IPB

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >  
Ответить в данную темуНачать новую тему
> Аудит IT, Ужас программеров и админов
МакроКiт
сообщение 29.07.2002, 14:41
Сообщение #1


Модератор
****

Группа: Со-администратор
Сообщений: 1 616

Вставить ник в ответ
Вставить цитату в ответ



Очень интересная и трудная тема.
Даже если просто начать с наличия, содержания и частотой обращения к внутренним нормативным документам? Начиная от положений про подразделения, должностных инстукций и заканчивая "Политикой информационной безопасности" и "Стратегией развития информационных технологий".
Поводил ли кто-то такой аудит??? С чего начинали и чем все заКончилось? ???
ІТ-шникам не очень нравится (мягко выражаясь), когда лезут в их огород.

Предлагаю обсудить...
Перейти в начало страницы
 
+Цитировать сообщение
Кот Бегемот
сообщение 29.07.2002, 15:16
Сообщение #2


Постоялец
**

Группа: Постоялец
Сообщений: 113

Вставить ник в ответ
Вставить цитату в ответ



А кому интереснА может понравиться, когда лезут в их огород за их же колбасой??? (IMG:http://www.uabanker.net/forum/style_emoticons/default/tongue.gif)
Перейти в начало страницы
 
+Цитировать сообщение
МакроКiт
сообщение 29.07.2002, 15:42
Сообщение #3


Модератор
****

Группа: Со-администратор
Сообщений: 1 616

Вставить ник в ответ
Вставить цитату в ответ



В том-то и дело, что колбаса общаковая, а их только оболочка  :cool:
Перейти в начало страницы
 
+Цитировать сообщение
braneman
сообщение 01.08.2002, 14:08
Сообщение #4


Участник
*

Группа: Участник
Сообщений: 27

Вставить ник в ответ
Вставить цитату в ответ



MacroKit тебя интересует как провести такую проверку, сама методика?  ???
Или что-то конкретное в проверке? (IMG:http://www.uabanker.net/forum/style_emoticons/default/ohmy.gif)
Или тебе просто не нравятся програмеры? (IMG:http://www.uabanker.net/forum/style_emoticons/default/mad.gif)
Перейти в начало страницы
 
+Цитировать сообщение
МакроКiт
сообщение 01.08.2002, 16:33
Сообщение #5


Модератор
****

Группа: Со-администратор
Сообщений: 1 616

Вставить ник в ответ
Вставить цитату в ответ



Методикой проверки располагаю. (IMG:http://www.uabanker.net/forum/style_emoticons/default/tongue.gif)
Программеры - они как птицы... (IMG:http://www.uabanker.net/forum/style_emoticons/default/biggrin.gif)
А вот конкретное...:
Пароль доступа к ОДБ (на любой вид операции или простой просмотр) выдают IT-шники, а кто должен подтверждать правомочность такого доступа?
Перейти в начало страницы
 
+Цитировать сообщение
shaman
сообщение 02.08.2002, 09:12
Сообщение #6


Участник
*

Группа: Участник
Сообщений: 68

Вставить ник в ответ
Вставить цитату в ответ



Наши аудиторы предупредили, что будут нас проверять в конце года. Знать бы, что именно проверять будут ... Они мне даже одну методику показывали, кажеться, рекомендованную НБУ. Но будут ли по ней идти - не знаю.
ИМХО, хорошая и грамотная проверка - она всегда на пользу идет (взгляд со стороны, рекомендации как сделать лучше и т.д.), но мне кажеться что проводить проверку в таком подразделении как IT - дело достаточно не простое (не в обиду другим подразделениям): всем известно, что проверяющий должен быть по знаниям не ниже, чем тот, которого проверяют (Прим.: наши аудиторы сидят в этом форуме, интересно, что они мне сей скажут за чашечкой кофе ...  :D )
Как всегда, постановка задачи - это 60% выполненного дела, так что ИМХО методика проверки - это как раз и есть те 60%. Аудитор, который проверяет такие подразделения должен быть из наших, из IT-оперативников :-), со стажем, кот. покувыркался в этих водах, да и в вопросах информационной безопасности должен ориентироваться очень даже очень.

