMG, Вице-президент Российского отделения ISACA E-mail: adrozdov@kpmg.ru 1 июня 2007 года

More Related