Название: Аудит информационной безопасности - Курило А.П.

Жанр: Аудит

Рейтинг:

Просмотров: 1524

3.2. осознание и менеджмент аудита информационной безопасности

3.2.1. Система обеспечения информационной безопасности — совокупность процессов осознания и менеджмента информационной

безопасности

Являясь вспомогательной деятельностью в организации, обеспечение информационной безопасности включает реализацию и поддержку процессов осознания ИБ и процессов менеджмента ИБ. Стратегия обеспечения ИБ организации заключается в развертывании, эксплуа­тации и совершенствовании системы менеджмента ИБ (СМИБ) орга­низации, включающей процессы менеджмента ИБ и стимулируемой и управляемой процессами осознания ИБ.

Осознание ИБ организации — это понимание организацией необ­ходимости самостоятельно на основе принятых в ней ценностей и накопленных знаний формировать и учитывать в рамках основной деятельности (бизнеса) прогноз результатов от деятельности по обес­печению ИБ, а также поддерживать эту деятельность адекватно про­гнозу. Осознание ИБ является внутренним побудительным мотивом организации инициировать и поддерживать деятельность по менедж­менту ИБ.

Процессы осознания ИБ заключаются в анализе проблем ИБ, вли­яющих на достижение целей бизнеса (деятельности) организации, и определении потребности организации в ИБ с целью принятия реше­ний по инициированию и поддержке процессов менеджмента ИБ.

Значение осознания и участия высшего руководства в решении проблем безопасности информационных технологий подчеркивается в докладеThe White House The National Strategy to Secure Cyberspace (2003г.), где среди пяти важнейших приоритетов для безопасности киберпространства определена национальная программа обучения и повышения осознания безопасности киберпространства.

Базельский комитет по банковскому надзору выпустил принципы под названием Risk Management Principles for Electronic Banking1. Хотя семь из четырнадцати описанных в документе принципов и практи-

Этот документ был выпущен в июле 2003 г. и доступен на сайте http://www.bis.org/ pubL/bcbs98.htm

ческих приемов относятся к средствам управления безопасностью1. Базельские принципы выделяются тем, что они подчеркивают важ­ность участия руководства организации в решении проблем безопас­ности. Например, первые три принципа возлагают ответственность за осуществление активного надзора за менеджментом безопасности непосредственно на совет директоров и высшее руководство органи­зации.

Принцип 1. Совету директоров и старшему менеджменту следу­ет устанавливать эффективный надзор за менеджментом всех рис­ков, связанных с деятельностями электронных банковских услуг, вклю­чая установление специальной учетности, политик и средств управления для менеджмента этих рисков.

Принцип 2. Совету директоров и старшему менеджменту следу­ет пересматривать и одобрять ключевые аспекты процесса управ­ления безопасностью банка.

Принцип 3. Совету директоров и старшему менеджменту следу­ет устанавливать всесторонний и действующий процесс должного выполнения и надзора для менеджмента аутсорсинговых отношений банка и других зависимостей третьей стороны, поддерживающих электронные банковские услуги.

1 В их число входят аутентификация, неотказуемость, разделение обязанностей, санкцио­нирование, средства управления доступом, шифрование, восстановление, обнаружение вторжения, защита целостности данных и процедуры реагирования на инциденты.

В документе Главного контрольно-финансового управления США Information Security Management. Learning From Leading Organizations. Executive Guide выделено пять принципов менеджмента риска, одним из которых является «стимулирование осознания». Многие практичес­кие приемы реализации представленных принципов связаны с непос­редственным осознанным участием руководства организации в менед­жменте ИБ. В документе подчеркивается, что осознание высшим руководством рисков информационной безопасности является наибо­лее важным фактором в стимулировании разработки программ менед­жмента ИБ. Эта заинтересованность высшего руководства помогает обеспечивать серьезное отношение к информационной безопасности и на более низких уровнях организации, а также ресурсы, необходи­мые для реализации эффективной программы безопасности. В доку­менте показывается, как меняется отношение в организации к ИБ при осознании проблем ИБ руководством организации. Приводится при-

мер, как крупная производственная компания реорганизовала и уси­лила деятельность по обеспечению ИБ. До реорганизации группа бе­зопасности, состоящая из четырех человек, сосредоточивалась в ос­новном на администрировании безопасности и практически не взаимодействовала с остальной компанией. После реорганизации груп­па расширилась до 12 человек, осуществляющих менеджмент безо­пасности основных сетей компании, децентрализованных компьютер­ных операций, использования Интернета. Кроме того, группа участвует в осуществлении стратегического планирования компании и прини­мает участие на ранних стадиях проектов разработки программных средств, чтобы обеспечить принятие во внимание связанных с безо­пасностью последствий этих усилий. В этом отношении она служит каналом связи между руководством и персоналом информационных систем, который проектирует, создает и внедряет новые приложения.

