Transcript «Аудит информационной безопасности банка. О проекте

IT-Security Forum: «Ключевые шаги на пути к построению эффективной и защищенной ИТинфраструктуры»
Информационная безопасность в банковской сфере
Аудит информационной безопасности банка. О проекте Стандарта
СТО БР ИББС – 1.1 «Обеспечение информационной безопасности
организаций банковской системы Российской Федерации. Аудит
информационной безопасности»
АНДРЕЙ ДРОЗДОВ
CISM, CISA
Старший менеджер KPMG,
Вице-президент Российского отделения ISACA
г.Казань, 1 июня 2007 г.
Содержание
•
•
•
•
•
•
Что такое аудит
Цели аудита ИБ
Основные стандарты аудита
Требования к аудиторам ИБ (EA 7/03)
Стандарт аудита ИБ Банка России
Вопросы?
2
Что такое аудит?
• История вопроса
• Аудит проверка соответствия норм и правилам на соответствие
стандартам
• Финансовый аудит
• Аудит систем менеджмента
• Стандарты и методологии аудита ИБ
3
Цели аудита ИБ
• Соответствие бизнес-целям компании
• Совершенствование ISMS
• Требования законодательства и регулирующих органов (242-п,
SOX)
• Требования клиентов и деловых партнеров (SAS70, ISO 27001,
TrustServices, )
4
Кто проводит мониторинг и аудит ИБ?
Акционеры
Правление
Регулирующие органы
ЦБ РФ, ФКЦБ
Служба
Внутреннего контроля
Внешний
аудит
Формирование общих требований к ИТ и ИБ
Аудит соблюдения требований, политик,
планов,
процедур
Служба
ИТ
Процедуры
 Поддержка ИТ
 Администрирование
Служба
ИБ
Политики ИБ
Мониторинг ИБ
Реакция на инциденты
Платежные
системы
Органы
стандартизации
(национальные и
международные)
5
Методология и стандарты
•
•
•
•
•
•
•
•
•
•
•
Стандарт Банка России
Стандарт по Аудиту Банка России
Сobit (в особенности DS4, DS5)
Международные стандарты общего аудита
Закон РФ об аудите
ISO/IEC 27001:2005 ISMS - Requirements (revised version of BS 7799-2:2002 Information
security management systems – specification with guidance for use.)
ISO 9001:2000 Quality Management Systems – Requirements
ISO 19011:2002, Guidelines on Quality and/or Environmental Management Systems
Auditing
ISO/IEC 17021 Conformity Assessment – Requirements for bodies providing audit and
certification of management systems
EA 7/03, Guidelines for the Accreditation of Bodies Operating Certification/Registration of
Information Security Management Systems (soon to be replaced by ISO/IEC 27006)
ISO/IEC 17799:2005 Code of practice for information security management
6
Требования к аудиторской организации (EA-7/03)
• Аккредитация в соответствующем государственном органе (в
UK – UKAS)
• Юридическое лицо
• Компетентность
• Независимость и беспристрастность
• Наличие системы контроля качества
• Наличие политик и процедур
7
Требования к аудиторам (EA-7/03)
•
•
•
•
•
Высшее образование
4 года опыта в ИТ, из них 2 в ИБ
Тренинг по аудиту
Опыт в 4 проектах
Личные профессиональные качества
8
СТАНДАРТ БАНКА РОССИИ СТО БР ИББС – 1.1
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ
СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
Аудит информационной безопасности
Москва
2007
9
Содержание стандарта
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Исходная концептуальная схема (парадигма) аудита информационной
безопасности организаций БС РФ
5. Основные принципы проведения аудита информационной безопасности
организаций БС РФ
6. Менеджмент программы аудита информационной безопасности
7. Проведение аудита информационной безопасности
7.1. Требования к взаимоотношениям представителей аудиторской организации
с представителями проверяемой организации
7.2. Требования к этапам проведения аудита информационной безопасности
организаций БС РФ
8. Проведение самооценки информационной безопасности
10
СПАСИБО ЗА ВНИМАНИЕ!
ПОЖАЛУЙСТА, ВОПРОСЫ?
Дроздов Андрей Валентинович
CISM, CISA
Старший менеджер KPMG,
Вице-президент Российского отделения ISACA
E-mail: [email protected]
1 июня 2007 года