Институт внутренних аудиторов

Поиск  Правила 
Форум » demv
Выбрать дату в календареВыбрать дату в календаре

Внутренний аудит ИБ, Как это должно происходить?
 
#
26.04.2007 14:27:12
PBryantsev
Цитата
Не думаю, что что-то путнее из этого выйдет.

Согласен, что в общем случае данный вариант не применим. Все, конечно, зависит от программы аудита и сложности проверок. Но совсем данный вариант я бы не стал исключать. В ряде случаев квалификации специалиста ИБ достаточно, чтобы с определенной долей уверенности говорить о результативности и эффективности внедренных контролей. В более слодных случаях можно привлечь стороннего эксперта или иметь такого эксперта в штате.
 
Перейти    
Внутренний аудит ИБ, Как это должно происходить?
 
#
20.04.2007 16:41:37
Цитата
Должен ли процесс аудита ИБ быть интегрирован в общий процесс внутреннего аудита предприятия?

Интеграция аудита ИБ в общий процесс внутреннего аудита предприятия является общепринятой практикой. Хотя очень многое зависит от того, кто является заказчиком данного аудита, какова область аудита, какие бизнес процессы проверяются, и т.д.
Цитата
- Кто должен проводить внутренний аудит ИБ?

Очень сильно зависит от целей аудита. Его может проводить и внешний аудитор.
Цитата
- Возможно ли возложить обязанности по внутреннему аудиту ИБ на штатное подразделение внутреннего аудита?

Возможно, но нужно учесть загруженность штатного подразделения и обходимую компетенция для проведения подобных аудитов.
Цитата
- Если при аудите ИБ привлекать для консультаций специалистов по ИТ и ИБ, то как обеспечить независимость и достоверность полученных данных?

Ну например так: специалиста ИТ привлечь для аудита ИБ, а специалиста ИБ привлечь для аудита ИТ.
 
Перейти    
Защита информации от внутренних угроз, Статья. Содержание. Обсуждение
 
#
28.03.2007 11:46:35
PBryantsev
Цитата
Я всё же склоняюсь к мысли, что нужно обеспечить наименьший необходимый доступ к информации

Это только один из принципов разграничения доступа к информации. Есть и другие подходы. Кроме этого, принципы можно реализовать по разному. То, что подходит в одной случае, мало применимо в другом.
Цитата
А вынести информацию можно и в голове, никакие средства не помогут.

Ну почему же не помогут? Правильно составленное соглашение о конфиденциальности и контроль за доступом к информации, очень сильно помогают против "выноса в голове".
 
Перейти    
Защита информации от внутренних угроз, Статья. Содержание. Обсуждение
 
#
19.03.2007 18:07:37
Риски надо искать там, где ущерб от реализации угроз может может привести к критичным последствиям для бизнеса. Во многих организациях "вынос информации" может привести к весьма печальным последствиям. Скоро многие отделы внутреннего аудита будут иметь в штате специалистов по ИТ безопасности.
 
Перейти    
контроль аккаунтов в Unix-среде, logical access controls in Unix
 
#
13.03.2007 11:05:25
Существует достаточно большой класс програмных продуктов, которые могут помочь решить данную проблему. Все основные производителя ПО (IBM, RSA, CA,HP), предлагают свои версии решения.
Например, семейство продуктов HP Identity Management ( http://www.openview.hp.com/solutions/im/index.html), Семейство продуктов CA Identity an Access Management (http://www3.ca.com/Solutions/SubSolution.aspx?ID=4348)
 
Перейти    
Должно быть два внутренних аудита в Обществе?, Один по ИСО, другой по ИВА.
 
#
19.09.2006 14:19:29
Задачи шире у ИВА. Ведь согласно стандарту ИВА "Функция "Внутренний аудит" должна проводить оценку и способствовать совершенствованию процессов управления рисками, контроля и корпоративного управления, используя систематизированный и последовательный подход."
Если проверка части хозяйственной деятельности по стандарту ИСО есть требование бизнеса, то ВА может не замыкаться только на проверке финансовой составляющей и учитывать новые требования в своем графике проверок.
Хотя осуществлять или нет проверку деятельности компании по ИСО силами СВА каждая компания решает сама в соответствии с уставом СВА.
 
Перейти    
СМК Iso 9001:2000, Система менеджмента качества
 
#
18.09.2006 15:15:36
Стандарты ИСО более общие, чем методология ИВА, и, в основном, покрывают те области, где позиции ИВА не очень сильны. Хотя мотодологии очень схожи: тот же анализ рисков, те же внутренние аудиты. Если хоть какие-то процессы, описываемые стандартами ИСО внедены, то методология исо может быть взята за основу при проведении внутренних аудитов в данной области. В ИСО ужесть есть стандарты на Управление Качеством (9001), Управление информационной безопасностью (27001), Управление информационной инфраструктурой (20001), Управление бозопастностью окружающей среды (14001), на подходе стандарт на управление непрерывностью бизнеса.
 
Перейти    
Кто прошел через ИТ-аудит или аудит ИС?, Аудируемые, поделитесь опытом!
 
#
11.09.2006 16:59:04
В нашей компании недавно завершился внешний аудит на соответствие ISO27001. Провоила компания BSI. Если интересно, то готов ответить на вопросы.
 
Перейти    
СУБ и Риск менеджмент это одно и то же?, Система управления безопасностью
 
#
15.05.2006 15:20:21
Мне кажется что, система управления безопасностью шире, чем управление рисками. Она включает в себя управление рисками, но этим не ограничивается. Кроме управление рисками в СУБ можно еще включить: Управление контролями, мониторинг и контроль за производительностью и эффективностью СУБ.
 
Перейти    
СМК Iso 9001:2000, Система менеджмента качества
 
#
25.04.2006 18:37:57
Добрый день!

Мне кажется, что аудиторы СМК работают на исполнительное руководство в лице ответственного от менеджмента за СМК только потому, что это наиболеее простой путь реализации функции аудита (требование стандарта) в организациях, где отдел внутреннего аудита отсутствует. Все идут по пути меньшего сопротивления и создают специализированный отдел.
Не было ли бы более логичным отдать функцию аудита СМК отделу внутреннего аудита?

С уважением,
Владислав.
 
Перейти