Наряду с необходимостью осознания ИБ руководством организа­ции осознание ИБ пользователями необходимо для успешного осу­ществления политик информационной безопасности и обеспечения того, чтобы средства управления ИБ работали должным образом. Трудно рассчитывать, что пользователи компьютеров и другие лица, имеющие доступ к информационным активам, будут подчиняться политикам, если они не осведомлены о них или их не понимают. Кроме того, если они не осознают риски, связанные с информаци­онными активами организации, они могут не понимать потребность в политиках, предназначенных для снижения риска, и не поддержи­вать их соблюдение.

СМИБ является частью общей системы менеджмента организации и предназначена для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения ИБ с учетом всех рисков организа­ции. СМИБ включает организационную структуру, политики, деятель­ности по планированию, обязанности, практики, процедуры, процессы и ресурсы. Процессы СМИБ организации функционируют в соответ­ствии с циклической моделью «РЬап—Do—Check—Act» (PDCA) — «Планирование—осуществление—проверка—совершенствование» согласно спецификации международного стандарта IS0/IEC 27001 [24] и включают процессы создания СМИБ, процессы внедрения и эксплуатации СМИБ, процессы мониторинга и контрольного анализа СМИБ и процессы поддержки и совершенствования СМИБ организа­ции (рис. 17).

Однако даже самые развитые СМИБ нуждаются в дополнительной координации и управлении со стороны руководства организации, эф­фективность СМИБ во многом зависит от соблюдения и выполнения правил политик ИБ сотрудниками организации. Действия руководства связаны с изменением видов и целей бизнеса, среды организации, бизнес-процессов и направлены на распределение и перераспреде­ление кадровых, финансовых и инфраструктурных ресурсов, на под­держку процессов менеджмента ролей, активов, инцидентов ИБ и дру­гих процессов СМИБ и процессов, связанных с СМИБ. Поэтому развитие и эффективность СМИБ организации прежде всего зависит от осозна­ния проблем ИБ в организации. Модель системы обеспечения ИБ орга­низации представим (рис. 18) в виде циклической модели процессов СМИБ с центральным координирующим фокусом деятельности по обес­печению ИБ, содержащим процессы осознания ИБ организации. Та­кая модель отражает взаимосвязь процессов СМИБ и осознания ИБ, а также их взаимное влияние.

К процессам осознания ИБ организации относятся:

анализ проблем ИБ и определение потребности организации в обеспечении ИБ;

поддержка деятельности по планированию СМИБ;

поддержка деятельности по реализации и эксплуатации СМИБ;

поддержка деятельности по проверке СМИБ;

поддержка деятельности по совершенствованию СМИБ.

В [24] показаны процессы СМИБ организации. При планировании СМИБ организация должна осуществить следу­ющее:

определить область применения СМИБ на основе характерис­тик бизнеса, организации, ее расположения; активов и техно­логий, включая детали и обоснование любых исключений из области;

определить политику СМИБ на основе характеристик бизнеса, организации, ее расположения, активов и технологий;

определить (сформулировать) подход к оценке риска в орга­низации;

идентифицировать риски;

проанализировать и оценить риски;

f)          определить и оценить различные варианты обработки рисков; д) выбрать цели и меры (средства) управления для обработки

рисков;

h)        получить одобрение руководства в отношении предлагаемых остаточных рисков;

i)          получить разрешение руководства на внедрение и эксплуата- цию СМИБ;

j)   подготовить «Положение о применимости средств управления ИБ». При реализации и эксплуатации СМИБ организация должна осу­ществить следующее:

сформулировать план обработки риска, определяющий соответ­ствующие действия руководства, ресурсы, распределение от­ветственности и приоритеты в отношении менеджмента рис­ков ИБ;

внедрить план обработки риска для достижения идентифици­рованных целей управления, включающий вопросы финанси­рования, а также распределение ролей и ответственности;

внедрить меры (средства) управления, выбранные при созда­нии СМИБ, для достижения целей управления;

определить, как измерять эффективность выбранных мер (средств) управления и как использовать эти измерения для оценки эффективности управления, чтобы получить сравнимые и воспроизводимые результаты;

внедрить программы по обучению и повышению осведомлен­ности сотрудников;

f)          управлять работой СМИБ; д) управлять ресурсами;

h) внедрить процедуры и другие меры управления, обеспечиваю­щие оперативное обнаружение и реагирование на инциденты, связанные с безопасностью.

