Название: Аудит информационной безопасности - Курило А.П.

Жанр: Аудит

Рейтинг:

Просмотров: 1519


5.2. аудит управления непрерывностью бизнеса и восстановления после сбоев

5.2.1. Предпосылки

Поворотным моментом в области управления непрерывностью бизне­са послужили события 11 сентября 2001 г. в США. В частности, было продемонстрировано, что некоторые из крупных финансовых органи­заций смогли достаточно быстро восстановить свою деятельность, ис­пользуя антикризисные программы и планы непрерывности бизнеса (Business Continuity Plan). Сегодня практически все ведущие органи­зации отмечают, что наличие подготовленных технических решений, работающего плана непрерывности бизнеса, а также внедрение кор­поративных регулирующих норм в области поддержания непрерывно-

 

 

сти являются одними из основных компонентов успешного бизнеса. Последние тенденции в области управления ИТ и информационной безопасностью также показывают, что вопросы обеспечения доступ­ности сервисов и ресурсов выходят на первое место.

Террористический акт — не единственная угроза для непрерыв­ности критичных бизнес-процессов компании. Существуют гораздо более «прозаичные» и наиболее часто случающиеся инциденты, ко­торые приводят к сбоям и остановкам бизнеса или же вообще к фа­тальным последствиям для компаний. Это различного рода сбои теле­коммуникационных и энергетических систем, серверов и приложений. Пожары, наводнения, техногенные катастрофы, принудительная эва­куация и т.п. такжеявляются ключевыми рисками прерываний бизне­са. Особую роль играет человеческий фактор — ошибки персонала или преднамеренные действия, уход ключевых сотрудников.

Проблемы обеспечения непрерывности деятельности приобретают все большее значение в современных условиях, когда деятельность организаций в значительной степени зависит от информационных систем. В случае сбоя для компании чрезвычайно важно оперативно и с наименьшими затратами возобновить деятельность критичных биз­нес-процессов, восстановить функционирование систем, процессов и данных. Поэтому способность организаций восстанавливать и продол­жать деятельность в экстренных ситуациях, а также минимизировать риски сбоев и негативные последствия прерываний имеет ключевое значение для жизнеспособности бизнеса и его развития.

 

.2.2. Немного о терминах

«Планирование непрерывности бизнеса» (Business Continuity Planning) можно определить как «многогранную деятельность, направленную на разработку мер по снижению рисков прерывания бизнеса, негатив­ных последствий таких сбоев, разработку и внедрение превентивных мер и оптимальных стратегий восстановления ключевых бизнес-про­цессов до приемлемого уровня в определенной последовательности и установленные сроки, начиная с момента прерывания». Почему мно­гогранную? Потому, что современные методологии покрывают не толь­ко вопросы полнофункционального восстановления широкого спект­ра составляющих элементов инфраструктуры информационных технологий, но и аспекты внутрихозяйственных отношений, договор-

 

 

ных отношений с внешними компаниями, производственной и инфор­мационной безопасности, взаимодействия с регулирующими органа­ми, персоналом, а также многие другие направления, которые отно­сятся к областям риск- и кризис-менеджмента.

Таким образом, «План непрерывности бизнеса» (Business Continuity Plan) направлен на обеспечение непрерывности критичных бизнес-процессов и их восстановление после сбоев.

«План восстановления после сбоя» (Disaster Recovery Plan) явля­ется составной частью «Плана непрерывности бизнеса» и направлен на восстановление специфичной функции или бизнес-процесса до уровня, требуемого для «выживания».

При этом «Управление непрерывностью бизнеса» (Business Continuity Management) — это процессы, методы и техника управле­ния, направленные на обеспечение непрерывности функционирова­ния критичных бизнес-процессов.

 

5.2.3. Методологии, стандарты и нормативные требования в области управления непрерывностью бизнеса

В настоящее время существует достаточно большой ряд нормативных ак­тов (международных и российских), которые так или иначе связаны с вопросами обеспечения непрерывности бизнеса и восстановления после сбоев и регулируют отношения в данной области. Так, например, некото­рые из таких актов определяют степень ответственности компаний и ин­дивидуумов за невозможность организаций продолжать деятельность, правила хранения документации, предоставления отчетности, регулируют договорные отношения, вопросы производственной безопасности персо­нала, охраны личных сведений и частной жизни и многие другие. При этом спектр, действие и применимость конкретных законодательных и других регулирующих актов напрямую зависят от специфики бизнеса конкретного предприятия. Например, существует ряд специфичных тре­бований к организациям финансового сектора, медицинским учреждени­ям, организациям, чьи акции «котируются» на биржах, и т.д.

