Название: Аудит информационной безопасности - Курило А.П. Жанр: Аудит Рейтинг: Просмотров: 1519 |
5.2. аудит управления непрерывностью бизнеса и восстановления после сбоев5.2.1. Предпосылки Поворотным моментом в области управления непрерывностью бизнеса послужили события 11 сентября 2001 г. в США. В частности, было продемонстрировано, что некоторые из крупных финансовых организаций смогли достаточно быстро восстановить свою деятельность, используя антикризисные программы и планы непрерывности бизнеса (Business Continuity Plan). Сегодня практически все ведущие организации отмечают, что наличие подготовленных технических решений, работающего плана непрерывности бизнеса, а также внедрение корпоративных регулирующих норм в области поддержания непрерывно-
сти являются одними из основных компонентов успешного бизнеса. Последние тенденции в области управления ИТ и информационной безопасностью также показывают, что вопросы обеспечения доступности сервисов и ресурсов выходят на первое место. Террористический акт — не единственная угроза для непрерывности критичных бизнес-процессов компании. Существуют гораздо более «прозаичные» и наиболее часто случающиеся инциденты, которые приводят к сбоям и остановкам бизнеса или же вообще к фатальным последствиям для компаний. Это различного рода сбои телекоммуникационных и энергетических систем, серверов и приложений. Пожары, наводнения, техногенные катастрофы, принудительная эвакуация и т.п. такжеявляются ключевыми рисками прерываний бизнеса. Особую роль играет человеческий фактор — ошибки персонала или преднамеренные действия, уход ключевых сотрудников. Проблемы обеспечения непрерывности деятельности приобретают все большее значение в современных условиях, когда деятельность организаций в значительной степени зависит от информационных систем. В случае сбоя для компании чрезвычайно важно оперативно и с наименьшими затратами возобновить деятельность критичных бизнес-процессов, восстановить функционирование систем, процессов и данных. Поэтому способность организаций восстанавливать и продолжать деятельность в экстренных ситуациях, а также минимизировать риски сбоев и негативные последствия прерываний имеет ключевое значение для жизнеспособности бизнеса и его развития.
.2.2. Немного о терминах «Планирование непрерывности бизнеса» (Business Continuity Planning) можно определить как «многогранную деятельность, направленную на разработку мер по снижению рисков прерывания бизнеса, негативных последствий таких сбоев, разработку и внедрение превентивных мер и оптимальных стратегий восстановления ключевых бизнес-процессов до приемлемого уровня в определенной последовательности и установленные сроки, начиная с момента прерывания». Почему многогранную? Потому, что современные методологии покрывают не только вопросы полнофункционального восстановления широкого спектра составляющих элементов инфраструктуры информационных технологий, но и аспекты внутрихозяйственных отношений, договор-
ных отношений с внешними компаниями, производственной и информационной безопасности, взаимодействия с регулирующими органами, персоналом, а также многие другие направления, которые относятся к областям риск- и кризис-менеджмента. Таким образом, «План непрерывности бизнеса» (Business Continuity Plan) направлен на обеспечение непрерывности критичных бизнес-процессов и их восстановление после сбоев. «План восстановления после сбоя» (Disaster Recovery Plan) является составной частью «Плана непрерывности бизнеса» и направлен на восстановление специфичной функции или бизнес-процесса до уровня, требуемого для «выживания». При этом «Управление непрерывностью бизнеса» (Business Continuity Management) — это процессы, методы и техника управления, направленные на обеспечение непрерывности функционирования критичных бизнес-процессов.
5.2.3. Методологии, стандарты и нормативные требования в области управления непрерывностью бизнеса В настоящее время существует достаточно большой ряд нормативных актов (международных и российских), которые так или иначе связаны с вопросами обеспечения непрерывности бизнеса и восстановления после сбоев и регулируют отношения в данной области. Так, например, некоторые из таких актов определяют степень ответственности компаний и индивидуумов за невозможность организаций продолжать деятельность, правила хранения документации, предоставления отчетности, регулируют договорные отношения, вопросы производственной безопасности персонала, охраны личных сведений и частной жизни и многие другие. При этом спектр, действие и применимость конкретных законодательных и других регулирующих актов напрямую зависят от специфики бизнеса конкретного предприятия. Например, существует ряд специфичных требований к организациям финансового сектора, медицинским учреждениям, организациям, чьи акции «котируются» на биржах, и т.д. Соответственно также развита и методологическая база в области «управления непрерывностью бизнеса». Ниже приведены лишь некоторые фрагменты требований действующих стандартов и нормативных актов Банка России.
5.2.3.1. Международные В стандарте C0BIT [35] вопросы обеспе- стандарты чения непрерывности бизнеса рассматри- ваются в области процессов «Эксплуатация и Сопровождение», а именно: процессе DS.4 «Обеспечение непрерывности обслуживания». «Обеспечение непрерывности» по C0BIT определяется как контроль процессов, связанных с обеспечением непрерывности предоставления ИТ-услуг с целью удовлетворения бизнес-требованиям в части соответствия требованиям по обеспечению доступности требуемых ИТ-услуг и гарантированию минимального ущерба в случае крупного сбоя. Это обеспечивается наличием действующего и протестированного плана непрерывности и восстановления ИТ, который соответствует общему плану непрерывности бизнеса, а также бизнес-требованиям. В стандартах ISO/IEC 17799/IS0/IEC 27001 обеспечение непрерывности бизнеса определяется как одна из важнейших задач в области информационной безопасности, что непосредственно отражено в разделе 11 стандарта IS0/IEC 17799 следующими требованиями: 11.1. Аспекты управления непрерывностью бизнеса. Процесс управления непрерывностью бизнеса. Непрерывность бизнеса и анализ влияния. Разработка и внедрение планов непрерывности. Компоненты планирования непрерывности бизнеса. Тестирование, поддержка и переоценка планов непрерывности бизнеса.