При проверке СМИБ организация должна осуществлять следующее:

выполнять процедуры мониторинга и контрольного анализа, а также использовать другие меры управления, для того чтобы:

оперативно обнаруживать ошибки в результатах обработки;

оперативно выявлять удавшиеся и неудавшиеся попытки на­рушения и инциденты безопасности;

предоставлять руководству возможность определить, рабо­тают ли меры по обеспечению безопасности, как передан­ные уполномоченным лицам, так и реализованные в инфор­мационных технологиях, как ожидалось;

обнаруживать события безопасности, используя идентифи­каторы в целях предотвращения инцидентов безопасности;

определять, являются ли эффективными действия, предпри­нимаемые для устранения нарушения безопасности;

проводить регулярный анализ эффективности СМИБ (включая проверку ее соответствия политике и целям СМИБ и анализ мер управления безопасности) с учетом результатов аудиторских проверок безопасности, инцидентов, измерении эффективнос-

ти, а также предложений и пожеланий всех заинтересованных сторон;

измерять эффективность средств управления для проверки удовлетворения требований безопасности;

пересматривать оценки рисков через запланированные проме­жутки времени и анализировать уровень остаточного и прием­лемого риска, учитывая изменения в:

организации;

технологиях;

бизнес-целях и процессах;

выявленных угрозах;

эффективности реализованных средств контроля;

внешних событиях, например изменения требований зако­нодательства или регулирующих органов, изменения в кон­трактных обязательствах, а также изменения в социальной среде;

проводить внутренние аудиторские проверки СМИБ через за­планированные интервалы времени;

проводить на регулярной основе контрольный анализ СМИБ со стороны руководства для подтверждения адекватности облас­ти применения СМИБ и для выявления направлений совершен­ствования процессов СМИБ;

д) обновлять планы безопасности с учетом результатов монито­ринга и контрольных анализов; h) регистрировать действия и события, которые могли бы оказать

воздействие на эффективность или работу СМИБ. При совершенствовании СМИБ организация должна осуществлять следующее:

внедрять выявленные возможности для совершенствования в СМИБ;

предпринимать необходимые корректирующие и превентивные действия. Применять на практике опыт в области безопаснос­ти, полученный как в собственной организации, так и в других организациях;

обмениваться информацией о результатах и проведенных ме­роприятиях со всеми заинтересованными сторонами на уровне подробностей, подходящем для создавшихся обстоятельств, и согласовать дальнейшие действия, если нужно;

d) обеспечить, чтобы внедряемые усовершенствования достигали ожидаемых целей.

Процессы проверки СМИБ организации позволяют проверить и оценить результаты процессов планирования СМИБ, а также процес­сов реализации и эксплуатации СМИБ. Кроме того, результаты про­цессов проверки СМИБ являются входными данными для процессов совершенствования СМИБ. Все это указывает на значимость процес­сов проверки СМИБ.

Важность процесса аудита ИБ декларируется, например, в [40], где указывается, что при несоответствии процесса аудита информа­ционной безопасности установленным критериям нельзя быть уве­ренным в целостности систем информационных технологий и при оценивании ИБ рейтинг аудита ИБ должен учитываться как наибо­лее значимый.

3.2.2. Осознание аудита информационной безопасности

Под аудитом информационной безопасности организации будем по­нимать систематический, независимый и документируемый процесс получения свидетельств аудита ИБ и объективного их оценивания с целью установления степени соответствия ИБ организации установ­ленным критериям аудита ИБ.

Аудит может быть внутренним и внешним. Внутренние аудиты про­водятся самой организацией или от ее имени для различных внутрен­них целей, например для оценки соответствия системы обеспечения ИБ установленным требованиям. Внешние аудиты проводятся сторо­нами, заинтересованными в деятельности организации, например по­требителями или другими лицами от их имени или внешними незави­симыми организациями.