Соответственно также развита и методологическая база в области «управления непрерывностью бизнеса». Ниже приведены лишь неко­торые фрагменты требований действующих стандартов и норматив­ных актов Банка России.

 

 

5.2.3.1. Международные В стандарте C0BIT [35] вопросы обеспе- стандарты                чения непрерывности бизнеса рассматри-

ваются в области процессов «Эксплуата­ция и Сопровождение», а именно: процессе DS.4 «Обеспечение непрерывности обслуживания».

«Обеспечение непрерывности» по C0BIT определяется как конт­роль процессов, связанных с обеспечением непрерывности предос­тавления ИТ-услуг с целью удовлетворения бизнес-требованиям в части соответствия требованиям по обеспечению доступности требуе­мых ИТ-услуг и гарантированию минимального ущерба в случае круп­ного сбоя. Это обеспечивается наличием действующего и протестиро­ванного плана непрерывности и восстановления ИТ, который соответствует общему плану непрерывности бизнеса, а также бизнес-требованиям.

В стандартах ISO/IEC 17799/IS0/IEC 27001 обеспечение непрерыв­ности бизнеса определяется как одна из важнейших задач в области информационной безопасности, что непосредственно отражено в раз­деле 11 стандарта IS0/IEC 17799 следующими требованиями:

11.1. Аспекты управления непрерывностью бизнеса.

Процесс управления непрерывностью бизнеса.

Непрерывность бизнеса и анализ влияния.

Разработка и внедрение планов непрерывности.

Компоненты планирования непрерывности бизнеса.

Тестирование, поддержка и переоценка планов непрерыв­ности бизнеса.

 

Тестирование планов.

Поддержка и переоценка планов.

Стандарты института непрерывности бизнеса (ВСІ — (the Business Continuity Institute) представляют целевое рассмотрение всех связан­ных с обеспечением непрерывности бизнеса вопросов. ВСІ — это меж­дународная некоммерческая организация профессионалов в сфере обеспечения непрерывности бизнеса. Цель и роль ВСІ — продвиже­ние высших профессиональных стандартов и коммерческой этики в области поддержки планирования непрерывности бизнеса и предос­тавления услуг в данном направлении. ВСІ определяет 10 стандар­тов/направлений в области управления непрерывностью бизнеса:

Организация и управление проектом.

Оценка и контроль рисков.

 

 

Анализ влияния на бизнес.

Разработка стратегий обеспечения непрерывности.

Реакция на чрезвычайные ситуации.

Разработка и внедрение планов непрерывности бизнеса.

Программы обучения и повышения осведомленности персонала.

Поддержка и тестирование планов непрерывности бизнеса.

Связи с общественностью и управление кризисом.

Взаимодействие с регулирующими органами.

ВСІ также издал методологию Good Practice Guide (или GPG) и со­вместно с BSI специализированный стандарт PAS-56. На конец 2006 г. на замену PAS-56 запланированы к выходу также следующие стандар­ты по управлению непрерывностью бизнеса:

BS 25999-1 (Code of practice) (в настоящее время уже вышел про­ект документа);

BS 25999-2 (Specification).

 

Банк России в свете законодательных            5.2.3.2. Стандарт,

норм, определяющих сферу ответственно- положения и требования сти Банка России в рамках национальной     Банка России

финансовой системы, уделяет достаточно

большое внимание вопросам обеспечения стабильности рынка бан­ковских услуг и, как национальный банковский регулятор, издал ряд положений, указаний и других нормативных актов, которые так или иначе регулируют вопросы обеспечения непрерывности бизнеса, вклю­чая следующие документы:

Стандарт Банка России «Обеспечение информационной безо­пасности организаций банковской системы Российской Феде­рации. Общие положения» СТО БР ИББС-1.0-2006;

