Название: Аудит информационной безопасности - Курило А.П. Жанр: Аудит Рейтинг: Просмотров: 1524 |
3.2. осознание и менеджмент аудита информационной безопасности3.2.1. Система обеспечения информационной безопасности — совокупность процессов осознания и менеджмента информационной безопасности Являясь вспомогательной деятельностью в организации, обеспечение информационной безопасности включает реализацию и поддержку процессов осознания ИБ и процессов менеджмента ИБ. Стратегия обеспечения ИБ организации заключается в развертывании, эксплуатации и совершенствовании системы менеджмента ИБ (СМИБ) организации, включающей процессы менеджмента ИБ и стимулируемой и управляемой процессами осознания ИБ. Осознание ИБ организации — это понимание организацией необходимости самостоятельно на основе принятых в ней ценностей и накопленных знаний формировать и учитывать в рамках основной деятельности (бизнеса) прогноз результатов от деятельности по обеспечению ИБ, а также поддерживать эту деятельность адекватно прогнозу. Осознание ИБ является внутренним побудительным мотивом организации инициировать и поддерживать деятельность по менеджменту ИБ. Процессы осознания ИБ заключаются в анализе проблем ИБ, влияющих на достижение целей бизнеса (деятельности) организации, и определении потребности организации в ИБ с целью принятия решений по инициированию и поддержке процессов менеджмента ИБ. Значение осознания и участия высшего руководства в решении проблем безопасности информационных технологий подчеркивается в докладеThe White House The National Strategy to Secure Cyberspace (2003г.), где среди пяти важнейших приоритетов для безопасности киберпространства определена национальная программа обучения и повышения осознания безопасности киберпространства. Базельский комитет по банковскому надзору выпустил принципы под названием Risk Management Principles for Electronic Banking1. Хотя семь из четырнадцати описанных в документе принципов и практи- Этот документ был выпущен в июле 2003 г. и доступен на сайте http://www.bis.org/ pubL/bcbs98.htm
ческих приемов относятся к средствам управления безопасностью1. Базельские принципы выделяются тем, что они подчеркивают важность участия руководства организации в решении проблем безопасности. Например, первые три принципа возлагают ответственность за осуществление активного надзора за менеджментом безопасности непосредственно на совет директоров и высшее руководство организации. Принцип 1. Совету директоров и старшему менеджменту следует устанавливать эффективный надзор за менеджментом всех рисков, связанных с деятельностями электронных банковских услуг, включая установление специальной учетности, политик и средств управления для менеджмента этих рисков. Принцип 2. Совету директоров и старшему менеджменту следует пересматривать и одобрять ключевые аспекты процесса управления безопасностью банка. Принцип 3. Совету директоров и старшему менеджменту следует устанавливать всесторонний и действующий процесс должного выполнения и надзора для менеджмента аутсорсинговых отношений банка и других зависимостей третьей стороны, поддерживающих электронные банковские услуги. 1 В их число входят аутентификация, неотказуемость, разделение обязанностей, санкционирование, средства управления доступом, шифрование, восстановление, обнаружение вторжения, защита целостности данных и процедуры реагирования на инциденты. В документе Главного контрольно-финансового управления США Information Security Management. Learning From Leading Organizations. Executive Guide выделено пять принципов менеджмента риска, одним из которых является «стимулирование осознания». Многие практические приемы реализации представленных принципов связаны с непосредственным осознанным участием руководства организации в менеджменте ИБ. В документе подчеркивается, что осознание высшим руководством рисков информационной безопасности является наиболее важным фактором в стимулировании разработки программ менеджмента ИБ. Эта заинтересованность высшего руководства помогает обеспечивать серьезное отношение к информационной безопасности и на более низких уровнях организации, а также ресурсы, необходимые для реализации эффективной программы безопасности. В документе показывается, как меняется отношение в организации к ИБ при осознании проблем ИБ руководством организации. Приводится при-
