Лекция 8. Определение степени соответствия безопасности основным нормам и стандартам (2 часа)

  • 1. Исходная концептуальная схема (парадигма) информационной безопасности организаций БС РФ
  • 1.1. В основе исходной концептуальной схемы аудита ИБ организаций БС РФ лежит, с одной стороны, желание собственника доказать достижение организацией БС РФ высокого уровня И Б и таким образом повысить доверие к ней, с другой стороны - стремление аудиторов с помощью проведения независимой и компетентной оценки определить истинный (в пределах возможностей аудита ИБ) уровень организации работ в области ИБ и степень соответствия ИБ организации БС РФ установленным требованиям (критериям аудита).
  • 1.2. Уровень ИБ организации БС РФ соответствует высокому уровню ИБ, если процессы системы обеспечения ИБ проводятся осознанно на основе прогноза, мониторинга и анализа внутренней и внешней среды, развития и изменения целей бизнеса (деятельности) организации БС РФ.
  • 1.3. Возможное изменение внешней среды ведения бизнеса (деятельности) организации БС РФ, изменение и возрастание рисков ИБ вследствие естественных и/или преднамеренных изменений во внешней и внутренней среде организации БС РФ является причиной для регулярного проведения аудита ИБ в организации БС РФ, что позволяет своевременно принимать меры по поддержанию И Б на необходимом уровне.
  • 2. Основные принципы проведения аудита информационной безопасности организаций БС РФ
  • 2.1. Независимость аудита ИБ. Аудиторы независимы в своей деятельности и неответственны за деятельность, которая подвергается аудиту И Б. Независимость является основанием для беспристрастности при проведении аудита ИБ и объективности при формировании заключения по результатам аудита И Б.
  • 2.2. Полнота аудита И Б. Аудит ИБ должен охватывать все области аудита ИБ, соответствующие аудиторскому заданию. Кроме того, полнота аудита ИБ определяется достаточностью затребованных и предоставленных материалов, документов и уровнем их соответствия поставленным задачам. Полнота аудита ИБ является необходимым условием для формирования объективных заключений по результатам аудита ИБ.
  • 2.3. Оценка на основе свидетельств аудита И Б. При периодическом проведении аудита ИБ оценка на основе свидетельств аудита ИБ является единственным способом, позволяющим получить повторяемое заключение по результатам аудита ИБ, что повышает доверие к такому заключению. Для повторяемости заключения свидетельства аудита ИБ должны быть проверяемыми.
  • 2.4. Достоверность свидетельств аудита ИБ. У аудиторов должна быть уверенность в достоверности свидетельств аудита И Б. Доверие к документальным свидетельствам аудита ИБ повышается при подтверждении их достоверности третьей стороной или руководством организации БС РФ. Доверие к фактам, полученным при опросе сотрудников проверяемой организации, повышается при подтверждении данных фактов из различных источников. Доверие к фактам, полученным при наблюдении за деятельностью проверяемой организации в области ИБ, повышается, если они получены при функционировании проверяемых процедур или процессов.
  • 2.5. Компетентность. Доверие к процессу и результатам аудита ИБ зависит от компетентности тех, кто проводит аудит ИБ, и от этичности их поведения. Компетентность базируется на способности аудитора применять знания и навыки.
  • 2.6. Этичность поведения. Этичность поведения подразумевает ответственность, неподкупность, умение хранить тайну, беспристрастность.
  • 3. Менеджмент программы аудита информационной безопасности
  • 3.1. Программа аудита ИБ включает деятельность, необходимую для планирования и организации определенного количества аудитов ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения аудитов ИБ в заданные сроки. Программа аудита ИБ разрабатывается организацией БС РФ. В общем случае могут быть разработаны несколько программ аудита ИБ.
  • 3.2. Рекомендованная последовательность процессов менеджмента программы аудита ИБ представлена на рисунке 8.1.
  • 3.3. Разработка программы аудита ИБ должна включать в себя определение целей, объема программы, а также необходимых финансовых, информационных и людских ресурсов для се реализации.
Последовательность процессов менеджмента программы

Рис. 8.1. Последовательность процессов менеджмента программы

аудита ИБ

Целью программы аудита ИБ является оценка соответствия ИБ организации БС РФ критериям аудита и содействие в повышении при необходимости уровня ИБ организации БС РФ.