При всей своей важности для обеспечения ИБ аудит ИБ далеко не во всех организациях признается необходимым процессом менедж­мента ИБ. Осознание необходимости аудита ИБ формируется в резуль­тате анализа проблем ИБ организации и дальнейшего определения потребностей организации в оценке соответствия политик, процессов, процедур обеспечения ИБ организации установленным критериям ИБ. Основные элементы процесса осознания аудита ИБ представлены на рисунке 19.

Управление процессом

Знания и опыт в области ИБ

Законы и нормативные документы, связанные с аудитом и ИБ

Входные данные

Виды бизнеса, продукты, услуги

Описание бизнес-процессов

Информация о среде

Информация о процессах СМИБ

Процесс осознания аудита И Б

> Формирование потребности' и требований к программе аудита ИБ

• Определение ролей и ресурсов

Выходные данные

Решения

о разработке программы аудита И Б > Требования к программе аудита ИБ

Роли и ресурсы для программы аудита И Б

Роли и обязанности

• Руководство организации

Рис. 19. Основные элементы процесса осознания аудита ИБ

Для процесса осознания аудита ИБ входными данными являются:

виды бизнеса (деятельности), продукты и услуги организации;

описание бизнес-процессов;

информация о внутренней и внешней среде организации;

информация о текущем состоянии процессов СМИБ.

Описание видов бизнеса, продуктов и услуг организации и опи­сание бизнес-процессов, реализующих цели бизнеса, должно выде­лять критичные с точки зрения ИБ продукты, услуги и соответствую­щие бизнес-процессы, определять их значение для достижения целей бизнеса.

Информация о внутренней и внешней среде организации должна содержать сведения о всех угрозах и рисках целям бизнеса или их изменениях, связанных с ИБ.

Информация о текущем состоянии процессов СМИБ должна пока­зывать соответствие процессов целям ИБ организации, их результа­тивность.

Участниками процесса осознания ИБ являются руководители орга­низации, принимающие решения и влияющие на решения по поддер­жке и развитию СМИБ организации.

Основой накопления опыта и знаний являются в первую очередь собственный уникальный опыт организации, а также известные фак­ты и информация, полученные из таких источников, как Интернет, книги, стандарты, справочники, публикации и т.п. Источником соб­ственного опыта являются прошлая деятельность по обеспечению ИБ организации, а также анализ угроз и уязвимостей для организации в условиях ее бизнеса.

К мероприятиям процесса осознания аудита ИБ относятся форми­рование потребности в разработке и менеджменте программы аудита ИБ, формирование требований к программе аудита ИБ, определение ролей для разработки и менеджмента программы аудита ИБ, опреде­ление и выделение финансовых, кадровых и инфраструктурных ре­сурсов для разработки и менеджмента программы аудита ИБ. Под программой аудита ИБ понимается совокупность нескольких аудитов ИБ и других проверок ИБ (например, самооценок ИБ), запланирован­ных на конкретный период времени и направленных на достижение конкретной цели.

Потребность в разработке и менеджменте программы аудита ИБ организации формируется исходя из целей измерений ИБ, относящихся к аудиту ИБ. Цели аудита ИБ определяются руководством организа­ции на основе бизнес-целей и результатов деятельности организации, а также на основе информации о внутренней и внешней среде орга­низации, учитывающей оценку рисков ИБ. Такими целями могут быть идентификация уязвимостей системы обеспечения ИБ организации, оценка соответствия ИБ организации установленным критериям ИБ, повышение доверия к организации. При формировании решений о программе аудита ИБ анализируются стоимость программы аудита ИБ и выгоды от ее реализации. Потребность в разработке и менеджмен­те программы аудита ИБ документируется в виде решения руковод­ства организации и утверждается им.

Требования к программе аудита должны содержать требования к объему программы аудита ИБ, методологии проведения аудита, ком­петентности аудиторов, осведомленности сотрудников организации о программе аудита ИБ и требования к пересмотру и корректировке программы аудита И Б.