мер, как крупная производственная компания реорганизовала и усилила деятельность по обеспечению ИБ. До реорганизации группа безопасности, состоящая из четырех человек, сосредоточивалась в основном на администрировании безопасности и практически не взаимодействовала с остальной компанией. После реорганизации группа расширилась до 12 человек, осуществляющих менеджмент безопасности основных сетей компании, децентрализованных компьютерных операций, использования Интернета. Кроме того, группа участвует в осуществлении стратегического планирования компании и принимает участие на ранних стадиях проектов разработки программных средств, чтобы обеспечить принятие во внимание связанных с безопасностью последствий этих усилий. В этом отношении она служит каналом связи между руководством и персоналом информационных систем, который проектирует, создает и внедряет новые приложения. Наряду с необходимостью осознания ИБ руководством организации осознание ИБ пользователями необходимо для успешного осуществления политик информационной безопасности и обеспечения того, чтобы средства управления ИБ работали должным образом. Трудно рассчитывать, что пользователи компьютеров и другие лица, имеющие доступ к информационным активам, будут подчиняться политикам, если они не осведомлены о них или их не понимают. Кроме того, если они не осознают риски, связанные с информационными активами организации, они могут не понимать потребность в политиках, предназначенных для снижения риска, и не поддерживать их соблюдение. СМИБ является частью общей системы менеджмента организации и предназначена для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения ИБ с учетом всех рисков организации. СМИБ включает организационную структуру, политики, деятельности по планированию, обязанности, практики, процедуры, процессы и ресурсы. Процессы СМИБ организации функционируют в соответствии с циклической моделью «РЬап—Do—Check—Act» (PDCA) — «Планирование—осуществление—проверка—совершенствование» согласно спецификации международного стандарта IS0/IEC 27001 [24] и включают процессы создания СМИБ, процессы внедрения и эксплуатации СМИБ, процессы мониторинга и контрольного анализа СМИБ и процессы поддержки и совершенствования СМИБ организации (рис. 17).
Однако даже самые развитые СМИБ нуждаются в дополнительной координации и управлении со стороны руководства организации, эффективность СМИБ во многом зависит от соблюдения и выполнения правил политик ИБ сотрудниками организации. Действия руководства связаны с изменением видов и целей бизнеса, среды организации, бизнес-процессов и направлены на распределение и перераспределение кадровых, финансовых и инфраструктурных ресурсов, на поддержку процессов менеджмента ролей, активов, инцидентов ИБ и других процессов СМИБ и процессов, связанных с СМИБ. Поэтому развитие и эффективность СМИБ организации прежде всего зависит от осознания проблем ИБ в организации. Модель системы обеспечения ИБ организации представим (рис. 18) в виде циклической модели процессов СМИБ с центральным координирующим фокусом деятельности по обеспечению ИБ, содержащим процессы осознания ИБ организации. Такая модель отражает взаимосвязь процессов СМИБ и осознания ИБ, а также их взаимное влияние. К процессам осознания ИБ организации относятся: анализ проблем ИБ и определение потребности организации в обеспечении ИБ; поддержка деятельности по планированию СМИБ; поддержка деятельности по реализации и эксплуатации СМИБ; поддержка деятельности по проверке СМИБ; поддержка деятельности по совершенствованию СМИБ.
В [24] показаны процессы СМИБ организации. При планировании СМИБ организация должна осуществить следующее: определить область применения СМИБ на основе характеристик бизнеса, организации, ее расположения; активов и технологий, включая детали и обоснование любых исключений из области; определить политику СМИБ на основе характеристик бизнеса, организации, ее расположения, активов и технологий; определить (сформулировать) подход к оценке риска в организации; идентифицировать риски; проанализировать и оценить риски; f) определить и оценить различные варианты обработки рисков; д) выбрать цели и меры (средства) управления для обработки рисков; h) получить одобрение руководства в отношении предлагаемых остаточных рисков; i) получить разрешение руководства на внедрение и эксплуата- цию СМИБ; j) подготовить «Положение о применимости средств управления ИБ». При реализации и эксплуатации СМИБ организация должна осуществить следующее:
сформулировать план обработки риска, определяющий соответствующие действия руководства, ресурсы, распределение ответственности и приоритеты в отношении менеджмента рисков ИБ; внедрить план обработки риска для достижения идентифицированных целей управления, включающий вопросы финансирования, а также распределение ролей и ответственности; внедрить меры (средства) управления, выбранные при создании СМИБ, для достижения целей управления; определить, как измерять эффективность выбранных мер (средств) управления и как использовать эти измерения для оценки эффективности управления, чтобы получить сравнимые и воспроизводимые результаты; внедрить программы по обучению и повышению осведомленности сотрудников; f) управлять работой СМИБ; д) управлять ресурсами; h) внедрить процедуры и другие меры управления, обеспечивающие оперативное обнаружение и реагирование на инциденты, связанные с безопасностью. При проверке СМИБ организация должна осуществлять следующее: выполнять процедуры мониторинга и контрольного анализа, а также использовать другие меры управления, для того чтобы:
оперативно обнаруживать ошибки в результатах обработки; оперативно выявлять удавшиеся и неудавшиеся попытки нарушения и инциденты безопасности; предоставлять руководству возможность определить, работают ли меры по обеспечению безопасности, как переданные уполномоченным лицам, так и реализованные в информационных технологиях, как ожидалось; обнаруживать события безопасности, используя идентификаторы в целях предотвращения инцидентов безопасности; определять, являются ли эффективными действия, предпринимаемые для устранения нарушения безопасности; проводить регулярный анализ эффективности СМИБ (включая проверку ее соответствия политике и целям СМИБ и анализ мер управления безопасности) с учетом результатов аудиторских проверок безопасности, инцидентов, измерении эффективнос-
ти, а также предложений и пожеланий всех заинтересованных сторон; измерять эффективность средств управления для проверки удовлетворения требований безопасности; пересматривать оценки рисков через запланированные промежутки времени и анализировать уровень остаточного и приемлемого риска, учитывая изменения в:
организации; технологиях; бизнес-целях и процессах; выявленных угрозах; эффективности реализованных средств контроля; внешних событиях, например изменения требований законодательства или регулирующих органов, изменения в контрактных обязательствах, а также изменения в социальной среде; проводить внутренние аудиторские проверки СМИБ через запланированные интервалы времени; проводить на регулярной основе контрольный анализ СМИБ со стороны руководства для подтверждения адекватности области применения СМИБ и для выявления направлений совершенствования процессов СМИБ; д) обновлять планы безопасности с учетом результатов мониторинга и контрольных анализов; h) регистрировать действия и события, которые могли бы оказать воздействие на эффективность или работу СМИБ. При совершенствовании СМИБ организация должна осуществлять следующее: внедрять выявленные возможности для совершенствования в СМИБ; предпринимать необходимые корректирующие и превентивные действия. Применять на практике опыт в области безопасности, полученный как в собственной организации, так и в других организациях; обмениваться информацией о результатах и проведенных мероприятиях со всеми заинтересованными сторонами на уровне подробностей, подходящем для создавшихся обстоятельств, и согласовать дальнейшие действия, если нужно;
d) обеспечить, чтобы внедряемые усовершенствования достигали ожидаемых целей. Процессы проверки СМИБ организации позволяют проверить и оценить результаты процессов планирования СМИБ, а также процессов реализации и эксплуатации СМИБ. Кроме того, результаты процессов проверки СМИБ являются входными данными для процессов совершенствования СМИБ. Все это указывает на значимость процессов проверки СМИБ. Важность процесса аудита ИБ декларируется, например, в [40], где указывается, что при несоответствии процесса аудита информационной безопасности установленным критериям нельзя быть уверенным в целостности систем информационных технологий и при оценивании ИБ рейтинг аудита ИБ должен учитываться как наиболее значимый.
3.2.2. Осознание аудита информационной безопасности Под аудитом информационной безопасности организации будем понимать систематический, независимый и документируемый процесс получения свидетельств аудита ИБ и объективного их оценивания с целью установления степени соответствия ИБ организации установленным критериям аудита ИБ. Аудит может быть внутренним и внешним. Внутренние аудиты проводятся самой организацией или от ее имени для различных внутренних целей, например для оценки соответствия системы обеспечения ИБ установленным требованиям. Внешние аудиты проводятся сторонами, заинтересованными в деятельности организации, например потребителями или другими лицами от их имени или внешними независимыми организациями. При всей своей важности для обеспечения ИБ аудит ИБ далеко не во всех организациях признается необходимым процессом менеджмента ИБ. Осознание необходимости аудита ИБ формируется в результате анализа проблем ИБ организации и дальнейшего определения потребностей организации в оценке соответствия политик, процессов, процедур обеспечения ИБ организации установленным критериям ИБ. Основные элементы процесса осознания аудита ИБ представлены на рисунке 19.
Управление процессом Знания и опыт в области ИБ Законы и нормативные документы, связанные с аудитом и ИБ
Входные данные Виды бизнеса, продукты, услуги Описание бизнес-процессов Информация о среде Информация о процессах СМИБ
Процесс осознания аудита И Б > Формирование потребности' и требований к программе аудита ИБ • Определение ролей и ресурсов
Выходные данные Решения о разработке программы аудита И Б > Требования к программе аудита ИБ Роли и ресурсы для программы аудита И Б
Роли и обязанности • Руководство организации
Рис. 19. Основные элементы процесса осознания аудита ИБ Для процесса осознания аудита ИБ входными данными являются: виды бизнеса (деятельности), продукты и услуги организации; описание бизнес-процессов; информация о внутренней и внешней среде организации; информация о текущем состоянии процессов СМИБ. Описание видов бизнеса, продуктов и услуг организации и описание бизнес-процессов, реализующих цели бизнеса, должно выделять критичные с точки зрения ИБ продукты, услуги и соответствующие бизнес-процессы, определять их значение для достижения целей бизнеса. Информация о внутренней и внешней среде организации должна содержать сведения о всех угрозах и рисках целям бизнеса или их изменениях, связанных с ИБ. Информация о текущем состоянии процессов СМИБ должна показывать соответствие процессов целям ИБ организации, их результативность.
Участниками процесса осознания ИБ являются руководители организации, принимающие решения и влияющие на решения по поддержке и развитию СМИБ организации. Основой накопления опыта и знаний являются в первую очередь собственный уникальный опыт организации, а также известные факты и информация, полученные из таких источников, как Интернет, книги, стандарты, справочники, публикации и т.п. Источником собственного опыта являются прошлая деятельность по обеспечению ИБ организации, а также анализ угроз и уязвимостей для организации в условиях ее бизнеса. К мероприятиям процесса осознания аудита ИБ относятся формирование потребности в разработке и менеджменте программы аудита ИБ, формирование требований к программе аудита ИБ, определение ролей для разработки и менеджмента программы аудита ИБ, определение и выделение финансовых, кадровых и инфраструктурных ресурсов для разработки и менеджмента программы аудита ИБ. Под программой аудита ИБ понимается совокупность нескольких аудитов ИБ и других проверок ИБ (например, самооценок ИБ), запланированных на конкретный период времени и направленных на достижение конкретной цели. Потребность в разработке и менеджменте программы аудита ИБ организации формируется исходя из целей измерений ИБ, относящихся к аудиту ИБ. Цели аудита ИБ определяются руководством организации на основе бизнес-целей и результатов деятельности организации, а также на основе информации о внутренней и внешней среде организации, учитывающей оценку рисков ИБ. Такими целями могут быть идентификация уязвимостей системы обеспечения ИБ организации, оценка соответствия ИБ организации установленным критериям ИБ, повышение доверия к организации. При формировании решений о программе аудита ИБ анализируются стоимость программы аудита ИБ и выгоды от ее реализации. Потребность в разработке и менеджменте программы аудита ИБ документируется в виде решения руководства организации и утверждается им. Требования к программе аудита должны содержать требования к объему программы аудита ИБ, методологии проведения аудита, компетентности аудиторов, осведомленности сотрудников организации о программе аудита ИБ и требования к пересмотру и корректировке программы аудита И Б.
Требования к программе аудита ИБ могут указывать на необходимость периодического проведения самооценок ИБ. Самооценка ИБ является хорошей практикой проверки ИБ и подготовки к аудиту ИБ организации. С помощью самооценки ИБ организация может оценить соответствие ИБ установленным требованиям и самостоятельно провести анализ недостатков системы обеспечения ИБ. Результаты самооценки ИБ могут служить основанием для устранения выявленных недостатков системы обеспечения ИБ до проведения аудита ИБ в организации. Однако результаты самооценки ИБ не могут служить декларацией о соответствии ИБ организации установленным требованиям. Самооценка ИБ проводится сотрудниками организации, принимающими непосредственное участие в деятельности по обеспечению ИБ. Как правило, таковыми являются сотрудники службы ИБ организации. Результатом определения ролей для разработки и менеджмента программы аудита ИБ должно быть выделение ролей разработчиков и ответственных за программу аудита ИБ с соответствующими обязанностями. Финансовые, кадровые и инфраструктурные (физические и инструментальные) ресурсы определяются в зависимости от объема программы аудита ИБ. Обязанность руководства состоит в предоставлении этих ресурсов, чтобы обеспечить надлежащую реализацию программы аудита ИБ. К выходным данным процесса осознания аудита ИБ относятся решения о разработке программы аудита ИБ, требования к программе аудита ИБ, а также роли и ресурсы для программы. Такие результаты процесса осознания аудита ИБ приведут к установке, реализации и поддержке в организации программы аудита ИБ и обеспечат, чтобы запланированные аудиты ИБ и самооценки ИБ проводились в намеченные интервалы времени и позволили: определять, отвечает или нет система обеспечения ИБ организации установленным требованиям; проверять результаты предыдущих аудитов и самооценок и меры, предпринятые для исправления несоответствий; предоставлять информацию о результатах аудитов руководству организации; подтверждать, что средства обеспечения ИБ и персонал используются надлежащим образом.
омплексное обследование (аудит) чформационной безопасности одход компании «ЭЛВИС-ПЛЮС»
При создании любой информационной системы неизбежно возникает вопрос о ее защищенности от внутренних и внешних угроз безопасности информации. Но прежде чем решить, как именно защищать информацию, необходимо выяснить реальное положение в области обеспечения безопасности информации в организации и оценить степень защищенности ее информационных активов. Кроме того, информационная безопасность должна быть обеспечена как на техническом, так и на организационно-административном уровне, и только такой комплексный подход может дать должный эффект. Для решения этой задачи проводится комплексное обследование (аудит) информационной безопасности, целью которого является анализ процессов обеспечения безопасности информации при выполнении информационной системой своего главного предназначения — информационного обеспечения пользователей. Компания «ЭЛВИС-ПЛЮС» предлагает услуги по проведению аудита информационной безопасности на основе именно комплексного подхода, то есть осуществляет не только проверку достаточности используемых программно-аппаратных и технических средств защиты, но и проверку достаточности правовых, экономических и организационных мер (физической защиты, работы персонала, регламентации его действий). Комплексное обследование (аудит) информационной безопасности включает: классификацию информационных ресурсов; анализ имеющихся нормативных и организационно-распорядительных документов о порядке функционирования корпоративной информационной системы (ИС) и защите информации; анализ структуры, состава, принципов функционирования ИС и существующей системы защиты информации; оценку эффективности существующей системы защиты ИС с применением специализированных инструментариев и эксперт-
jji'iijj W ЦНІІЦ
Аудит — последовательность действий
Сбор и анализ исходных данных Технические средства защиты Методы и способы защиты
Обследование, описание
Методы менеджмента безопасности Организационные, экономические, правовые методы A ISO 17799, toOeJSO2700V Сертификот
>
т -В-о тз ш с S о т о СП CD СО О 13 аз о т о о
о тз -I аз т со аз с
о S о н CD 2
ных оценок специалистов «ЭЛВИС-ПЛЮС» по собственным методикам; определение степени участия персонала в обработке информации, требуемых категорий объекта и классов защищенности. Комплексное обследование (аудит) защищенности информационной системы предполагает также проведение анализа угроз безопасности информации и подготовку модели актуальных для организации заказчика угроз и их возможных реализаций. Анализ угроз необходим для качественной и количественной оценки как внешних, так и внутренних угроз безопасности информации, актуальных для обследуемой корпоративной информационной системы. В результате полученной оценки можно сформулировать полный набор требований к системе, обеспечивающей необходимый уровень защиты информационных активов. Большинство организаций, как правило, не имеет свободного времени, ресурсов и методик, позволяющих провести количественную (или хотя бы качественную) оценку угроз безопасности информации, исходящих как извне, так и изнутри организации. Модель реализации угроз
Угрозы ИБ Хищение Утрата Блокирование Уничтожение Модификация Отрицание подлинности Новязывание пожной Атака
Источники угроз Антропогенные Техногенные Стихийные
Уязвимости Объективные Субъективные Случайные
Методы реализоции угроз Аналитические Технические 'Программные Социальные Организационные
Устранение (ослабпение)
Методы защиты Правовые Организационные Технические Инженерно-технические Программно-аппоратные Последствия реализации угроз Ущерб собственнику
Компания «ЭЛВИС-ПЛЮС» использует собственный расчетно-аналитический метод, позволяющий выявить из полного перечня информационных угроз наиболее актуальные для конкретного обследуемого объекта и соответственно оптимизировать расходы на построение системы безопасности. В результате анализа строится модель угроз безопасности информации, проводятся их классификация, анализ и оценка источников угроз, уязвимостей (факторов) и методов реализации. Анализ угроз безопасности информации включает: определение приоритетности целей информационной безопасности; анализ информационных потоков ИС, точек их пересечения, точек обработки и хранения; определение перечня актуальных источников угроз; определение перечня актуальных уязвимостей; оценку взаимосвязи угроз, источников угроз и уязвимостей; определение перечня возможных атак на объект; описание возможных последствий реализации угроз; подготовку предложений по изменению структуры информационных потоков для повышения уровня защищенности ИС (при необходимости). Данные проведенного анализа и оценки используются при выборе адекватных методов парирования угроз, а также при определении задач для разработчиков (проектировщиков, поставщиков) систем обеспечения безопасности информации. В результате проведения аудита информационной безопасности заказчик получает возможность: оценить необходимость и достаточность принятых мер обеспечения безопасности информации; сформировать политику безопасности; правильно выбрать степень защищенности информационной системы; выработать требования к средствам и методам защиты; добиться максимальной отдачи от инвестиций в создание и обслуживание СОБИ; принять обоснованные управленческие решения по обеспечению необходимого уровня защищенности информационных активов организации.
Интегральная оценка актуальных атак для угрозы «Хищение (копирование) информации и средств ее обработки» (пример)
Результатом аудита могут быть и рекомендации по изменению инфраструктуры сети, обусловленные экономическими соображениями при решении проблем информационной безопасности или невозможностью достичь требуемого уровня защищенности при существующей инфраструктуре. Заказчику предоставляется аналитический отчет о текущем состоянии защищенности, в котором даются развернутые рекомендации по повышению уровня защищенности информации с помощью совершенствования комплекса организационно-технических и административных мер, применения специальных средств защиты информации (СЗИ) и использованию возможностей имеющихся программных и технических средств. Отчет может служить основой для разработки концепции информационной безопасности, профиля защиты, задания по безопасности, частного технического задания.
ОАО «ЭЛВИС-ПЛЮС» 124460, Москва, Зеленоград, Центральный проспект, 11 тел.: (495) 531-4633, 531-8863, 531-1622, факс: (495) 531-2403 www.elvis.ru, www.zastava.ru info@elvis.ru
3.2.3. Планирование программы аудита информационной безопасности Программа аудита ИБ включает деятельность, необходимую для планирования и организации определенного количества аудитов ИБ и, например, самооценок ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, которые требуются для эффективного и результативного проведения аудитов ИБ и самооценок ИБ в заданные сроки. Программа аудита ИБ разрабатывается самой организацией. В общем случае в организации могут быть разработаны несколько программ аудита И Б. Структура процессов менеджмента программы аудита ИБ представлена на рисунке 20. В соответствии с выделенными ролями по разработке и менеджменту программы аудита ИБ руководство организации распределяет пол-
Рис. 20. Структура процессов менеджмента программы аудита ИБ номочия и возлагает ответственность за разработку и менеджмент программы аудита ИБ на одно или нескольких лиц, имеющих представление о принципах аудита ИБ, компетентности аудиторов, содержании этапов аудита ИБ, а также обладающих знаниями по обеспечению ИБ. Ответственные за программу аудита ИБ должны: планировать, внедрять, контролировать, анализировать и совершенствовать программу аудита ИБ; определять потребность программы аудита ИБ в ресурсах и способствовать принятию решений об обеспечении программы необходимыми ресурсами. Программа аудита ИБ может включать, например, следующие виды проверок ИБ организации: внутренний аудит ИБ организации, проводимый ежегодно; самооценка ИБ, проводимая через каждые 6 месяцев;
с) аудиты по сертификации и инспекционные аудиты, проводимые органом по сертификации систем обеспечения ИБ в качестве третьей стороны, в период времени, согласованный между органом по сертификации и заказчиком. Программа аудита ИБ также включает планирование, обеспечение ресурсами, разработку процедур для проведения аудитов ИБ в объеме программы. Планирование программы аудита ИБ должно включать в себя определение целей, объема программы, а также необходимых финансовых, инфраструктурных и кадровых ресурсов для ее реализации. Основной целью программы аудита ИБ является улучшение системы обеспечения ИБ организации. При этом могут решаться и другие цели. Например, оценка соответствия ИБ организации установленным критериям ИБ, повышение доверия к организации. На объем программы аудита ИБ влияют размер и сложность структуры организации, область каждого аудита ИБ и самооценки ИБ, частота и продолжительность проводимых аудитов ИБ и самооценок ИБ. При определении возможности проведения аудита следует учитывать следующие факторы: достаточность и наличие необходимой информации для планирования аудита ИБ; наличие времени и необходимых ресурсов; готовность к сотрудничеству со стороны проверяемой организации. В случае невозможности проведения аудита необходимо предложить заказчику альтернативное решение на основе консультаций с проверяемой организацией (например, перенос сроков аудита ИБ, привлечение для проведения аудита ИБ другой аудиторской организации). Частота проверок зависит от возможностей и ресурсов организации и устанавливается как компромисс между потребностью в проведении проверок и стоимостью их проведения. В зависимости от возможностей и ресурсов организации первоначальный объем программы аудита ИБ может быть ограничен теми процессами системы обеспечения ИБ организации, которым руководство присвоило наивысший приоритет. В дальнейшем первоначальный объем программы аудита ИБ может быть расширен. Как определить наиболее критичные бизнес-процессы, каким процессам обеспечения ИБ уделить особое внимание при проведении
аудита ИБ или самооценки ИБ, на какие процессы прежде всего нацелить программу аудита ИБ? Подобные вопросы могут быть решены, если для выявления критичных бизнес-процессов и проблем ИБ применять риск-ориентированный подход на этапе планирования программы аудита ИБ. Любая организация при осуществлении своей деятельности подвержена рискам, которые так или иначе влияют на специфику ведения бизнес-процессов, а также могут негативным образом повлиять как на финансовые показатели, так и на возможности предприятий продолжать бизнес. При этом некоторые из рисков вследствие незначительности последствий их реализации могут приниматься «как есть», для других разрабатываются и внедряются корректирующие меры. В частности, можно принять риски, влекущие малые негативные последствия и вероятность реализации которых маловероятна. Согласно международному стандарту IS0/IEC 17799 [39] информационная безопасность — это защита информации от множества различных рисков для целей обеспечения непрерывности бизнеса, минимизации бизнес-рисков, повышения доходов на вложенные инвестиции и расширения возможностей бизнеса. Аналогично [39] стандарт Банка России по информационной безопасности СТО БР ИББС-1.0-2006 [41] также определяет риск-ориентированный подход в качестве основы для построения системы обеспечения ИБ. Очевидно, что некоторые бизнес-процессы являются наиболее значимыми для организации, другие процессы менее критичны. Причем оценка степени критичности может базироваться не только на финансовых показателях, но и на текущих приоритетах бизнеса, условиях и требованиях рынка, требованиях законодательства и регуляторов рынка, уровне корпоративной культуры и т.п. Соответственно при планировании аудита вопросов ИБ необходимо в первую очередь выявить наиболее критичные области деятельности организаций (в рамках применимости к вопросам обеспечения ИБ). Совершенно нет необходимости проводить детальный анализ вопросов, которые несущественны для бизнеса. Поэтому при планировании аудита необходимо также учитывать возможность изменения критичности процессов во времени, например при закрытии банковского операционного дня, отправке платежей, формировании годовой отчетности и т.п.
Люди (персонал организаций, клиенты, поставщики), процессы (внутренние и внешние, политики и процедуры) и технологии являются тремя ключевыми аспектами обеспечения ИБ. Поэтому даже у предприятий, работающих в одном сегменте рынка, имеющих подобные организационно-правовые структуры, способы ведения бизнеса и бизнес-процессы вследствие уникальности уровня корпоративного управления, технологий и персонала, существуют свои специфичные риски. Для каждой организации должна разрабатываться своя программа аудита ИБ. При этом при детальном планировании аудита необходимо иметь полную картину по проверяемой организации, т.е. выявление наиболее значимых сегментов бизнеса и направлений приоритетного развития, анализ финансовых показателей по основным направлениям деятельности, организационной структуры, используемых технологических решений, а также других аспектов, которые могут существенно влиять на уровень обеспечения ИБ организаций. Можно проверить настройки параметров безопасности всех баз данных и операционных систем организации, но нужно ли это? В силу ограниченности ресурсов (временных, людских и финансовых) аудита рекомендуется ограничиваться наиболее существенными для бизнеса областями, для которых уже и выявляются конкретные системы и процедуры, попадающие под проверку. При проведении подобного планирования рекомендуется использовать комбинации подходов «нисходящего анализа» (top-down approach) и «восходящего анализа» (bottom-up approach). Подход «нисходящего анализа» основывается на том, что оценка рисков ИБ производится на базе анализа критичности бизнес-процессов. И уже только на основе данного анализа для выбранных процессов производится анализ рисков и результатов контроля, связанных с использованием конкретных приложений, баз данных, операционных систем, конфигураций сетевого оборудования и других вопросов ИБ конкретных критичных бизнес-процессов. Подход «восходящего анализа» применяется в обратном случае, т.е. когда известна или выявлена какая-либо проблема, и необходимо понять, на какие бизнес-процессы и сегменты бизнеса данная проблема влияет и соответственно после этого сделать вывод о критичности выявленного недостатка. Графическое представление данных подходов показано на рисунке 21.
Лучшие книги Гражданский процесс: Вопросы и ответы ЗАПАДНОЕВРОПЕЙСКОЕ ИСКУССТВО от ДЖОТТО до РЕМБРАНДТА Коммуникации стратегического маркетинга Консультации по английской грамматике: В помощь учителю иностранного языка. Международные экономические отношения |