На объем программы аудита ИБ влияют размер и сложность структуры организации БС РФ, область аудита ИБ и частота аудитов И Б.

  • 3.4. Внедрение программы аудита ИБ должно включать в себя:
    • - доведение программы аудита до участвующих сторон в реализации;
    • - планирование аудитов ИБ;
    • - определение привлекаемых аудиторских организаций и предоставляемых ресурсов для проведения аудитов ИБ;
    • - проведение аудитов ИБ в соответствии с программой аудита ИБ;
    • - анализ и утверждение отчетов по результатам аудитов ИБ;
    • - определение действий по результатам аудитов ИБ.
  • 3.5. В организации БС РФ должны проводиться контроль внедрения программы аудита ИБ, анализ достижения целей программы аудита ИБ и определение возможностей для се совершенствования. О результатах анализа должно информироваться руководство организации БС РФ.

Контроль и анализ программы аудита ИБ должны включать в себя:

  • - проверку возможностей аудиторских групп, служб или лиц по реализации аудита ИБ. Подтверждением возможности по реализации аудита могут являться информация об образовании и опыте работы членов аудиторской группы, сертификаты, подтверждающие квалификацию членов аудиторской группы;
  • - анализ достижения целей и программы аудита ИБ в целом;
  • - анализ отчетов и заключений по результатам аудита ИБ.
  • 3.6. Совершенствование программы аудита ИБ состоит в определении корректирующих и превентивных действий по совершенствованию программы аудита ИБ, включающих в себя пересмотр и корректировку сроков проведения аудитов ИБ и необходимых ресурсов.
  • 4. Проведение аудита информационной безопасности
  • 4.1. Требования к взаимоотношениям представителей аудиторской организации с представителями проверяемой организации.
  • 4.1.1. В процессе общения представители аудиторской организации и представители проверяемой организации на всех этапах проведения аудита ИБ должны демонстрировать честность, открытость, желание обсуждать и по возможности разрешать возникшие разногласия.

Аудиторская организация должна информировать проверяемую организацию обо всех мероприятиях, проводимых в рамках аудиторской проверки. Проверяемая организация должна обеспечивать предоставление аудиторской организации всей необходимой для проведения аудита ИБ информации.

4.1.2. Аудиторское задание на проведение аудита ИБ должно оформляться договором в соответствии с требованиями законодательства РФ.

В договоре на проведение аудита ИБ необходимо зафиксировать критерии аудита И Б, по которым должно быть выражено мнение аудиторской организации.

  • 4.1.3. При подготовке к проведению аудита ИБ и в процессе его проведения аудиторская группа вправе самостоятельно принимать решение об источниках, методах получения и достоверности свидетельств аудита ИБ.
  • 4.1.4. В процессе проведения аудита ИБ руководитель аудиторской группы должен периодически доводить до сведения проверяемой организации и заказчика аудита информацию о ходе аудита ИБ и любых возникающих проблемах. Свидетельства, собранные при проведении аудита ИБ, которые выявляют критические для ИБ проверяемой организации уязвимости (по мнению руководителя аудиторской группы), должны быть немедленно доведены до сведения проверяемой организации и, если необходимо, до сведения заказчика аудита ИБ.

Если имеющееся свидетельство аудита ИБ (или его отсутствие) указывает на то, что цель аудита ИБ недостижима, то руководитель аудиторской группы должен сообщить причины заказчику аудита ИБ и проверяемой организации для определения дальнейших действий. Эти действия могут включать либо изменение цели или областей аудита ИБ, либо прекращение аудита ИБ.

