Аудит информационной безопасности банка. О проекте Стандарта СТО БР ИББС – 1.1 «Обеспечение информационной безопасности организаций банковской системы.

Презентация:



Advertisements
Похожие презентации
Международная практика внедрения и эксплуатации СМИБ организаций информационной безопасности банка. Информационная безопасность в банковской сфере IT-Security.
Advertisements

Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта «Информационная безопасность банковского бизнеса – совместимость со стандартами.
A Brief Introduction to ISO standards Краткое введение к стандартам ISO Bureau Véritas Quality International Бюро Веритас Кволити Интернешнл.
Налоговая безопасность бизнеса Аспекты информационной безопасности в коммерческих организациях Ведущий специалист отдела терминальных технологий ООО «Праймтек»
Особенности реализации процессных моделей управления ИТ на базе Naumen Service Desk Гузик Сергей Викторович Генеральный директор Компании GSV
Александр Митрохин Руководитель направления ИБ Автоматизированный контроль за выполнением требований ИБ.
1 1 ФГБУ «Белгородская МВЛ» Опыт получения международной аккредитации Опыт получения международной аккредитации Министерство сельского хозяйства РФ Федеральная.
BS : 2006 И СОСТОЯНИЕ ОТЕЧЕСТВЕННОЙ НОРМАТИВНОЙ БАЗЫ ПО УПРАВЛЕНИЮ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Алексей Марков и Валентин Цирлов
Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»
1 Системное управление рисками информационной безопасности на основе ISO 27001:2005 Валентин Никонов, к.э.н., PMP IPMA, QMS Auditor Советник председателя.
Р.Х. Марданов, Председатель Национального банка Республики Башкортостан Банка России СОВЕРШЕНСТВОВАНИЕ КОРПОРАТИВНОГО УПРАВЛЕНИЯ В РОССИЙСКИХ БАНКАХ –
Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального.
Топчий Андрей, Южно-Уральский государственный университет IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Топчий.
Подготовил : Суфианов Андрей Управление рисками в IT безопасности Научно-практическая конференция "Бизнес-образование как инструмент устойчивого развития.
СОВЕРШЕНСТВОВАНИЕ СИСТЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ И КОМПАНИЙ НА ОСНОВЕ ПРИМЕНЕНИЯ ПРОЦЕССНЫХ СТАНДАРТОВ «Уверенность в себе.
Практический опыт построения системы централизованного мониторинга ИБ в банковской организации на базе решений Oracle Информационная безопасность для компаний.
CNews Analytics: « ИБ в банках: ставка на сервисы » Москва 2008.
Направления взаимодействия СРО и банковской ассоциации А.Н.Велигура, CISA Председатель комитета по информационной безопасности Ассоциации российских банков.
Система стандартов Банка России по обеспечению информационной безопасности. Структура и специфика основополагающего стандарта. Исходная концептуальная.
Межгосударственный совет по стандартизации, метрологии и сертификации (МГС) Euro-Asian Council for Standardization, Metrology and Certification (EASC)
Транксрипт:

Аудит информационной безопасности банка. О проекте Стандарта СТО БР ИББС – 1.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» Информационная безопасность в банковской сфере IT-Security Forum: «Ключевые шаги на пути к построению эффективной и защищенной ИТ- инфраструктуры» АНДРЕЙ ДРОЗДОВ CISM, CISA Старший менеджер KPMG, Вице-президент Российского отделения ISACA г.Казань, 1 июня 2007 г.

2 Содержание Что такое аудит Цели аудита ИБ Основные стандарты аудита Требования к аудиторам ИБ (EA 7/03) Стандарт аудита ИБ Банка России Вопросы?

3 Что такое аудит? История вопроса Аудит проверка соответствия норм и правилам на соответствие стандартам Финансовый аудит Аудит систем менеджмента Стандарты и методологии аудита ИБ

4 Цели аудита ИБ Соответствие бизнес-целям компании Совершенствование ISMS Требования законодательства и регулирующих органов (242-п, SOX) Требования клиентов и деловых партнеров (SAS70, ISO 27001, TrustServices, )

5 Кто проводит мониторинг и аудит ИБ? Служба ИТ Служба ИБ Служба Внутреннего контроля Регулирующие органы ЦБ РФ, ФКЦБ Внешний аудит Платежные системы Акционеры Правление Политики ИБ Мониторинг ИБ Реакция на инциденты Процедуры Поддержка ИТ Администрирование Органы стандартизации (национальные и международные) Формирование общих требований к ИТ и ИБ Аудит соблюдения требований, политик, планов, процедур

6 Методология и стандарты Стандарт Банка России Стандарт по Аудиту Банка России Сobit (в особенности DS4, DS5) Международные стандарты общего аудита Закон РФ об аудите ISO/IEC 27001:2005 ISMS - Requirements (revised version of BS :2002 Information security management systems – specification with guidance for use.) ISO 9001:2000 Quality Management Systems – Requirements ISO 19011:2002, Guidelines on Quality and/or Environmental Management Systems Auditing ISO/IEC Conformity Assessment – Requirements for bodies providing audit and certification of management systems EA 7/03, Guidelines for the Accreditation of Bodies Operating Certification/Registration of Information Security Management Systems (soon to be replaced by ISO/IEC 27006) ISO/IEC 17799:2005 Code of practice for information security management

7 Требования к аудиторской организации (EA-7/03) Аккредитация в соответствующем государственном органе (в UK – UKAS) Юридическое лицо Компетентность Независимость и беспристрастность Наличие системы контроля качества Наличие политик и процедур

8 Требования к аудиторам (EA-7/03) Высшее образование 4 года опыта в ИТ, из них 2 в ИБ Тренинг по аудиту Опыт в 4 проектах Личные профессиональные качества

9 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ Аудит информационной безопасности Москва 2007 СТАНДАРТ БАНКА РОССИИ СТО БР ИББС – 1.1

10 Содержание стандарта Введение 1. Область применения 2. Нормативные ссылки 3. Термины и определения 4. Исходная концептуальная схема (парадигма) аудита информационной безопасности организаций БС РФ 5. Основные принципы проведения аудита информационной безопасности организаций БС РФ 6. Менеджмент программы аудита информационной безопасности 7. Проведение аудита информационной безопасности 7.1. Требования к взаимоотношениям представителей аудиторской организации с представителями проверяемой организации 7.2. Требования к этапам проведения аудита информационной безопасности организаций БС РФ 8. Проведение самооценки информационной безопасности

Дроздов Андрей Валентинович CISM, CISA Старший менеджер KPMG, Вице-президент Российского отделения ISACA 1 июня 2007 года СПАСИБО ЗА ВНИМАНИЕ! ПОЖАЛУЙСТА, ВОПРОСЫ?