Письмо ЦБ РФ от 24.05.2005 № 7б-т «Об организации управле­ния операционным риском в кредитных организациях»;

Указание ЦБ РФ от 27.07.2004 № 1481-У «0 внесении измене­ний в Указание Банка России от 16 января 2004 года № 1376-У "0 перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации"»;

Указание ЦБ РФ от 16.01.2004 № 1376-У «0 перечне, формах и порядке составления и представления форм отчетности кредит­ных организаций в Центральный банк Российской Федерации»;

 

 

«Положение об организации внутреннего контроля в кредит­ных организациях и банковских группах» (утв. ЦБ РФ 16.12.2003 № 242-П);

Письмо ЦБ РФ от 13.05.2002 № 59-Т «О рекомендациях Ба-зельского комитета по банковскому надзору».

В частности, СТО БР ИББС-1.0-2006 устанавливает следующие требования обеспечения непрерывности бизнеса:

организации следует разработать и внедрить план обеспече­ния непрерывности бизнеса (деятельности) и восстановления после прерываний;

план и соответствующие процессы восстановления должны пересматриваться на регулярной основе и своевременно обнов­ляться;

эффективность документированных процедур восстановления необходимо периодически проверять и тестировать;

с планом должны быть ознакомлены все сотрудники, отвеча­ющие за его выполнение и вовлеченные в процессы восста­новления.

(См. п. 9.6 «Обеспечение непрерывности бизнеса (деятельнос­ти) и восстановление после прерываний» раздела 9 «Система ме­неджмента информационной безопасности организации БС РФ» стандарта.)

Таким образом, в области обеспечения непрерывности бизнеса существует достаточно развитая и проработанная методологическая база. Необходимо лишь ясно осознавать сферу действия того или иного стандарта (например, стандарт C0BIT ориентирован на непрерывность непосредственно только ИТ-услуг) и уже после этого применять в со­ответствующих областях проверок. То есть необходимо убедиться, что выбираемая методология удовлетворяет целям организации и, следо­вательно, последующего аудита обеспечения непрерывности бизнеса и покрывает все критичные направления и аспекты деятельности ауди­руемого предприятия.

 

5.2.4. Основные цели аудита

Основной целью аудита управления (обеспечения) непрерывностью бизнеса и восстановления после сбоев является необходимость убе­диться в том, что в организации внедрены контрольные механизмы,

 

 

минимизирующие риски прерываний критичных бизнес-процессов и негативные последствия таких прерываний, в частности:

проведена оценка рисков прерываний, и разработан план дей­ствий по внедрению корректирующих мер контроля, и на дан­ные меры выделены соответствующие бюджеты;

данный план действий выполняется и контролируется руковод­ством;

соответствующие политики, стандарты, процедуры в области обеспечения непрерывности и соответствующие договорные со­глашения исполняются, как это установлено;

ИТ-системы, данные и другие ресурсы, необходимые для вос­становления, будут доступны в соответствии с установленными требованиями;

план непрерывности бизнеса и восстановления ИТ после сбо­ев разработан, адекватен и соответствует текущим потребнос­тям организации;

разработаны и внедрены процедуры обеспечения безопаснос­ти персонала в критичных ситуациях.

 

5.2.5. Основные вопросы, рассматриваемые

при аудите

В ходе аудита обычно рассматриваются следующие аспекты управле­ния непрерывностью бизнеса:

политики и основы процессов управления непрерывностью бизнеса;

процедуры действий в чрезвычайных ситуациях;

оценка рисков и анализ влияния прерываний на бизнес, уп­равление рисками;

компоненты планирования непрерывности бизнеса;

стратегии обеспечения непрерывности бизнеса и восстановле­ния после сбоев;

ресурсы, требуемые для восстановления;

разработка и внедрение планов непрерывности бизнеса и вос­становления ИТ после сбоев;

процедуры альтернативной работы подразделений;

удаленное хранение резервной информации;

резервная площадка;

 

 

распространение планов;

обучение, тренировки;

тестирование, поддержка и пересмотр планов;

заключительные процедуры.