Требования к программе аудита ИБ могут указывать на необходи­мость периодического проведения самооценок ИБ. Самооценка ИБ является хорошей практикой проверки ИБ и подготовки к аудиту ИБ организации. С помощью самооценки ИБ организация может оце­нить соответствие ИБ установленным требованиям и самостоятель­но провести анализ недостатков системы обеспечения ИБ. Результа­ты самооценки ИБ могут служить основанием для устранения выявленных недостатков системы обеспечения ИБ до проведения аудита ИБ в организации. Однако результаты самооценки ИБ не мо­гут служить декларацией о соответствии ИБ организации установ­ленным требованиям. Самооценка ИБ проводится сотрудниками орга­низации, принимающими непосредственное участие в деятельности по обеспечению ИБ. Как правило, таковыми являются сотрудники службы ИБ организации.

Результатом определения ролей для разработки и менеджмента программы аудита ИБ должно быть выделение ролей разработчиков и ответственных за программу аудита ИБ с соответствующими обя­занностями.

Финансовые, кадровые и инфраструктурные (физические и инст­рументальные) ресурсы определяются в зависимости от объема про­граммы аудита ИБ. Обязанность руководства состоит в предоставле­нии этих ресурсов, чтобы обеспечить надлежащую реализацию программы аудита ИБ.

К выходным данным процесса осознания аудита ИБ относятся ре­шения о разработке программы аудита ИБ, требования к программе аудита ИБ, а также роли и ресурсы для программы. Такие результаты процесса осознания аудита ИБ приведут к установке, реализации и поддержке в организации программы аудита ИБ и обеспечат, чтобы запланированные аудиты ИБ и самооценки ИБ проводились в наме­ченные интервалы времени и позволили:

определять, отвечает или нет система обеспечения ИБ органи­зации установленным требованиям;

проверять результаты предыдущих аудитов и самооценок и меры, предпринятые для исправления несоответствий;

предоставлять информацию о результатах аудитов руководству организации;

подтверждать, что средства обеспечения ИБ и персонал исполь­зуются надлежащим образом.

омплексное обследование (аудит) чформационной безопасности одход компании «ЭЛВИС-ПЛЮС»

При создании любой информационной системы неизбежно воз­никает вопрос о ее защищенности от внутренних и внешних уг­роз безопасности информации. Но прежде чем решить, как имен­но защищать информацию, необходимо выяснить реальное положение в области обеспечения безопасности информации в организации и оценить степень защищенности ее информацион­ных активов. Кроме того, информационная безопасность должна быть обеспечена как на техническом, так и на организационно-административном уровне, и только такой комплексный подход может дать должный эффект. Для решения этой задачи проводит­ся комплексное обследование (аудит) информационной безопас­ности, целью которого является анализ процессов обеспечения безопасности информации при выполнении информационной си­стемой своего главного предназначения — информационного обеспечения пользователей.

Компания «ЭЛВИС-ПЛЮС» предлагает услуги по проведению аудита информационной безопасности на основе именно комплек­сного подхода, то есть осуществляет не только проверку достаточ­ности используемых программно-аппаратных и технических средств защиты, но и проверку достаточности правовых, экономических и организационных мер (физической защиты, работы персонала, рег­ламентации его действий).

Комплексное обследование (аудит) информационной безопасно­сти включает:

классификацию информационных ресурсов;

анализ имеющихся нормативных и организационно-распоря­дительных документов о порядке функционирования корпо­ративной информационной системы (ИС) и защите инфор­мации;

анализ структуры, состава, принципов функционирования ИС и существующей системы защиты информации;

оценку эффективности существующей системы защиты ИС с применением специализированных инструментариев и эксперт-

jji'iijj

W

ЦНІІЦ

Аудит — последовательность действий

Сбор и анализ исходных данных

Технические средства защиты

Методы и способы защиты

Обследование, описание

Методы менеджмента безопасности

Организационные, экономические, правовые методы

A ISO 17799, toOeJSO2700V

Сертификот

> 

т

-В-о тз

ш с

S

о

т о

СП CD СО О 13

аз о т о о

о тз -I

аз т

со аз с

о

S

о н

CD

2

ных оценок специалистов «ЭЛВИС-ПЛЮС» по собственным методикам;

определение степени участия персонала в обработке информа­ции, требуемых категорий объекта и классов защищенности.

Комплексное обследование (аудит) защищенности информаци­онной системы предполагает также проведение анализа угроз бе­зопасности информации и подготовку модели актуальных для орга­низации заказчика угроз и их возможных реализаций.

Анализ угроз необходим для качественной и количественной оценки как внешних, так и внутренних угроз безопасности инфор­мации, актуальных для обследуемой корпоративной информацион­ной системы. В результате полученной оценки можно сформулиро­вать полный набор требований к системе, обеспечивающей необходимый уровень защиты информационных активов.

Большинство организаций, как правило, не имеет свободного времени, ресурсов и методик, позволяющих провести количествен­ную (или хотя бы качественную) оценку угроз безопасности инфор­мации, исходящих как извне, так и изнутри организации.

Модель реализации угроз

Угрозы ИБ

Хищение Утрата

Блокирование

Уничтожение

Модификация

Отрицание

подлинности

Новязывание

пожной

Атака

Источники угроз

Антропогенные

Техногенные

Стихийные

Уязвимости

Объективные Субъективные Случайные

Методы

реализоции угроз

Аналитические Технические 'Программные Социальные Организационные

Устранение (ослабпение)

Методы защиты

Правовые

Организационные

Технические

Инженерно-технические

Программно-аппоратные

Последствия реализации угроз

Ущерб собственнику

Компания «ЭЛВИС-ПЛЮС» использует собственный расчетно-аналитический метод, позволяющий выявить из полного перечня информационных угроз наиболее актуальные для конкретного об­следуемого объекта и соответственно оптимизировать расходы на построение системы безопасности. В результате анализа строится модель угроз безопасности информации, проводятся их классифи­кация, анализ и оценка источников угроз, уязвимостей (факторов) и методов реализации.

Анализ угроз безопасности информации включает:

определение приоритетности целей информационной безо­пасности;

анализ информационных потоков ИС, точек их пересечения, точек обработки и хранения;

определение перечня актуальных источников угроз;

определение перечня актуальных уязвимостей;

оценку взаимосвязи угроз, источников угроз и уязвимостей;

определение перечня возможных атак на объект;

описание возможных последствий реализации угроз;

подготовку предложений по изменению структуры информа­ционных потоков для повышения уровня защищенности ИС (при необходимости).

Данные проведенного анализа и оценки используются при вы­боре адекватных методов парирования угроз, а также при опреде­лении задач для разработчиков (проектировщиков, поставщиков) систем обеспечения безопасности информации.

В результате проведения аудита информационной безопаснос­ти заказчик получает возможность:

оценить необходимость и достаточность принятых мер обес­печения безопасности информации;

сформировать политику безопасности;

правильно выбрать степень защищенности информационной системы;

выработать требования к средствам и методам защиты;

добиться максимальной отдачи от инвестиций в создание и обслуживание СОБИ;

принять обоснованные управленческие решения по обеспе­чению необходимого уровня защищенности информационных активов организации.

Интегральная оценка актуальных атак для угрозы «Хищение (копирование) информации и средств ее обработки» (пример)

Результатом аудита могут быть и рекомендации по изменению инфраструктуры сети, обусловленные экономическими соображе­ниями при решении проблем информационной безопасности или невозможностью достичь требуемого уровня защищенности при существующей инфраструктуре.

Заказчику предоставляется аналитический отчет о текущем со­стоянии защищенности, в котором даются развернутые рекомен­дации по повышению уровня защищенности информации с помо­щью совершенствования комплекса организационно-технических и административных мер, применения специальных средств защиты информации (СЗИ) и использованию возможностей имеющихся про­граммных и технических средств. Отчет может служить основой для разработки концепции информационной безопасности, профиля защиты, задания по безопасности, частного технического задания.

ОАО «ЭЛВИС-ПЛЮС»

124460, Москва, Зеленоград, Центральный проспект, 11 тел.: (495) 531-4633, 531-8863, 531-1622, факс: (495) 531-2403 www.elvis.ru, www.zastava.ru info@elvis.ru

3.2.3. Планирование программы аудита информационной безопасности

Программа аудита ИБ включает деятельность, необходимую для пла­нирования и организации определенного количества аудитов ИБ и, например, самооценок ИБ, их контроля, анализа и совершенствова­ния, а также обеспечения их ресурсами, которые требуются для эф­фективного и результативного проведения аудитов ИБ и самооценок ИБ в заданные сроки.

Программа аудита ИБ разрабатывается самой организацией. В об­щем случае в организации могут быть разработаны несколько про­грамм аудита И Б.

Структура процессов менеджмента программы аудита ИБ представ­лена на рисунке 20.

В соответствии с выделенными ролями по разработке и менеджмен­ту программы аудита ИБ руководство организации распределяет пол-

Рис. 20. Структура процессов менеджмента программы аудита ИБ

номочия и возлагает ответственность за разработку и менеджмент про­граммы аудита ИБ на одно или нескольких лиц, имеющих представле­ние о принципах аудита ИБ, компетентности аудиторов, содержании эта­пов аудита ИБ, а также обладающих знаниями по обеспечению ИБ. Ответственные за программу аудита ИБ должны:

планировать, внедрять, контролировать, анализировать и совер­шенствовать программу аудита ИБ;

определять потребность программы аудита ИБ в ресурсах и спо­собствовать принятию решений об обеспечении программы не­обходимыми ресурсами.

Программа аудита ИБ может включать, например, следующие виды проверок ИБ организации:

внутренний аудит ИБ организации, проводимый ежегодно;

самооценка ИБ, проводимая через каждые 6 месяцев;

с) аудиты по сертификации и инспекционные аудиты, проводимые органом по сертификации систем обеспечения ИБ в качестве третьей стороны, в период времени, согласованный между ор­ганом по сертификации и заказчиком. Программа аудита ИБ также включает планирование, обеспечение ресурсами, разработку процедур для проведения аудитов ИБ в объе­ме программы.

Планирование программы аудита ИБ должно включать в себя оп­ределение целей, объема программы, а также необходимых финансо­вых, инфраструктурных и кадровых ресурсов для ее реализации.

Основной целью программы аудита ИБ является улучшение систе­мы обеспечения ИБ организации. При этом могут решаться и другие цели. Например, оценка соответствия ИБ организации установленным критериям ИБ, повышение доверия к организации.

На объем программы аудита ИБ влияют размер и сложность струк­туры организации, область каждого аудита ИБ и самооценки ИБ, час­тота и продолжительность проводимых аудитов ИБ и самооценок ИБ. При определении возможности проведения аудита следует учитывать следующие факторы:

достаточность и наличие необходимой информации для пла­нирования аудита ИБ;

наличие времени и необходимых ресурсов;

готовность к сотрудничеству со стороны проверяемой органи­зации.

В случае невозможности проведения аудита необходимо предло­жить заказчику альтернативное решение на основе консультаций с про­веряемой организацией (например, перенос сроков аудита ИБ, при­влечение для проведения аудита ИБ другой аудиторской организации).

Частота проверок зависит от возможностей и ресурсов организа­ции и устанавливается как компромисс между потребностью в прове­дении проверок и стоимостью их проведения.

В зависимости от возможностей и ресурсов организации первона­чальный объем программы аудита ИБ может быть ограничен теми про­цессами системы обеспечения ИБ организации, которым руководство присвоило наивысший приоритет. В дальнейшем первоначальный объем программы аудита ИБ может быть расширен.

Как определить наиболее критичные бизнес-процессы, каким про­цессам обеспечения ИБ уделить особое внимание при проведении

аудита ИБ или самооценки ИБ, на какие процессы прежде всего наце­лить программу аудита ИБ? Подобные вопросы могут быть решены, если для выявления критичных бизнес-процессов и проблем ИБ при­менять риск-ориентированный подход на этапе планирования програм­мы аудита ИБ.

Любая организация при осуществлении своей деятельности под­вержена рискам, которые так или иначе влияют на специфику ве­дения бизнес-процессов, а также могут негативным образом по­влиять как на финансовые показатели, так и на возможности предприятий продолжать бизнес. При этом некоторые из рисков вследствие незначительности последствий их реализации могут приниматься «как есть», для других разрабатываются и внедряют­ся корректирующие меры. В частности, можно принять риски, вле­кущие малые негативные последствия и вероятность реализации которых маловероятна.

Согласно международному стандарту IS0/IEC 17799 [39] информа­ционная безопасность — это защита информации от множества раз­личных рисков для целей обеспечения непрерывности бизнеса, ми­нимизации бизнес-рисков, повышения доходов на вложенные инвестиции и расширения возможностей бизнеса. Аналогично [39] стандарт Банка России по информационной безопасности СТО БР ИББС-1.0-2006 [41] также определяет риск-ориентированный под­ход в качестве основы для построения системы обеспечения ИБ.

Очевидно, что некоторые бизнес-процессы являются наиболее значимыми для организации, другие процессы менее критичны. При­чем оценка степени критичности может базироваться не только на финансовых показателях, но и на текущих приоритетах бизнеса, ус­ловиях и требованиях рынка, требованиях законодательства и регу­ляторов рынка, уровне корпоративной культуры и т.п. Соответствен­но при планировании аудита вопросов ИБ необходимо в первую очередь выявить наиболее критичные области деятельности органи­заций (в рамках применимости к вопросам обеспечения ИБ). Совер­шенно нет необходимости проводить детальный анализ вопросов, которые несущественны для бизнеса. Поэтому при планировании аудита необходимо также учитывать возможность изменения критич­ности процессов во времени, например при закрытии банковского операционного дня, отправке платежей, формировании годовой от­четности и т.п.

Люди (персонал организаций, клиенты, поставщики), процессы (внутренние и внешние, политики и процедуры) и технологии явля­ются тремя ключевыми аспектами обеспечения ИБ. Поэтому даже у предприятий, работающих в одном сегменте рынка, имеющих подоб­ные организационно-правовые структуры, способы ведения бизнеса и бизнес-процессы вследствие уникальности уровня корпоративного управления, технологий и персонала, существуют свои специфичные риски. Для каждой организации должна разрабатываться своя про­грамма аудита ИБ. При этом при детальном планировании аудита не­обходимо иметь полную картину по проверяемой организации, т.е. выявление наиболее значимых сегментов бизнеса и направлений при­оритетного развития, анализ финансовых показателей по основным направлениям деятельности, организационной структуры, используе­мых технологических решений, а также других аспектов, которые мо­гут существенно влиять на уровень обеспечения ИБ организаций.

Можно проверить настройки параметров безопасности всех баз данных и операционных систем организации, но нужно ли это? В силу ограниченности ресурсов (временных, людских и финансовых) аудита рекомендуется ограничиваться наиболее существенными для бизнеса областями, для которых уже и выявляются конкретные сис­темы и процедуры, попадающие под проверку. При проведении по­добного планирования рекомендуется использовать комбинации под­ходов «нисходящего анализа» (top-down approach) и «восходящего анализа» (bottom-up approach). Подход «нисходящего анализа» ос­новывается на том, что оценка рисков ИБ производится на базе ана­лиза критичности бизнес-процессов. И уже только на основе дан­ного анализа для выбранных процессов производится анализ рисков и результатов контроля, связанных с использованием конкретных приложений, баз данных, операционных систем, конфигураций сете­вого оборудования и других вопросов ИБ конкретных критичных бизнес-процессов.

Подход «восходящего анализа» применяется в обратном случае, т.е. когда известна или выявлена какая-либо проблема, и необходимо понять, на какие бизнес-процессы и сегменты бизнеса данная про­блема влияет и соответственно после этого сделать вывод о критич­ности выявленного недостатка.

Графическое представление данных подходов показано на рисун­ке 21.

• Акмеология
• Анатомия
• Аудит
• Банковское дело
• БЖД
• Бизнес
• Биология
• Бухгалтерский учет
• География
• Грамматика
• Делопроизводство
• Демография
• Естествознание
• Журналистика
• Иностранные языки
• Информатика
• История
• Коммуникация
• Конфликтология
• Криминалогия
• Культурология
• Лингвистика
• Литература
• Логика
• Маркетинг
• Медицина
• Менеджмент
• Метрология
• Педагогика
• Политология
• Право
• Промышленность
• Психология
• Реклама
• Религиоведение
• Социология
• Статистика
• Страхование
• Счетоводство
• Туризм
• Физика
• Филология
• Философия
• Финансы
• Химия
• Экология
• Экономика
• Эстетика
• Этика

Лучшие книги

ВВЕДЕНИЕ В КУЛЬТУРОЛОГИЮ

Гражданский процесс: Вопросы и ответы

ЗАПАДНОЕВРОПЕЙСКОЕ ИСКУССТВО от ДЖОТТО до РЕМБРАНДТА

Коммерческое право России

Коммуникации стратегического маркетинга

Консультации по английской грамматике: В помощь учителю иностранного языка.

Международные экономические отношения

Налоги и налоговая система России

Основы права

Теория государства и права