MacroKit: предлагаю обменяться методиками, которыми мы владеем на данный момент

MacroKit: вот уже и подход к постановке вопроса разный :-) : непосредственно пароль для доступа к ОДБ устанавливает пользователь сам , а вот сам уровень доступа (на любой вид операции или простой просмотр) выдают IT-шники, а подтверждать правомочность такого доступа должен куратор (не ниже Зам. Преда).
Перейти в начало страницы
 
+Цитировать сообщение
МакроКiт
сообщение 02.08.2002, 11:42
Сообщение #7


Модератор
****

Группа: Со-администратор
Сообщений: 1 616

Вставить ник в ответ
Вставить цитату в ответ



2 shaman
Извини за неправильную постановку вопроса.
Вот вопрос именно в кураторе. Зампред обычно не очень осведомлен в таких вопросах. Не логичнее было бы наделить такой функцией главбуха?

По поводу методики. Подозревая, что такой аудит "дело темное", решили проводить его поэтапно. Начали с организации управления в этом подразделении, т.е.:
- наличие стратегии развития;
- положения про подразделения и должностные инструкции;
- подготовка/обучение/ротация кадров;
- "политика информационной безопасности" со всеми вытекающими;
- порядок разработки и внедрения программного обеспечения.
И не ошиблись. Даже в этом не очень длинном списке подводных камней хоть отбавляй. ЧАСТЬ НОРМАТИВКИ ВООБЩЕ ОТСУТСТВУЕТ. Арументация: " Мы же работали до этого...", "не отвлекай от работы..", "а зачем нам это нужно...".
Что касается детального рассмотрения контроля доступа, операционнго конроля, безопасности обмена данными, компьютерного оборудования  и т.д. - без специалистов в этой области просто не обойтись. Хоть я себя и не считаю полным ламером, но многое все равно "поза зоною досяжності".
При этом должен отметить: из всех подразделений , с которыми пришлось сталкиваться в процессе проверок, с IT-шниками проще всего работать и находить общий язык  :p
Перейти в начало страницы
 
+Цитировать сообщение
vita
сообщение 02.08.2002, 11:47
Сообщение #8


Участник
*

Группа: Постоялец
Сообщений: 72

Вставить ник в ответ
Вставить цитату в ответ



У на сесть стандартная форма на получение доступов, которую визируют начальник подразделения, гл бух, зам пред по безопасности.
Аудит Ит-подразделений проводится формально.
Перейти в начало страницы
 
+Цитировать сообщение
shaman
сообщение 02.08.2002, 13:02
Сообщение #9


Участник
*

Группа: Участник
Сообщений: 68

Вставить ник в ответ
Вставить цитату в ответ



MacroKit: "с IT-шниками проще всего работать и находить общий язык" ...

Ну, СПАСИБО, это как бальзам на душу!!!

vita: логично, спасибо за идею, свой бланк дорисуем с учетом новых идей!!!
Перейти в начало страницы
 
+Цитировать сообщение
МакроКiт
сообщение 02.08.2002, 15:00
Сообщение #10


Модератор
****

Группа: Со-администратор
Сообщений: 1 616

Вставить ник в ответ
Вставить цитату в ответ



2 shaman & vita
А может была бы логичнее такая схема:
1. Степень доступа подписывает начальник соответствующего подразделения и визирует у зампреда (главбуха).
2. IT-шник ставит "флажки" доступа к частям АБС согласно заявке.
3. Степень доступа программно подтверждает главбух и только после этого можно работать.
В таком случае, ИМХО, будет соблюдена процедура внутреннего контроля. Иначе после сбора всех подписей IT-шник может даже без злого умысла дать несоответствующий уровень доступа.
Или я не прав?
Перейти в начало страницы
 
+Цитировать сообщение
shaman
сообщение 02.08.2002, 15:48
Сообщение #11


Участник
*

Группа: Участник
Сообщений: 68

Вставить ник в ответ
Вставить цитату в ответ



MacroKit:
1. Я полностью согласен с vita (еще раз спасибо за идею)
2. п.3 "Степень доступа программно подтверждает главбух" для меня вообще не понятен!!!! 8-/ Это как? После того как уже доступ дан? Кстати, у меня в данном бланке еще и доступ к сетевым ресурсам, почта, Инет, т.е. все на одном бланке: человек заполнил, визы получил - мы выполнили.
3. Ваша фраза "Иначе после сбора всех подписей IT-шник может даже без злого умысла дать несоответствующий уровень доступа" как-то тоже непонятно звучит: это что, гл.бух должен проверять ежедневную рутиную работу IT-ка? Вообще-то IT-ик, особенно, который выполняет функцию администрирования, далеко-о-о не глупый человек, и несет ответсвенность за свою работу. Нет, что-то ИМХО Вы перемудрили.
Перейти в начало страницы
 
+Цитировать сообщение
МакроКiт
сообщение 02.08.2002, 16:03
Сообщение #12


Модератор
****

Группа: Со-администратор
Сообщений: 1 616

Вставить ник в ответ
Вставить цитату в ответ



2 shaman
В том то и дело, что доступы к АБС (ОДБ) не надо путать с доступами к сетевым ресурсам, почтой, Инетом.
КТО проконтролирует правильность даного новому работнику уровня допуска?
Для наглядности: человек пришел в отдел пассивных операций. Его задача  - принимать депозиты, начислять проценты и делать соответствующие проводки (работа с 4 счетами). Доступ на проводки по этим счетам согласован и подан работнику IT. А тот дал еще по доброте душевной и доступ к корсчету. Кто работника IT ПРОКОНТРОЛИРУЕТ?
Перейти в начало страницы
 
+Цитировать сообщение
braneman
сообщение 05.08.2002, 12:36
Сообщение #13


Участник
*

Группа: Участник
Сообщений: 27

Вставить ник в ответ
Вставить цитату в ответ



По моему мнению:
:cool:
Начальник отдела IТ
Глав.бух.
Ну и сразу напрашивается вопрос, а мы зачем (аудиторы). (IMG:http://www.uabanker.net/forum/style_emoticons/default/ohmy.gif)
Для того и проверки делаем, что бы узнать кто, что не так сделал.
:cool:
Перейти в начало страницы
 
+Цитировать сообщение
shaman
сообщение 14.08.2002, 12:41
Сообщение #14


Участник
*

Группа: Участник
Сообщений: 68

Вставить ник в ответ
Вставить цитату в ответ



braneman:
ИМХО вариант "Начальник отдела IТ + Глав.бух." идеально подходит для небольшого филиала, например. А для более-менее "конторы посолиднее" вариант vita более предпочтительней и правильней.

MacroKit:
1. "... доступы к АБС (ОДБ) не надо путать с доступами к сетевым ресурсам, почтой, Инетом."
А никто их и не путает, просто так один бланк берешь - и все как на ладони: "паспорт рабочего места".
Кстати, Вы очень недооцениваете роль этих доступов!!!
Вы, наверное, аудитор?

2. "Кто работника IT ПРОКОНТРОЛИРУЕТ?" Хм-м. Вопрос так вопрос: интересный, но поставленный как-то криво. Что значит "... по доброте душевной и доступ к корсчету"??
Так он может дать его в любой момент, в Вашем контексте и "после того, как гл.бух все проверил" :-)

Да, ИМХО, Вы все-таки аудитор :-)))))))))

Кстати, Вы своими рассуждениями как-то хлеб отбираете у подразделения компьютерной безопасности (если она у Вас существует как такая). :-)

Мы обсуждали этот и подобные вопросы с нашими аудиторами и мне кажеться, что нашли теоретическое решение: на существующий уровень доступа к ресурсам проводить периодическую инвентаризацию, которая и решит множество вопросов.

Чтобы провести аудит ИТ на должном уровне, то либо "Вы к нам, либо Мы к Вам", т.е. аудит ИТ должен проводить человек "из наших, из компьютерщиков". Любо одного из нас к вам в отдел, либо одного из Вас к нам в отдел.
Так что, господа Аудиторы, приглашайте к себе нас, Компьютерщиков!!!

(IMG:http://www.uabanker.net/forum/style_emoticons/default/tongue.gif)
Перейти в начало страницы
 
+Цитировать сообщение
BRD
сообщение 19.08.2002, 09:42
Сообщение #15


Участник
*

Группа: Постоялец
Сообщений: 64

Вставить ник в ответ
Вставить цитату в ответ



День добрый всем!
Мне кажется, что проблема лежит наверху.
Перечень прав доступа, к той или иной инфе в банке, должны быть описаны в должностных инструкциях пользователя - это раз.
Второе: естественно для получения /предоставления прав доступа необходимо иметь письменное подтверждение: от непосредственного руководителя, ответственного за безопасность информации, ну и кого-то из IT, непосредственно занимающегося предоставлением прав.
Ни гл. буха, ни зам. преда, если они не отвечают за безопасность, вовлекать в эту процедуру не надо. Зачем лишняя бюрократия?
Ведь должностные инструкции итак утверждаются Пред. Правления.
И поддержу shaman.
В подразделении внутреннего аудита должно быть место и для специалиста по компьютерной безопасности или привлекайте такого спеца из другого подразделения на время проведения проверки (хотя это и не правильно - аудитор должен быть аудитором по сути, а не временно, иначе теряется его независимость).
Перейти в начало страницы
 