  • 4.1.5. Аудиторская организация несет ответственность:
    • - за достоверность заключения по результатам аудита И Б;
    • - за соблюдение конфиденциальности сведений и документов, получаемых и составляемых в ходе аудиторской проверки (за исключением случаев, предусмотренных действующим законодательством РФ).
  • 4.1.6. Руководство проверяемой организации несет ответственность:
    • - за достоверность и полноту предоставляемой аудиторской организации информации;
    • - за любые ограничения возможности осуществления аудиторской организацией своих обязательств.
  • 4.1.7. Факты невыполнения требований, установленных в пункте
  • 4.1.5, сообщаются в органы, контролирующие деятельность аудиторских организаций, и заказчику аудита ИБ.

Факты невыполнения требований, установленных в пункте 4.1.6, указываются в отчете об аудите ИБ и могут служить основанием для прекращения процесса аудита ИБ.

4.2. Требования к этапам проведения аудита информационной безопасности организаций БС РФ

Работы по проведению аудита ИБ организаций БС РФ должны включать следующие этапы:

  • - подготовка к проведению аудита ИБ;
  • - анализ документов;
  • - проведение аудита И Б на месте;
  • - подготовка, утверждение и рассылка отчета по аудиту ИБ;
  • - завершение аудита И Б.

План аудита ИБ на месте должен включать:

  • - цель аудита И Б;
  • - критерии аудита ИБ;
  • - область аудита И Б;
  • - дату и продолжительность проведения аудита ИБ на месте;
  • - роли членов аудиторской группы и сопровождающих лиц со стороны проверяемой организации;
  • - результаты анализа документов, предоставленных проверяемой организацией для проведения аудита ИБ, и оценку свидетельств аудита ИБ;
  • - описание деятельности и мероприятий по проведению аудита ИБ на месте;
  • - распределение ресурсов при проведении аудита.

Согласованный план должен быть представлен проверяемой организации перед началом аудита ИБ на месте.

Проведение аудита ИБ на месте должно включать такие работы, как:

  • - проведение вступительного совещания;
  • - сбор дополнительных свидетельств аудита ИБ;
  • - оценка свидетельств аудита ИБ;
  • - подготовка заключения по результатам аудита ИБ;
  • - проведение заключительного совещания.

Проверка и анализ документов могут проводиться на всех этапах аудиторской проверки.

Проверка и анализ документов позволяют аудитору получить свидетельства аудита И Б, обладающие наибольшей полнотой и удобством восприятия и использования по сравнению с другими методами получения свидетельств аудита ИБ. Однако эти свидетельства аудита ИБ имеют различную степень достоверности в зависимости от их характера и источника, а также от эффективности внутреннего контроля организации за процессом подготовки и обработки представленных документов.

Устный опрос может проводиться на всех этапах аудиторской проверки. Результаты устных опросов должны оформляться в виде протокола 92

или краткого конспекта, в котором обязательно должны быть указаны фамилия, имя, отчество сотрудника аудиторской организации, проводившего опрос, фамилия, имя, отчество опрашиваемого лица, а также представлены их подписи. Информация считается достоверной только в том случае, если она получена непосредственно в момент выполнения проверяемых процедур или функционирования процессов.

Отчет по результатам проведения аудита И Б должен быть выпущен в согласованные сроки, утвержден руководителем аудиторской организации и разослан получателям, определенным заказчиком аудита ИБ.

Отчет по результатам проведения аудита ИБ является собственностью заказчика аудита ИБ. Члены аудиторской группы и все получатели отчета должны обеспечивать конфиденциальность содержания отчета, за исключением случаев, прямо предусмотренных действующим законодательством Российской Федерации.

5. Проведение самооценки информационной безопасности Хорошей практикой проверки уровня И Б и подготовки к аудиту И Б организации БС РФ является самооценка ИБ. Самооценка ИБ проводится на основе принятых в организации БС РФ документов и методик. С помощью самооценки ИБ организации БС РФ могут самостоятельно оценить соответствие ИБ критериям аудита и провести анализ недостатков системы обеспечения ИБ организации БС РФ. Результаты самооценки ИБ могут служить основанием для устранения выявленных недостатков системы обеспечения ИБ до проведения аудита ИБ в организации БС РФ.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >