Аудит информационной безопасности банка. О проекте Стандарта СТО БР ИББС – 1.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» Информационная безопасность в банковской сфере IT-Security Forum: «Ключевые шаги на пути к построению эффективной и защищенной ИТ- инфраструктуры» АНДРЕЙ ДРОЗДОВ CISM, CISA Старший менеджер KPMG, Вице-президент Российского отделения ISACA г.Казань, 1 июня 2007 г.

2 Содержание Что такое аудит Цели аудита ИБ Основные стандарты аудита Требования к аудиторам ИБ (EA 7/03) Стандарт аудита ИБ Банка России Вопросы?

3 Что такое аудит? История вопроса Аудит проверка соответствия норм и правилам на соответствие стандартам Финансовый аудит Аудит систем менеджмента Стандарты и методологии аудита ИБ

4 Цели аудита ИБ Соответствие бизнес-целям компании Совершенствование ISMS Требования законодательства и регулирующих органов (242-п, SOX) Требования клиентов и деловых партнеров (SAS70, ISO 27001, TrustServices, )

5 Кто проводит мониторинг и аудит ИБ? Служба ИТ Служба ИБ Служба Внутреннего контроля Регулирующие органы ЦБ РФ, ФКЦБ Внешний аудит Платежные системы Акционеры Правление Политики ИБ Мониторинг ИБ Реакция на инциденты Процедуры Поддержка ИТ Администрирование Органы стандартизации (национальные и международные) Формирование общих требований к ИТ и ИБ Аудит соблюдения требований, политик, планов, процедур

6 Методология и стандарты Стандарт Банка России Стандарт по Аудиту Банка России Сobit (в особенности DS4, DS5) Международные стандарты общего аудита Закон РФ об аудите ISO/IEC 27001:2005 ISMS - Requirements (revised version of BS :2002 Information security management systems – specification with guidance for use.) ISO 9001:2000 Quality Management Systems – Requirements ISO 19011:2002, Guidelines on Quality and/or Environmental Management Systems Auditing ISO/IEC Conformity Assessment – Requirements for bodies providing audit and certification of management systems EA 7/03, Guidelines for the Accreditation of Bodies Operating Certification/Registration of Information Security Management Systems (soon to be replaced by ISO/IEC 27006) ISO/IEC 17799:2005 Code of practice for information security management

7 Требования к аудиторской организации (EA-7/03) Аккредитация в соответствующем государственном органе (в UK – UKAS) Юридическое лицо Компетентность Независимость и беспристрастность Наличие системы контроля качества Наличие политик и процедур

8 Требования к аудиторам (EA-7/03) Высшее образование 4 года опыта в ИТ, из них 2 в ИБ Тренинг по аудиту Опыт в 4 проектах Личные профессиональные качества

9 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ Аудит информационной безопасности Москва 2007 СТАНДАРТ БАНКА РОССИИ СТО БР ИББС – 1.1

10 Содержание стандарта Введение 1. Область применения 2. Нормативные ссылки 3. Термины и определения 4. Исходная концептуальная схема (парадигма) аудита информационной безопасности организаций БС РФ 5. Основные принципы проведения аудита информационной безопасности организаций БС РФ 6. Менеджмент программы аудита информационной безопасности 7. Проведение аудита информационной безопасности 7.1. Требования к взаимоотношениям представителей аудиторской организации с представителями проверяемой организации 7.2. Требования к этапам проведения аудита информационной безопасности организаций БС РФ 8. Проведение самооценки информационной безопасности

Дроздов Андрей Валентинович CISM, CISA Старший менеджер KPMG, Вице-президент Российского отделения ISACA 1 июня 2007 года СПАСИБО ЗА ВНИМАНИЕ! ПОЖАЛУЙСТА, ВОПРОСЫ?