 

5.2.6. Реализация аудита

Информация по вышеперечисленным вопросам получается в рамках стандартных аудиторских процедур путем:

проведения интервью ключевого персонала организации (ру­ководство организации, ключевые сотрудники основных биз­нес-подразделений и подразделений поддержки, включая от­дел кадров, физическую безопасность, администрацию и т.п., т.е. не ограничиваясь только сотрудниками ИТ-подразделений.);

анализа существующей нормативной базы (политики, корпора­тивные стандарты, планы непрерывности бизнеса и восстанов­ления после сбоев и т.п.);

анализа контрактов с поставщиками услуг (в рамках проекта, концентрируясь на вопросах гарантирования непрерывного пре­доставления услуг и процедурах реагирования поставщика в случае прерываний/сбоев);

проведения непосредственно обзоров (центров обработки дан­ных, резервной площадки, мест хранения резервной информа­ции и т.п.);

ограниченного тестирования отдельных процедур обеспечения непрерывности (контроль исполнения процедур архивирования, удаленного хранения резервной информации, оснащения ре­зервной площадки, настроек информационных систем и т.п.).

Соответственно перед началом аудита составляется аудиторская программа, которая может быть уточнена в ходе реализации проекта (например, после выявления существенных моментов, о которых не было известно до начала проекта).

Обобщая требования PAS-56, ISO/IEC17799/IS0/IEC 27001, а так­же так называемую хорошую практику, приведем пример (выдерж­ку) возможной программы аудита вопросов управления непрерыв­ностью бизнеса, который может служить некоторым ориентиром организациям, планирующим проведение такого аудита или само­оценки.

 

 

 

Получение предварительной информации:

получить общее представление об организации, ее бизнесе, организационной структуре и используемых ИТ-технологий;

определить, какие политики и другие руководящие документы имеют отношение к обеспечению непрерывности бизнеса и вос­становления после сбоев, если таковые имеются в наличии. Получить копии данных документов;

имеется ли у организации план восстановления после аварий и стихийных бедствий;

получить копию плана непрерывности бизнеса и восстановле­ния после сбоев;

получить копию организационной структуры организации;

определить персонал для последующего интервью;

получить инвентарную опись используемых информационных систем, платформ и решений;

получить копии договоров на использование резервных пло­щадок;

получить результаты последних проверок вопросов обеспече­ния непрерывности бизнеса;

ознакомиться с контрактами страхования; '

•           уточнить и подтвердить план аудиторской проверки. Проверка анализа рисков:

определить, был ли проведен анализ рисков и адекватны ли его результаты;

определить, проводился ли подобный анализ для критичных по времени бизнес-процессов (включая понимание зависимости данных процессов от ИТ-ресурсов, систем и технологий);

определить, проводились ли предварительная оценка потенци­альных угроз и рисков и оценка влияния прерываний на клю­чевые бизнес-процессы организации.

Проверка ответственных лиц:

определить ответственного за разработку плана, а также сте­пень вовлеченности в разработку плана всех ключевых пользо­вателей, принимающих участие в восстановлении бизнеса;

определить, кто несет ответственность за управление/коорди-нацию в рамках плана;

несет ли администратор/координатор плана ответственность за поддержание плана в актуальном состоянии;

 

 

назначены ли команды реализации плана (т.е. ответственные лица, которые должны предпринимать определенные действия в случае наступления нештатных ситуаций);

документированы ли обязанности каждой команды;

получить структуру команд восстановления и список членов команд;

определить, где хранятся контакты команд реализации плана (следует принять во внимание, что каждому руководителю груп­пы восстановления должны быть доступны все контактные дан­ные членов данной команды, включая имена, рабочий, домаш­ний, мобильный телефоны и т.д.);

определить, насколько адекватно ведется контактная инфор­мация по ключевым лицам и организациям, которые могут потребоваться при восстановлении (внутренние и внешние контакты, включая контакты сотрудников, ключевых клиен­тов, регулирующих органов, поставщиков, страховой компа­нии и т.п.);

определить, где хранится план непрерывности бизнеса и вос­становления после сбоев (убедиться в том, что ключевые чле­ны команды имеют копии плана как в офисе, так и дома).

Оценка плана непрерывности бизнеса и восстановления после сбоев:

получить и проанализировать план непрерывности бизнеса и восстановления после сбоев;

определить, когда план последний раз пересматривался/допол­нялся;

определить, являются ли план и процедуры восстановления актуальными и полными, а также утверждены ли они руковод­ством;

убедиться, что план восстановления ИТ является составной частью плана непрерывности бизнеса и отражает текущее со­стояние бизнес-среды;

убедиться в адекватности плана непрерывности бизнеса и вос­становления после сбоев в части поддержки возможности сво­евременного восстановления критичных бизнес-процессов и компьютерных систем в случае сбоя;

присвоен ли в плане системам приоритет восстановления в зависимости от риска для бизнеса?

 

 

определить, какие критичные системы рассмотрены в плане;

определить, все ли системы предполагается восстанавливать на одном объекте? Если нет, то каким образом будет обеспечи­ваться доступность информации на других объектах в случае необходимости;

позволяет ли план помочь произвести восстановление критич­ных бизнес-процессов и систем в рамках предварительно оп­ределенных отрезков времени (т.е. в случае невозможности восстановления определенных систем за определенное время последствия для бизнеса могут быть катастрофическими, и со­ответственно последующее восстановление данных систем бу­дет бесполезным);

рассмотрены ли в плане требования по функционированию каждой из систем;

определить, какие системы не рассмотрены в плане и почему;

определить, какое оборудование не рассмотрено в плане и по­чему;

имеются ли в плане какие-либо допущения и какие именно;

каковы процедуры активации плана;

определить, установлены ли формальные требования по пере­смотру плана и внесения в него изменений и дополнений с определенной периодичностью, например через 6 месяцев.

Проверка процедур резервного копирования и восстановления данных:

имеются ли в наличии формальные процедуры резервного ко­пирования и восстановления данных?

какие функции/системы/компоненты рассмотрены в данных процедурах;

рассмотреть процедуры резервного копирования по каждой системе, включенной в план восстановления после сбоев;

определить, следует ли организация данным процедурам;

проводилось ли обучение персонала процедурам и использо­ванию оборудования резервного копирования;

определить проводится ли периодическое формальное тести­рование вопросов процедур восстановления данных с резерв­ных копий;

включает ли документация по каждой системе, подлежащей восстановлению, описание процессов, а также оборудования,

 

 

которое требуется восстанавливать (т.е. для приложения, ис­пользующего ПК для ввода данных и клиент-серверную архи­тектуру для хранения данных, это должно быть описано наря­ду с требуемым ПО). Проверка удаленного хранения резервных данных:

определить, существуют ли формальные требования и проце­дуры по вопросам удаленного хранения резервных данных;

определить, где находится внешний центр хранения данных;

посетить объект удаленного хранения резервных данных. Опре­делить адекватность объекта и процедур хранения (включая тре­бования обеспечения конфиденциальности, целостности и дос­тупности данных), а также перечень реально хранимых данных;

убедиться в эффективности процедур проверки полноты полу­чения отправленных данных, необходимых для бизнес-подраз­делений (не только проверка журнала полученных данных, но и сверка с отправленными данными);

определить периодичность и адекватность проверки журналов регистрации хранимых архивных копий на предмет полноты.

Проверка резервной площадки:

определить, где расположен резервный центр обработки ин­формации;

существуют ли резервные площадки (следует иметь в виду, что резервные площадки не должны быть подвержены тем же рис­кам, что и основные площади);

предполагалось ли использование резервных объектов во вре­мя проведения последнего теста;

если нет, когда последний раз резервные объекты были ис­пользованы для целей тестирования;

если резервные объекты не использовались более года, каким образом организация определяет возможность функциониро­вания используемых программ на резервном оборудовании;

каковы результаты тестирования;

получить и проанализировать соглашение об использовании резервной площадки (если такая услуга используется);

посетить резервную площадку;

проанализировать требования и рекомендации по созданию «горячих»/«холодных» резервов, включая создание резервной ИТ-инфраструктуры;

 

 

оценить соответствие резервной площадки требованиям по восстановлению, включая вопросы совместимости с основной компьютерной инфраструктурой организации;

сравнить журнал оборудования на объекте с реально имею­щимся в наличии оборудованием;

проверить полноту записей и актуальность журнала регистра­ции посетителей резервной площадки;

определить периодичность и адекватность проверки журналов регистрации на предмет полноты;

определить, осведомлены ли сотрудники, вовлеченные в про­цессы восстановления, о резервной площадке (адрес, контак­ты, процедуры переезда и т.п.), а также о действиях непосред­ственно на площадке;

определить адекватность существующего уровня доступности резервной площадки (например, 24x7x365);

удостовериться, что резервная площадка не подвержена тем же рискам, что и основная площадка.

Тестирование плана:

определить, выделен ли руководством бюджет на тестирова­ние плана непрерывности бизнеса и восстановления после сбоев;

какова процедура пересмотра/дополнения плана;

каково расписание тестирования плана и степень вовлеченно­сти ключевого персонала;

когда производилось последнее тестирование (следует оценить адекватность теста — «настольный/логический» тест может не выявить ряд потенциальных проблем);

каким образом тестирование помогло повысить готовность орга­низации к нештатным ситуациям;

проверить результаты тестирования плана;

определить, были ли проведены мероприятия по устранению выявленных недостатков.

Проверка обучения персонала:

определить, проходили ли пользователи и ИТ-персонал обуче­ние действиям в случае нештатных ситуаций или прерываний;

включала ли в себя программа обучения раздел о связи со сто­ронними организациями (включая представителей прессы и те­левидения);

 

 

определить, осведомлены ли пользователи и ИТ-персонал о ручных или автоматизированных процедурах, предполагаемых к использованию в случае недоступности основных ИТ-систем на протяжении длительного периода времени;

опросить ИТ-персонал на предмет обучения/знаний смежных областей (на случай отсутствия основного сотрудника).

 

5.2.7. Заключительные процедуры аудита

По результатам аудита разрабатывается отчет руководству по облас­тям, требующим улучшения, если таковые имеются. Это включает в себя указание недостатков и рекомендации по совершенствованию суще­ствующих организационных и технических мер (т.е. рекомендации по устранению недостатков). Такие рекомендации должны быть специ­фичными/конкретными и реалистичными/практичными, при этом сто­имость разрабатываемого решения (время и деньги) не должна пре­вышать возможные последствия реализации указанного риска. Соответственно часть рисков вследствие незначительности негативных последствий их реализации можно принять. Однако в любом случае только руководство организации может принять решение о внедре­нии того или иного контроля или же принятии риска.

План корректирующих мер должен включать в себя указание лиц, ответственных за реализацию конкретного действия (внедрение кон­кретного контроля), а также приоритет и реалистичные сроки для вне­дрения такого решения.

В первую очередь рекомендуется внедрять те контроли, которые не требуют серьезных инвестиций и нацелены на компенсирование кри­тичных недостатков (например, изменение настройки системы может быть реализовано достаточно быстро и без серьезных инвестиций).

 

.3. Особенности аудита информационной езопасности организаций, использующих утсорсинг

В настоящее время использование аутсорсинга является достаточно распространенной практикой. Причины для передачи ряда ресурсов и процессов на поддержку и исполнение сторонними организациями

 

 

могут быть разные — вывод непрофильных операций, стремление уменьшить операционные расходы, снижение зависимости от ключе­вого персонала и т.п. Однако компании не просто передают в сторон­ние организации персонал, данные, технологии — они теряют час­тичный контроль над ресурсами и процессами, переданными в аутсорсинг, «приобретая» при этом дополнительные риски.

Появление новых рисков можно рассмотреть на примере передачи функций поддержки интернет-сайта в хостинговую организацию. Не­смотря на то что компания может уделять серьезное внимание вопро­сам обеспечения своей информационной безопасности, зачастую воз­никает ситуация, когда она не может гарантировать такой же (или больший) уровень безопасности для информации, размещаемой на интернет-серверах, техническое управление которыми осуществляет­ся третьей стороной. Как при этом убедиться в сохранности критич­ной информации и ограничении доступа к ней? Достаточно ли сил и средств уделяет аутсорсинговая организация защите ресурсов имен­но вашей компании? Достаточно ли компетентен ее персонал по воп­росам информационной безопасности? Каким образом ваша компа­ния будет проинформирована (и будет ли вообще) о сбоях и нарушениях требований по обеспечению доступности, целостности и конфиденциальности информации, которая передана на аутсорсинг? Вопросов возникает очень много, и, для того чтобы ответить на них, зачастую необходимо проводить специализированные проверки (аудит), по результатам которых и внедряются соответствующие меры контроля.

Необходимо отметить, что в международной практике вопросам контроля процессов и ресурсов, переданных в аутсорсинг, уделяется достаточно серьезное внимание. Например, для случаев использова­ния сторонних услуг, связанных с использованием информационных или интернет-систем, существуют специализированные критерии/прин­ципы оценки (например, SysTrust и WebTrust — проекты типа Trust Services). Данные критерии служат базой для определения требова­ний к системам контроля за информационными системами (SysTrust) и интернет-решениями (WebTrust) по следующим аспектам:

безопасность (система защищена от неавторизованного физи­ческого и логического доступа);

доступность (система доступна для операционного использо­вания согласно договоренности);

 

 

целостность обработки (система обрабатывает данные полнос­тью, аккуратно, вовремя и в соответствии с авторизацией);

конфиденциальность (информация, определенная как «конфи­денциальная», защищается согласно договоренности);

онлайновая защита персональных данных (персональная ин­формация, полученная в результате интернет-операций, соби­рается, используется, раскрывается и хранится согласно дого­воренности) (применимо только для услуг WebTrust).

В настоящее время практически все передовые методологии, пос­ледние стандарты и нормативные акты в области управления ИТ и информационной безопасностью (включая C0BIT-4.0 и IS0/IEC 17799) так или иначе регулируют вопросы, связанные с аутсорсингом. Про­ведение соответствующего анализа рисков и контролей при исполь­зовании аутсорсинга становится особенно актуальным, если передан­ные функции/ресурсы поддерживают критичные области деятельности организаций. Например, в секции 404 Закона Сарбейнса—Оксли (или S0X-404) говорится, что если компания использует сторонние органи­зации для целей обработки или хранения данных (или предоставле­ния других услуг), которые так или иначе могут повлиять на форми­рование финансовой отчетности или соответствие законодательным нормам, или предотвращение случаев мошенничества, то руководство компании должно соответствующим образом оценивать адекватность системы контроля поставщика над данными ресурсами/услугами. При этом оценка контроля проводится по всем пяти областям контроля C0S0 (the committee of sponsoring organizations of the treadway commission):

контрольная среда и нравственный климат (control environment);

оценка риска (risk assessment);

мероприятия контроля (control activities);

сбор и анализ информации и передача ее по назначению (information and communication);

5)         мониторинг и исправление ошибок (monitoring).

Необходимо отметить, что возможны два основных варианта полу­чения такой оценки: компания сама проводит соответствующий об­зор или же поставщик привлекает независимого аудитора для прове­дения оценки по критериям SAS-70 (SAS-70 регулирует вопросы оценки системы контролей сервисных организаций). В случаях когда оценка по SAS-70 не проводится, сервисная организация должна быть готова

 

 

Практика аудита информационной безопасности организаций и систем

           

 

соответствующим образом отвечать на все запросы ее клиентов отно­сительно контролен по вышеперечисленным областям.

Термин «аутсорсинг» можно определить как «формальное согла­шение между сторонами о выполнении сторонней организацией на регулярной основе определенных бизнес-функций». Поэтому можно выделить следующие основные аспекты, рассматриваемые при аудите вопросов, связанных с использованием аутсорсинга:

перечень услуг и функций, переданных в аутсорсинг;

требования по обеспечению требуемого уровня услуг;

требования по обеспечению физической и логической безо­пасности;

требования к поставщику услуг;

процедуры взаимодействия компании с поставщиком услуг;

•           юридические аспекты (содержание и полнота контракта). Перечень областей охвата получается достаточно широкий, что и

необходимо учитывать при планировании аудита информационной безопасности организаций, использующих аутсорсинг. Для таких слу­чаев особенно важно правильно распределить задачи между специа­листами по информационной безопасности, специалистами, обладаю­щими юридическими знаниями (область особого внимания), специалистами, обладающими опытом работы с компаниями-постав­щиками услуг, а также специалистами, обладающими базовыми зна­ниями в области управления непрерывностью бизнеса и кризис-ме­неджмента (естественно, возможны ситуации, когда такими знаниями обладает один человек).