+Цитировать сообщение
МакроКiт
сообщение 21.08.2002, 16:25
Сообщение #16


Модератор
****

Группа: Со-администратор
Сообщений: 1 616

Вставить ник в ответ
Вставить цитату в ответ



Извините за долгое отсутствие.
Зарылся в нормативке и нарыл много интересного (IMG:http://www.uabanker.net/forum/style_emoticons/default/smile.gif)
А также достал внутренних документов дружественных (и не очень) банков. А тут как много интересного и неожиданного!!!
Немного систематизирую и выйду в эфир   :(IMG:http://www.uabanker.net/forum/style_emoticons/default/wink.gif) :

2 shaman
Угадал  :cool:

2 BRD
Пришли точно к такому же мнению по поводу спеца, но расхлебывать все равно пока нам... Самое худшее, что чем дальше, тем хуже и света в конце тоннеля пока не видно (IMG:http://www.uabanker.net/forum/style_emoticons/default/ohmy.gif)
Перейти в начало страницы
 
+Цитировать сообщение
МакроКiт
сообщение 27.08.2002, 08:32
Сообщение #17


Модератор
****

Группа: Со-администратор
Сообщений: 1 616

Вставить ник в ответ
Вставить цитату в ответ



Вернемся к нашим баранам (т.е. доступам)...
Интересная система у "Аваля":
1. Существует специальная инстукция про порядок предоставления доступов. Сразу все становится ясно и понятно!
2. Уровень необходимого доступа определяется непосредственным начальником, он же оформляет соответствующие служебные записки. (В Инструкции даже путь к этим служебкам в сети указан!!!). Заполненную служебку "проверяет и подписывает руководитель самостоятельного подразделения". Скорее всего, это начальник Управления.
3. Дальше эту служебку рассматривает СПЕЦИАЛЬНАЯ КОМИССИЯ в срок не более трех дней. Состав узнать не удалось - идет ссылка на какой-то приказ.
4. После чего физически предоставляются права работником ІТ, где и хранится служебка, копии даются в "компъютерною безопасность" и "простую безопасность".
5. !!! Контроль за блокированием прав при ротации/отпуске/увольнении осуществляет "Комп. безопасность".
6. !!! Она же проводит инвентаризацию соответствия предоставленных прав не реже раза в год.

Во как!!!
А то все "упростить, да упростить"   :(IMG:http://www.uabanker.net/forum/style_emoticons/default/wink.gif) :
Перейти в начало страницы
 
+Цитировать сообщение
chu
сообщение 27.08.2002, 10:17
Сообщение #18


Постоялец
**

Группа: Старожил
Сообщений: 239

Вставить ник в ответ
Вставить цитату в ответ



Интересный эффект. У многих всё классно расписано, кроме того, кто и как осуществляет обязанности временно отстутвующего сотрудника (отпуск, больничные). Чаще всего используется чужое (в смысле того кого нету сейчас) имя, пароль, а иногда даже и ключ ЭЦП, для входа и работы, что и является наиболее часто встречающимся нарушением правил информационной безопасности. Вариантом этого нарушения является отсутствие автоматического прекращения временно выданных полномочий на замещение отсутствующего сотрудника. Вторым по частоте нарушением - записывание пароля на бумаге или, ещё хуже, на мониторе или клавиатуре.
Перейти в начало страницы
 
+Цитировать сообщение
VUK
сообщение 27.08.2002, 13:53
Сообщение #19


Постоялец
**

Группа: Постоялец
Сообщений: 181

Вставить ник в ответ
Вставить цитату в ответ



Мне представляется, что доступ к информации должен выдаваться не персонально, а быть привязан к занимаемой должности. Тогда каждый приказ о перемещении сотрудника (о замещении) отрабатывается и в IT подразделении.

Бороться с передачей и записью паролей  можно рублем.  :angry:
Перейти в начало страницы
 
+Цитировать сообщение
МакроКiт
сообщение 02.09.2002, 09:00
Сообщение #20


Модератор
****

Группа: Со-администратор
Сообщений: 1 616

Вставить ник в ответ
Вставить цитату в ответ



А кто-нибудь видел в галаза такие документы как "Политика информационной безопасности" и "Стратегия развития информационных технологий"?
Перейти в начало страницы
 
+Цитировать сообщение

2 страниц V   1 2 >
Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



Текстовая версия Сейчас: 14.10.2019, 12:17