Тестирование планов. Поддержка и переоценка планов. Стандарты института непрерывности бизнеса (ВСІ — (the Business Continuity Institute) представляют целевое рассмотрение всех связанных с обеспечением непрерывности бизнеса вопросов. ВСІ — это международная некоммерческая организация профессионалов в сфере обеспечения непрерывности бизнеса. Цель и роль ВСІ — продвижение высших профессиональных стандартов и коммерческой этики в области поддержки планирования непрерывности бизнеса и предоставления услуг в данном направлении. ВСІ определяет 10 стандартов/направлений в области управления непрерывностью бизнеса: Организация и управление проектом. Оценка и контроль рисков.
Анализ влияния на бизнес. Разработка стратегий обеспечения непрерывности. Реакция на чрезвычайные ситуации. Разработка и внедрение планов непрерывности бизнеса. Программы обучения и повышения осведомленности персонала. Поддержка и тестирование планов непрерывности бизнеса. Связи с общественностью и управление кризисом. Взаимодействие с регулирующими органами. ВСІ также издал методологию Good Practice Guide (или GPG) и совместно с BSI специализированный стандарт PAS-56. На конец 2006 г. на замену PAS-56 запланированы к выходу также следующие стандарты по управлению непрерывностью бизнеса: BS 25999-1 (Code of practice) (в настоящее время уже вышел проект документа); BS 25999-2 (Specification).
Банк России в свете законодательных 5.2.3.2. Стандарт, норм, определяющих сферу ответственно- положения и требования сти Банка России в рамках национальной Банка России финансовой системы, уделяет достаточно большое внимание вопросам обеспечения стабильности рынка банковских услуг и, как национальный банковский регулятор, издал ряд положений, указаний и других нормативных актов, которые так или иначе регулируют вопросы обеспечения непрерывности бизнеса, включая следующие документы: Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2006; Письмо ЦБ РФ от 24.05.2005 № 7б-т «Об организации управления операционным риском в кредитных организациях»; Указание ЦБ РФ от 27.07.2004 № 1481-У «0 внесении изменений в Указание Банка России от 16 января 2004 года № 1376-У "0 перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации"»; Указание ЦБ РФ от 16.01.2004 № 1376-У «0 перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации»;
«Положение об организации внутреннего контроля в кредитных организациях и банковских группах» (утв. ЦБ РФ 16.12.2003 № 242-П); Письмо ЦБ РФ от 13.05.2002 № 59-Т «О рекомендациях Ба-зельского комитета по банковскому надзору». В частности, СТО БР ИББС-1.0-2006 устанавливает следующие требования обеспечения непрерывности бизнеса: организации следует разработать и внедрить план обеспечения непрерывности бизнеса (деятельности) и восстановления после прерываний; план и соответствующие процессы восстановления должны пересматриваться на регулярной основе и своевременно обновляться; эффективность документированных процедур восстановления необходимо периодически проверять и тестировать; с планом должны быть ознакомлены все сотрудники, отвечающие за его выполнение и вовлеченные в процессы восстановления. (См. п. 9.6 «Обеспечение непрерывности бизнеса (деятельности) и восстановление после прерываний» раздела 9 «Система менеджмента информационной безопасности организации БС РФ» стандарта.) Таким образом, в области обеспечения непрерывности бизнеса существует достаточно развитая и проработанная методологическая база. Необходимо лишь ясно осознавать сферу действия того или иного стандарта (например, стандарт C0BIT ориентирован на непрерывность непосредственно только ИТ-услуг) и уже после этого применять в соответствующих областях проверок. То есть необходимо убедиться, что выбираемая методология удовлетворяет целям организации и, следовательно, последующего аудита обеспечения непрерывности бизнеса и покрывает все критичные направления и аспекты деятельности аудируемого предприятия.
5.2.4. Основные цели аудита Основной целью аудита управления (обеспечения) непрерывностью бизнеса и восстановления после сбоев является необходимость убедиться в том, что в организации внедрены контрольные механизмы,
минимизирующие риски прерываний критичных бизнес-процессов и негативные последствия таких прерываний, в частности: проведена оценка рисков прерываний, и разработан план действий по внедрению корректирующих мер контроля, и на данные меры выделены соответствующие бюджеты; данный план действий выполняется и контролируется руководством; соответствующие политики, стандарты, процедуры в области обеспечения непрерывности и соответствующие договорные соглашения исполняются, как это установлено; ИТ-системы, данные и другие ресурсы, необходимые для восстановления, будут доступны в соответствии с установленными требованиями; план непрерывности бизнеса и восстановления ИТ после сбоев разработан, адекватен и соответствует текущим потребностям организации; разработаны и внедрены процедуры обеспечения безопасности персонала в критичных ситуациях.
5.2.5. Основные вопросы, рассматриваемые при аудите В ходе аудита обычно рассматриваются следующие аспекты управления непрерывностью бизнеса: политики и основы процессов управления непрерывностью бизнеса; процедуры действий в чрезвычайных ситуациях; оценка рисков и анализ влияния прерываний на бизнес, управление рисками; компоненты планирования непрерывности бизнеса; стратегии обеспечения непрерывности бизнеса и восстановления после сбоев; ресурсы, требуемые для восстановления; разработка и внедрение планов непрерывности бизнеса и восстановления ИТ после сбоев; процедуры альтернативной работы подразделений; удаленное хранение резервной информации; резервная площадка;
распространение планов; обучение, тренировки; тестирование, поддержка и пересмотр планов; заключительные процедуры.
5.2.6. Реализация аудита Информация по вышеперечисленным вопросам получается в рамках стандартных аудиторских процедур путем: проведения интервью ключевого персонала организации (руководство организации, ключевые сотрудники основных бизнес-подразделений и подразделений поддержки, включая отдел кадров, физическую безопасность, администрацию и т.п., т.е. не ограничиваясь только сотрудниками ИТ-подразделений.); анализа существующей нормативной базы (политики, корпоративные стандарты, планы непрерывности бизнеса и восстановления после сбоев и т.п.); анализа контрактов с поставщиками услуг (в рамках проекта, концентрируясь на вопросах гарантирования непрерывного предоставления услуг и процедурах реагирования поставщика в случае прерываний/сбоев); проведения непосредственно обзоров (центров обработки данных, резервной площадки, мест хранения резервной информации и т.п.); ограниченного тестирования отдельных процедур обеспечения непрерывности (контроль исполнения процедур архивирования, удаленного хранения резервной информации, оснащения резервной площадки, настроек информационных систем и т.п.). Соответственно перед началом аудита составляется аудиторская программа, которая может быть уточнена в ходе реализации проекта (например, после выявления существенных моментов, о которых не было известно до начала проекта). Обобщая требования PAS-56, ISO/IEC17799/IS0/IEC 27001, а также так называемую хорошую практику, приведем пример (выдержку) возможной программы аудита вопросов управления непрерывностью бизнеса, который может служить некоторым ориентиром организациям, планирующим проведение такого аудита или самооценки.
Получение предварительной информации: получить общее представление об организации, ее бизнесе, организационной структуре и используемых ИТ-технологий; определить, какие политики и другие руководящие документы имеют отношение к обеспечению непрерывности бизнеса и восстановления после сбоев, если таковые имеются в наличии. Получить копии данных документов; имеется ли у организации план восстановления после аварий и стихийных бедствий; получить копию плана непрерывности бизнеса и восстановления после сбоев; получить копию организационной структуры организации; определить персонал для последующего интервью; получить инвентарную опись используемых информационных систем, платформ и решений; получить копии договоров на использование резервных площадок; получить результаты последних проверок вопросов обеспечения непрерывности бизнеса; ознакомиться с контрактами страхования; ' • уточнить и подтвердить план аудиторской проверки. Проверка анализа рисков: определить, был ли проведен анализ рисков и адекватны ли его результаты; определить, проводился ли подобный анализ для критичных по времени бизнес-процессов (включая понимание зависимости данных процессов от ИТ-ресурсов, систем и технологий); определить, проводились ли предварительная оценка потенциальных угроз и рисков и оценка влияния прерываний на ключевые бизнес-процессы организации. Проверка ответственных лиц: определить ответственного за разработку плана, а также степень вовлеченности в разработку плана всех ключевых пользователей, принимающих участие в восстановлении бизнеса; определить, кто несет ответственность за управление/коорди-нацию в рамках плана; несет ли администратор/координатор плана ответственность за поддержание плана в актуальном состоянии;
назначены ли команды реализации плана (т.е. ответственные лица, которые должны предпринимать определенные действия в случае наступления нештатных ситуаций); документированы ли обязанности каждой команды; получить структуру команд восстановления и список членов команд; определить, где хранятся контакты команд реализации плана (следует принять во внимание, что каждому руководителю группы восстановления должны быть доступны все контактные данные членов данной команды, включая имена, рабочий, домашний, мобильный телефоны и т.д.); определить, насколько адекватно ведется контактная информация по ключевым лицам и организациям, которые могут потребоваться при восстановлении (внутренние и внешние контакты, включая контакты сотрудников, ключевых клиентов, регулирующих органов, поставщиков, страховой компании и т.п.); определить, где хранится план непрерывности бизнеса и восстановления после сбоев (убедиться в том, что ключевые члены команды имеют копии плана как в офисе, так и дома). Оценка плана непрерывности бизнеса и восстановления после сбоев: получить и проанализировать план непрерывности бизнеса и восстановления после сбоев; определить, когда план последний раз пересматривался/дополнялся; определить, являются ли план и процедуры восстановления актуальными и полными, а также утверждены ли они руководством; убедиться, что план восстановления ИТ является составной частью плана непрерывности бизнеса и отражает текущее состояние бизнес-среды; убедиться в адекватности плана непрерывности бизнеса и восстановления после сбоев в части поддержки возможности своевременного восстановления критичных бизнес-процессов и компьютерных систем в случае сбоя; присвоен ли в плане системам приоритет восстановления в зависимости от риска для бизнеса?
определить, какие критичные системы рассмотрены в плане; определить, все ли системы предполагается восстанавливать на одном объекте? Если нет, то каким образом будет обеспечиваться доступность информации на других объектах в случае необходимости; позволяет ли план помочь произвести восстановление критичных бизнес-процессов и систем в рамках предварительно определенных отрезков времени (т.е. в случае невозможности восстановления определенных систем за определенное время последствия для бизнеса могут быть катастрофическими, и соответственно последующее восстановление данных систем будет бесполезным); рассмотрены ли в плане требования по функционированию каждой из систем; определить, какие системы не рассмотрены в плане и почему; определить, какое оборудование не рассмотрено в плане и почему; имеются ли в плане какие-либо допущения и какие именно; каковы процедуры активации плана; определить, установлены ли формальные требования по пересмотру плана и внесения в него изменений и дополнений с определенной периодичностью, например через 6 месяцев. Проверка процедур резервного копирования и восстановления данных: имеются ли в наличии формальные процедуры резервного копирования и восстановления данных? какие функции/системы/компоненты рассмотрены в данных процедурах; рассмотреть процедуры резервного копирования по каждой системе, включенной в план восстановления после сбоев; определить, следует ли организация данным процедурам; проводилось ли обучение персонала процедурам и использованию оборудования резервного копирования; определить проводится ли периодическое формальное тестирование вопросов процедур восстановления данных с резервных копий; включает ли документация по каждой системе, подлежащей восстановлению, описание процессов, а также оборудования,
которое требуется восстанавливать (т.е. для приложения, использующего ПК для ввода данных и клиент-серверную архитектуру для хранения данных, это должно быть описано наряду с требуемым ПО). Проверка удаленного хранения резервных данных: определить, существуют ли формальные требования и процедуры по вопросам удаленного хранения резервных данных; определить, где находится внешний центр хранения данных; посетить объект удаленного хранения резервных данных. Определить адекватность объекта и процедур хранения (включая требования обеспечения конфиденциальности, целостности и доступности данных), а также перечень реально хранимых данных; убедиться в эффективности процедур проверки полноты получения отправленных данных, необходимых для бизнес-подразделений (не только проверка журнала полученных данных, но и сверка с отправленными данными); определить периодичность и адекватность проверки журналов регистрации хранимых архивных копий на предмет полноты. Проверка резервной площадки: определить, где расположен резервный центр обработки информации; существуют ли резервные площадки (следует иметь в виду, что резервные площадки не должны быть подвержены тем же рискам, что и основные площади); предполагалось ли использование резервных объектов во время проведения последнего теста; если нет, когда последний раз резервные объекты были использованы для целей тестирования; если резервные объекты не использовались более года, каким образом организация определяет возможность функционирования используемых программ на резервном оборудовании; каковы результаты тестирования; получить и проанализировать соглашение об использовании резервной площадки (если такая услуга используется); посетить резервную площадку; проанализировать требования и рекомендации по созданию «горячих»/«холодных» резервов, включая создание резервной ИТ-инфраструктуры;
оценить соответствие резервной площадки требованиям по восстановлению, включая вопросы совместимости с основной компьютерной инфраструктурой организации; сравнить журнал оборудования на объекте с реально имеющимся в наличии оборудованием; проверить полноту записей и актуальность журнала регистрации посетителей резервной площадки; определить периодичность и адекватность проверки журналов регистрации на предмет полноты; определить, осведомлены ли сотрудники, вовлеченные в процессы восстановления, о резервной площадке (адрес, контакты, процедуры переезда и т.п.), а также о действиях непосредственно на площадке; определить адекватность существующего уровня доступности резервной площадки (например, 24x7x365); удостовериться, что резервная площадка не подвержена тем же рискам, что и основная площадка. Тестирование плана: определить, выделен ли руководством бюджет на тестирование плана непрерывности бизнеса и восстановления после сбоев; какова процедура пересмотра/дополнения плана; каково расписание тестирования плана и степень вовлеченности ключевого персонала; когда производилось последнее тестирование (следует оценить адекватность теста — «настольный/логический» тест может не выявить ряд потенциальных проблем); каким образом тестирование помогло повысить готовность организации к нештатным ситуациям; проверить результаты тестирования плана; определить, были ли проведены мероприятия по устранению выявленных недостатков. Проверка обучения персонала: определить, проходили ли пользователи и ИТ-персонал обучение действиям в случае нештатных ситуаций или прерываний; включала ли в себя программа обучения раздел о связи со сторонними организациями (включая представителей прессы и телевидения);
определить, осведомлены ли пользователи и ИТ-персонал о ручных или автоматизированных процедурах, предполагаемых к использованию в случае недоступности основных ИТ-систем на протяжении длительного периода времени; опросить ИТ-персонал на предмет обучения/знаний смежных областей (на случай отсутствия основного сотрудника).
5.2.7. Заключительные процедуры аудита По результатам аудита разрабатывается отчет руководству по областям, требующим улучшения, если таковые имеются. Это включает в себя указание недостатков и рекомендации по совершенствованию существующих организационных и технических мер (т.е. рекомендации по устранению недостатков). Такие рекомендации должны быть специфичными/конкретными и реалистичными/практичными, при этом стоимость разрабатываемого решения (время и деньги) не должна превышать возможные последствия реализации указанного риска. Соответственно часть рисков вследствие незначительности негативных последствий их реализации можно принять. Однако в любом случае только руководство организации может принять решение о внедрении того или иного контроля или же принятии риска. План корректирующих мер должен включать в себя указание лиц, ответственных за реализацию конкретного действия (внедрение конкретного контроля), а также приоритет и реалистичные сроки для внедрения такого решения. В первую очередь рекомендуется внедрять те контроли, которые не требуют серьезных инвестиций и нацелены на компенсирование критичных недостатков (например, изменение настройки системы может быть реализовано достаточно быстро и без серьезных инвестиций).
.3. Особенности аудита информационной езопасности организаций, использующих утсорсинг В настоящее время использование аутсорсинга является достаточно распространенной практикой. Причины для передачи ряда ресурсов и процессов на поддержку и исполнение сторонними организациями
могут быть разные — вывод непрофильных операций, стремление уменьшить операционные расходы, снижение зависимости от ключевого персонала и т.п. Однако компании не просто передают в сторонние организации персонал, данные, технологии — они теряют частичный контроль над ресурсами и процессами, переданными в аутсорсинг, «приобретая» при этом дополнительные риски. Появление новых рисков можно рассмотреть на примере передачи функций поддержки интернет-сайта в хостинговую организацию. Несмотря на то что компания может уделять серьезное внимание вопросам обеспечения своей информационной безопасности, зачастую возникает ситуация, когда она не может гарантировать такой же (или больший) уровень безопасности для информации, размещаемой на интернет-серверах, техническое управление которыми осуществляется третьей стороной. Как при этом убедиться в сохранности критичной информации и ограничении доступа к ней? Достаточно ли сил и средств уделяет аутсорсинговая организация защите ресурсов именно вашей компании? Достаточно ли компетентен ее персонал по вопросам информационной безопасности? Каким образом ваша компания будет проинформирована (и будет ли вообще) о сбоях и нарушениях требований по обеспечению доступности, целостности и конфиденциальности информации, которая передана на аутсорсинг? Вопросов возникает очень много, и, для того чтобы ответить на них, зачастую необходимо проводить специализированные проверки (аудит), по результатам которых и внедряются соответствующие меры контроля. Необходимо отметить, что в международной практике вопросам контроля процессов и ресурсов, переданных в аутсорсинг, уделяется достаточно серьезное внимание. Например, для случаев использования сторонних услуг, связанных с использованием информационных или интернет-систем, существуют специализированные критерии/принципы оценки (например, SysTrust и WebTrust — проекты типа Trust Services). Данные критерии служат базой для определения требований к системам контроля за информационными системами (SysTrust) и интернет-решениями (WebTrust) по следующим аспектам: безопасность (система защищена от неавторизованного физического и логического доступа); доступность (система доступна для операционного использования согласно договоренности);
целостность обработки (система обрабатывает данные полностью, аккуратно, вовремя и в соответствии с авторизацией); конфиденциальность (информация, определенная как «конфиденциальная», защищается согласно договоренности); онлайновая защита персональных данных (персональная информация, полученная в результате интернет-операций, собирается, используется, раскрывается и хранится согласно договоренности) (применимо только для услуг WebTrust). В настоящее время практически все передовые методологии, последние стандарты и нормативные акты в области управления ИТ и информационной безопасностью (включая C0BIT-4.0 и IS0/IEC 17799) так или иначе регулируют вопросы, связанные с аутсорсингом. Проведение соответствующего анализа рисков и контролей при использовании аутсорсинга становится особенно актуальным, если переданные функции/ресурсы поддерживают критичные области деятельности организаций. Например, в секции 404 Закона Сарбейнса—Оксли (или S0X-404) говорится, что если компания использует сторонние организации для целей обработки или хранения данных (или предоставления других услуг), которые так или иначе могут повлиять на формирование финансовой отчетности или соответствие законодательным нормам, или предотвращение случаев мошенничества, то руководство компании должно соответствующим образом оценивать адекватность системы контроля поставщика над данными ресурсами/услугами. При этом оценка контроля проводится по всем пяти областям контроля C0S0 (the committee of sponsoring organizations of the treadway commission): контрольная среда и нравственный климат (control environment); оценка риска (risk assessment); мероприятия контроля (control activities); сбор и анализ информации и передача ее по назначению (information and communication); 5) мониторинг и исправление ошибок (monitoring). Необходимо отметить, что возможны два основных варианта получения такой оценки: компания сама проводит соответствующий обзор или же поставщик привлекает независимого аудитора для проведения оценки по критериям SAS-70 (SAS-70 регулирует вопросы оценки системы контролей сервисных организаций). В случаях когда оценка по SAS-70 не проводится, сервисная организация должна быть готова
Практика аудита информационной безопасности организаций и систем
соответствующим образом отвечать на все запросы ее клиентов относительно контролен по вышеперечисленным областям. Термин «аутсорсинг» можно определить как «формальное соглашение между сторонами о выполнении сторонней организацией на регулярной основе определенных бизнес-функций». Поэтому можно выделить следующие основные аспекты, рассматриваемые при аудите вопросов, связанных с использованием аутсорсинга: перечень услуг и функций, переданных в аутсорсинг; требования по обеспечению требуемого уровня услуг; требования по обеспечению физической и логической безопасности; требования к поставщику услуг; процедуры взаимодействия компании с поставщиком услуг; • юридические аспекты (содержание и полнота контракта). Перечень областей охвата получается достаточно широкий, что и необходимо учитывать при планировании аудита информационной безопасности организаций, использующих аутсорсинг. Для таких случаев особенно важно правильно распределить задачи между специалистами по информационной безопасности, специалистами, обладающими юридическими знаниями (область особого внимания), специалистами, обладающими опытом работы с компаниями-поставщиками услуг, а также специалистами, обладающими базовыми знаниями в области управления непрерывностью бизнеса и кризис-менеджмента (естественно, возможны ситуации, когда такими знаниями обладает один человек). Перечень тем, которые рекомендуется рассматривать и учитывать при аудите вопросов, связанных с аутсорсингом, приведен ниже. При этом необходимо отметить, что вопросы эффективности и оптимизации аутсорсинговых услуг в данной статье не рассматриваются.
Перечень услуг и функций, переданных в аутсорсинг При проведении аудита необходимо определить, какие именно ресурсы и бизнес-процессы были переданы на аутсорсинг сторонней организации, какова их критичность (как для самой компании, так и для целей аудита). Договор со сторонней организацией должен включать детальное описание услуг, предоставляемых аутсорсинговой организацией по данному соглашению. Очевидно, что не все может быть передано в аутсорсинг, например принятие управленческих решений должно оставаться за руководством компании. Перед окончательным решением по передаче ресурсов и процессов на аутсорсинг должна быть проведена соответствующая формальная оценка рисков.
Требования по обеспечению требуемого уровня услуг «Хорошая практика» рекомендует компаниям разработать и внедрить формальную политику и процедуры по управлению рисками аутсорсинга. Соответственно в компании должны быть внедрены формальные процедуры регулярного контроля процессов, переданных в аутсорсинг. Любой договор по аутсорсингу должен определять параметры качества по каждому виду услуг, т.е. параметры, которые исполнитель гарантирует выполнить в рамках договора в соответствии с утвержденным уровнем сервиса (service level agreement — SLA), и соответственно перечень методов и средств их контроля. Пример таких параметров может включать: параметры каналов связи (серверов и т.п.); период доступности (24x7x365 и т.п.); максимальное время и количество внеплановых простоев (в течение года, квартала или месяца); максимальное время и количество плановых простоев (например, необходимые для профилактики). Требования по обеспечению физической и логической безопасности В настоящее время любой договор содержит отдельное положение по обеспечению конфиденциальности информации. Тем не менее, исходя из практики аудита, можно сказать, что вопросы детальных механизмов обеспечения физической и логической защиты данных не всегда проговариваются в таких соглашениях. Например, вопросы обеспечения физической безопасности в рамках договора могут включать основные положения по: ограничению физического доступа на площадки, где расположено оборудование компании; защите от отключения электроснабжения; защите от отключения каналов связи; защите от пожаров;
защите от затоплений; защите от внешних воздействий и природных факторов; защите от техногенных катастроф. Описание механизмов контроля логического доступа к информационным системам могут включать требования по: использованию мер идентификации, аутентификации, авторизации; ограничению и разграничению доступа (в том числе для сотрудников исполнителя); использованию антивирусной защиты; использованию межсетевого экранирования; использованию системы обнаружения и предотвращения вторжений; использованию криптографической защиты; обеспечению конфиденциальности информации клиента.
Требования к поставщику услуг Вопросам выбора поставщика решений и услуг традиционно уделяется большое внимание. Существует достаточно много подходов, рекомендаций, опросников и т.п. по проведению тендеров и выбору поставщика аутсорсинговых услуг. Ниже приведены лишь некоторые из наиболее значимых аспектов такого выбора: соблюдение внутренних политик и процедур проведения тендера по выбору поставщика услуг; надежность/стабильность поставщика (что это за организация; будет ли она доступна для заказчика, когда это потребуется; каково ее финансовое положение); имеет ли исполнитель внедренный план непрерывности бизнеса на случай возникновения внештатных ситуаций и сбоев (является одним из основополагающих требований); насколько квалифицирован персонал исполнителя; насколько этот персонал способен принимать решения в рамках договора; помещения исполнителя (насколько соответствуют требованиям заказчика; насколько защищены от физических и технологических факторов; подвержены ли данные площади тем же рискам, что и основные площадки заказчика); страхует ли исполнитель свои активы и свою профессиональную деятельность.
Процедуры взаимодействия компании с поставщиком услуг Договор должен определять механизмы взаимодействия сторон как с точки зрения обеспечения надлежащего качества услуг, так и взаимодействия в нештатных ситуациях. При аудите данных вопросов рекомендуется рассматривать следующие моменты: порядок обработки запросов клиента, время отклика на запрос, время устранения сбоев, процедуры эскалации в особых случаях; отчетность исполнителя перед клиентом:
периодичность и вид предоставляемых отчетных документов; ключевые моменты/параметры отчетности; • порядок допуска представителей клиента (технический персонал, внутренние и внешние аудиторы, третьи лица) в помещения исполнителя: формирование списков доступа и порядок их изменения; перечень идентификационных данных, требуемых при доступе; выдача ключей от помещений, карт доступа и т.п;
процедуры внесения изменений и обновлений в системы; процедуры уведомления в случае нештатных ситуаций, действия во внештатных ситуациях; форс-мажор:
обстоятельства, признаваемые форс-мажором; порядок оповещения и взаимодействия сторон в случае форс-мажора; • порядок разрешения спорных ситуаций.
Юридические аспекты (содержание и полнота контракта) У каждой организации существуют свои требования к заключаемым договорам и соответственно к аспектам, которые должны быть обязательно отражены и регламентированы. Каждая организация также самостоятельно определяет и находит компромисс по стоимости услуг по каждому виду аутсорсингового сервиса, а также по порядку расчетов. Основные вопросы, которые рекомендуется регулировать в рамках договора на аутсорсинг и соответственно принимать во внимание при проведении аудита, перечислены ниже (вопросы формирования цены не рассматриваются в рамках данной статьи):
срок действия такого договора и процедуры его пролонгации на следующий период; процедуры внесения изменений, включая наличие возможности добавления новых услуг или расширения существующих; перечень изменений, вносимых в одностороннем порядке без согласования с клиентом (например, исполнитель вводит дополнительные механизма защиты); двусторонняя ответственность за нарушение договора; порядок и условия расторжения договора (в случае двустороннего и одностороннего расторжения); порядок и период обеспечения конфиденциальности информации; действия, совершаемые исполнителем при расторжении договора:
передача всех информационных ресурсов и данных клиенту; уничтожение резервных копий и архивов; помощь в миграции; • соблюдение вопросов лицензирования, авторских прав и интеллектуальной собственности. Отметим, что вышеперечисленные критерии/вопросы не являются исчерпывающими и в то же время догмой. Ведь в любом случае все невозможно предвидеть и зарегулировать, поэтому между двумя организациями должна существовать определенная доля доверия. Тем не менее, правильно адресовав риски, можно намного упростить жизнь своей организации. А выявить эти риски как раз и поможет аудит. Аудит и доверие информационной зопасности
Информационная безопасность — один из видов безопасности, определяется с учетом [18] и [19] через «состояние защищенности», неявно адресуя нас к категориям психологии, в частности уверенности и доверия в безопасности. Эта уверенность ориентирована на социум — человека или группу лиц, ожидающих или же стремящихся достичь некоторых целей и предпринимающих в этой связи некие действия. В комментарии [46] для международного бизнеса Консультативного комитета Организации по экономическому сотрудничеству и развитию (ОЭСР) по предпринимательству и промышленности и Международной торговой палаты «Доверие информационной безопасности для руководящих работников» по директивам ОЭСР от 2002 г. по безопасности сетей и информационных систем, относящимся к культуре безопасности, отмечается: «Весь бизнес представляет собой вопрос доверия. Доверие может развиться только в том случае, когда участники сделки ощущают надежность и безопасность». Наша уверенность может базироваться только на знаниях относительно некоторого объекта (системы, процесса — объекта доверия), получаемых и накапливаемых или же в результате наблюдений, или же в результате специально предпринимаемых мер как самостоятельно, так и с привлечением других сторон. Отмеченные комментарии ОЭСР и Международной торговой палаты [46], например, были выпущены в целях повышения осведомленности (накопления знаний) в деловых кругах о широком спектре рисков информационной безопас-
ности, связанных в данном случае с использованием Интернета и электронной торговли, а также осознания решений, мер, практических приемов и политик, которые могут способствовать минимизации этих рисков. Эти знания были получены в течение многих лет многими организациями и странами и были обобщены в едином высокоуровневом документе. Приведенные в [46] комментарии дают общее представление о содержании решений, мер, практических приемов и политик, среди которых представлены оценочные меры. Оценочные меры позволяют получить знания, необходимые нам для формирования ощущения уверенности. Уверенность осознается посредством пересмотра данных доверия, полученных в результате процессов оценивания и мероприятий во время разработки, развертывания и действия, и в результате опыта по реальному использованию объекта доверия. Любые мероприятия, которые могут уменьшить неопределенность путем представления данных, свидетельствующих о правильности, эффективности и качестве атрибутов (например, свойств) объекта доверия, формируют основу доверия безопасности. Существует много методов доверия, ориентированных на различные сущности или их совокупности, например применительно к системе (организации) в целом, продукции, процессам ее производства, но лишь ограниченное их количество предназначено для безопасности. В то же время прямо не относящиеся к безопасности методы доверия, такие, например, как сертификация системы менеджмента качества организации по ISO 9000, могут оказать содействие в формировании доверия безопасности. При этом является важным, знаем ли мы изначально, насколько тот или иной существующий метод доверия имеет отношение (прямое или косвенное) к области безопасности. Если исходить из предпосылок, что безопасность — это в первую очередь стремление к порядку (роли и ответственности, права и обязанности), то, учитывая малое число существующих специфичных для безопасности методов (стандартов, относящихся к обеспечению безопасности на различных стадиях жизненного цикла систем, процессов, продукции, доверия к персоналу и т.д.), каждый из существующих методов доверия привносит свой вклад в уверенность в безопасности. Все, что может быть использовано для создания аргументации для уверенности в безопасности и уменьшения в связи с этим неопределенности (риска), имеет большое значение. Например, несмотря на то что ISO 9000 [13] является стандартом доверия к качеству, первоначально разработанному для промышленных организаций, он также содержит элементы доверия к процессу, применимому, например, для программного обеспечения и, по существу, для программных продуктов и систем безопасности. В сравнении с этим SSE-CMM [43] является методом доверия безопасности. Этот метод формирует данные доверия, оценивая процессы проектирования безопасности в организации, а не непосредственно объект доверия, например системы. Все отмеченные факторы оказывают влияние на формирование доверия безопасности и, в частности, на выбор метрик — методов измерений/оценки. Аудиты (внутренние/внешние), как и другие направления оценивания информационной безопасности, предназначены обеспечить свидетельства в реализации заявленных требований или целей безопасности, что, в свою очередь, направлено на формирование уверенности в безопасности. Например, внутренние аудиты систем менеджмента информационной безопасности являются в соответствии с [24] составной частью процессов, реализуемых на стадии проверки цикла PDCA СМИБ. Результаты аудиторских проверок используются в качестве одного из видов входной информации для процессов анализа СМИБ руководством, осуществляемого с целью обеспечения контроля адекватности и эффективности СМИБ. Отсюда очевидно, что весьма важными являются следующие вопросы: насколько достоверными являются результаты аудита? насколько результаты аудита адекватны реальному состоянию дел? насколько результаты аудита позволяют оценить степень достижения целей информационной безопасности организацией и влияния информационной безопасности на бизнес-цели организации? Первая группа вопросов связана с качеством методики проведения аудита, квалификацией и опытом аудиторов, степенью достоверности представляемых в процессе аудита свидетельств, т.е. теми аспектами, которые определяют отношение заинтересованной стороны к результатам аудита информационной безопасности. Методика про-
ведения аудита, как правило, является «ноу-хау» аудиторской организации, аудитора, т.е. в конечном счете все сводится к уровню способности аудиторской организации к данному виду деятельности. Данные аспекты регулируются во всех сферах аудиторской деятельности либо на правовом уровне, либо на уровне стандартов. Так, в Федеральном законе «Об аудиторской деятельности» установлены особые положения об аудиторе и аудиторской организации, их независимости, их ответственности за заведомо ложное аудиторское заключение, контроле качества работы аудиторских организаций и индивидуальных аудиторов. Особо оговорены процедура аттестации физических лиц на право осуществления аудиторской деятельности и процедура лицензирования аудиторской деятельности. Законом предусмотрен также уполномоченный федеральный орган государственного регулирования аудиторской деятельности, одними из основных функций которого являются организация системы надзора за соблюдением аудиторскими организациями и индивидуальными аудиторами лицензионных требований и условий и контроль за соблюдением аудиторскими организациями и индивидуальными аудиторами федеральных правил (стандартов) аудиторской деятельности. В ГОСТ Р ИСО 19011 [33] основным содержанием являются вопросы проведения аудита, а также компетентности и оценки аудиторов. Вторая группа вопросов связана с обеспечением полноты проверки, проверяемых материалов, т.е. с программой аудита, что в конечном итоге позволяет создать уверенность в достижении целей аудита безопасности. Эти обстоятельства также регулируются во всех сферах аудиторской деятельности либо на правовом уровне, либо на уровне стандартов. Законом «Об аудиторской деятельности» аудитору предоставляются права проверять в полном объеме документацию, связанную с финансово-хозяйственной деятельностью аудируемого лица, а также фактическое наличие любого имущества, учтенного в этой документации, получать у должностных лиц аудируемого лица разъяснения в устной и письменной формах по возникшим в ходе аудиторской проверки вопросам вплоть до права отказаться от проведения аудиторской проверки или от выражения своего мнения о достоверности финансовой (бухгалтерской) отчетности в аудиторском заключении в случае непредставления аудируемым лицом всей необходимой документации. ГОСТ Р ИСО 19011 содержит целый раздел, в котором описывается процесс управления программой аудита. Особо оговарива-
ются цели и объем программы аудита, оговаривается ответственность за программу аудита, описываются необходимые ресурсы и процедуры, излагаются положения по внедрению программы аудита, устанавливаются требования к записям по программе аудита, раскрываются положения по мониторингу и анализу программы аудита. Третья группа вопросов связана с принципиальной возможностью разрешения с помощью аудита проблемы обеспечения видимости состояния защищенности организации от угроз в информационной сфере, т.е. информационной безопасности, и ее вклада в достижение главных целей деятельности любой организации. В конечном итоге — это вопрос о формировании уверенности в достижении целей информационной безопасности. Решение вопроса об обеспечении уверенности в достижении системой менеджмента в любой сфере предметной деятельности своих целей является неотъемлемой частью цикла PDCA. К сожалению, в международном стандарте IS0/IEC 27001: 2005 [24], несмотря на близость его происхождения к методологии стандарта ИСО 9000: 2000, вопрос этот по сравнению с «родственником» проработан недостаточно ясно. Если следовать методологии, использованной при разработке словаря в ГОСТ Р ИСО 9000 (аутентичном тексту международного стандарта ISO 9000-2000), то целями деятельности в рамках стадии проверки цикла PDCA СМИБ можно было бы определить «часть менеджмента информационной безопасности, направленную на создание уверенности в том, что требования к информационной безопасности будут выполнены». Как ни странно, но ИСО в своей деятельности давно выделило этот вопрос в особое направление — обеспечение доверия к информационной безопасности. В рамках этого направления разрабатывается документ IS0/IEC 15443 «Information technology — Security techniques — A framework for IT security assurance*. Документ предназначен дать общий подход к формированию уверенности относительно тех или иных объектов доверия, включая краткий обзор, как специфичных методов доверия безопасности ([21, 22, 23, 24] и др.), так и иных, дающих дополнительные недостающие свидетельства ([12, 13, 32, 35] и др.). При этом целесообразно различать уверенность (доверие) правильности и уверенность (доверие) эффективности.
Доверие правильности относится к оцениванию некоторого объекта доверия, чтобы проверить правильность реализации требований, примером такого оценивания является оценка соответствия, включая аудит, системы менеджмента информационной безопасности организации требованиям международного стандарта ISO/IEC 27001 [24]. Доверие эффективности относится к возможностям функций (процессов) безопасности объекта доверия, например, на уровне организации, противостояния воспринимаемым или идентифицированным угрозам безопасности, включая адаптацию к изменениям как внутри, так и во вне организации. Подходы к такой оценке рассмотрены в п. 3.3.2. На практике из всего отмеченного следует, что целесообразна комбинация определенных мер доверия к безопасности, где есть место и мерам оценки правильности (оценки соответствия требованиям), и мерам оценки эффективности (результативности и зрелости, например, для того, чтобы измерить степень их возможности процессов к самосовершенствованию и развитию). Следует отметить и еще один важный аспект. Доверие способствует уменьшению риска: доверие уменьшает неопределенность, связанную с уязвимостями объекта доверия, ведя к снижению общего риска (за счет более точного прогноза), связанного с объектом доверия. При этом доверие не добавляет никаких дополнительных защитных мер, чтобы противостоять риску, связанному с безопасностью, скорее, мероприятия доверия пытаются доказать, что объект доверия соответствует своим целям безопасности. Это включает формирование соответствующих свидетельств доверия и логических обоснований, чтобы дать уверенность, что уже реализованные защитные меры уменьшат ожидаемый (прогнозируемый) риск. Возможная обобщенная логическая модель обеспечения доверия к информационной безопасности, построенная на основе методологии документа IS0/IEC 15443, приведена на рисунке 31. Здесь под объектом доверия понимается защитная мера информационной безопасности, система, услуга, процесс или фактор среды (т.е. персонал, организация). Уверенность понимается как убеждение в том, что объект доверия будет действовать ожидаемым или заявленным образом (т.е. должным образом, реализуя в полной мере политику безопасности, обеспечивая эффективность). В целом мера доверия — это процесс или мероприятие метода доверия, само по себе признанное (в рамках
некоторого сообщества) приносящим воспроизводимые результаты. Под доказательством доверия понимается совокупность структурированных заявлений (утверждений) о доверии, подкрепленных свидетельством доверия и обоснованием, которые четко показывают, каким образом удовлетворены потребности доверия. Критерии доверия здесь необходимо понимать как критерии, отражающие соответствие объекта доверия степени уверенности в нем со стороны заинтересованного лица. В соответствии с документом IS0/IEC 15443 уровень обеспечения доверия — это требуемое и(или) оцененное значение, определяемое согласно некоторой шкале, использованной методом обеспечения доверия. При этом уровень обеспечения доверия объекта доверия может измеряться неколичественной мерой, а усилиями, затраченными на выполнение деятельности. Относительно понятия «стадия доверия» в документе ИСО определено, что это стадия жизненного цикла объекта доверия, в отношении которой используется определенный метод обеспечения доверия. При этом уверенность в объекте доверия основывается на результатах применения методов обеспечения доверия на всем жизненном цикле объекта доверия. Под методом обеспечения доверия понимается общепризнанная спецификация, например стандарт, предназначенная для получения воспроизводимых результатов доверия, а в свою очередь результаты обеспечения доверия — это документированные количественные или качественные формулировки в отношении объекта доверия, например аудиторское заключение, отчет об оценке. Два документа ИСО IS0/IEC 15443 и IS0/IEC 21827 однозначно определяют понятие «свидетельство доверия» как результаты обеспечения доверия или любые элементы, созданные в результате деятельности, направленной на обеспечение/достижение уверенности, включая отчеты (обоснования), которые используются для поддержки заявления (утверждения) о доверии. Свидетельство может состоять из результатов наблюдения, результатов тестов, результатов анализа и оценочных документов. Под заявлением о доверии необходимо понимать утверждение или поддерживающее утверждение о том, что объект доверия удовлетворяет потребностям безопасности. При этом заявления могут осуществляться как относительно непосредственных угроз (например, утверждение о том, что обеспечивается защита системных данных от атак, осуществляемых посторонними лицами), так и относительно косвенных угроз (например, утверждение о том, что
текст программ операционной системы обладает минимальными дефектами). Орган доверия здесь — это лицо, организационная структура или организация (социум), обладающее полномочиями принимать решения относительно доверия, связанного с объектом доверия, которые, в конечном счете, приводят к вселению уверенности в объекте доверия. При этом решения могут приниматься относительно выбора методов доверия, спецификации |
| Оглавление| |
- Акмеология
- Анатомия
- Аудит
- Банковское дело
- БЖД
- Бизнес
- Биология
- Бухгалтерский учет
- География
- Грамматика
- Делопроизводство
- Демография
- Естествознание
- Журналистика
- Иностранные языки
- Информатика
- История
- Коммуникация
- Конфликтология
- Криминалогия
- Культурология
- Лингвистика
- Литература
- Логика
- Маркетинг
- Медицина
- Менеджмент
- Метрология
- Педагогика
- Политология
- Право
- Промышленность
- Психология
- Реклама
- Религиоведение
- Социология
- Статистика
- Страхование
- Счетоводство
- Туризм
- Физика
- Филология
- Философия
- Финансы
- Химия
- Экология
- Экономика
- Эстетика
- Этика
Лучшие книги
Гражданский процесс: Вопросы и ответы
ЗАПАДНОЕВРОПЕЙСКОЕ ИСКУССТВО от ДЖОТТО до РЕМБРАНДТА
Коммуникации стратегического маркетинга
Консультации по английской грамматике: В помощь учителю иностранного языка.
Международные экономические отношения