Перечень тем, которые рекомендуется рассматривать и учитывать при аудите вопросов, связанных с аутсорсингом, приведен ниже. При этом необходимо отметить, что вопросы эффективности и оптимиза­ции аутсорсинговых услуг в данной статье не рассматриваются.

 

Перечень услуг и функций, переданных в аутсорсинг

При проведении аудита необходимо определить, какие именно ре­сурсы и бизнес-процессы были переданы на аутсорсинг сторонней организации, какова их критичность (как для самой компании, так и для целей аудита). Договор со сторонней организацией должен вклю­чать детальное описание услуг, предоставляемых аутсорсинговой орга­низацией по данному соглашению. Очевидно, что не все может быть передано в аутсорсинг, например принятие управленческих решений должно оставаться за руководством компании.

Перед окончательным решением по передаче ресурсов и процес­сов на аутсорсинг должна быть проведена соответствующая формаль­ная оценка рисков.

 

Требования по обеспечению требуемого уровня услуг

«Хорошая практика» рекомендует компаниям разработать и вне­дрить формальную политику и процедуры по управлению рисками аутсорсинга. Соответственно в компании должны быть внедрены фор­мальные процедуры регулярного контроля процессов, переданных в аутсорсинг.

Любой договор по аутсорсингу должен определять параметры ка­чества по каждому виду услуг, т.е. параметры, которые исполнитель гарантирует выполнить в рамках договора в соответствии с утверж­денным уровнем сервиса (service level agreement — SLA), и соответ­ственно перечень методов и средств их контроля. Пример таких пара­метров может включать:

параметры каналов связи (серверов и т.п.);

период доступности (24x7x365 и т.п.);

максимальное время и количество внеплановых простоев (в течение года, квартала или месяца);

максимальное время и количество плановых простоев (напри­мер, необходимые для профилактики).

Требования по обеспечению физической и логической безопасности

В настоящее время любой договор содержит отдельное положение по обеспечению конфиденциальности информации. Тем не менее, ис­ходя из практики аудита, можно сказать, что вопросы детальных ме­ханизмов обеспечения физической и логической защиты данных не всегда проговариваются в таких соглашениях. Например, вопросы обес­печения физической безопасности в рамках договора могут включать основные положения по:

ограничению физического доступа на площадки, где располо­жено оборудование компании;

защите от отключения электроснабжения;

защите от отключения каналов связи;

защите от пожаров;

 

 

защите от затоплений;

защите от внешних воздействий и природных факторов;

защите от техногенных катастроф.

Описание механизмов контроля логического доступа к информа­ционным системам могут включать требования по:

использованию мер идентификации, аутентификации, автори­зации;

ограничению и разграничению доступа (в том числе для со­трудников исполнителя);

использованию антивирусной защиты;

использованию межсетевого экранирования;

использованию системы обнаружения и предотвращения втор­жений;

использованию криптографической защиты;

обеспечению конфиденциальности информации клиента.

 

Требования к поставщику услуг

Вопросам выбора поставщика решений и услуг традиционно уде­ляется большое внимание. Существует достаточно много подходов, рекомендаций, опросников и т.п. по проведению тендеров и выбору поставщика аутсорсинговых услуг. Ниже приведены лишь некоторые из наиболее значимых аспектов такого выбора:

соблюдение внутренних политик и процедур проведения тен­дера по выбору поставщика услуг;

надежность/стабильность поставщика (что это за организация; будет ли она доступна для заказчика, когда это потребуется; каково ее финансовое положение);

имеет ли исполнитель внедренный план непрерывности биз­неса на случай возникновения внештатных ситуаций и сбоев (является одним из основополагающих требований);

насколько квалифицирован персонал исполнителя; насколько этот персонал способен принимать решения в рамках договора;

помещения исполнителя (насколько соответствуют требовани­ям заказчика; насколько защищены от физических и техноло­гических факторов; подвержены ли данные площади тем же рискам, что и основные площадки заказчика);

страхует ли исполнитель свои активы и свою профессиональ­ную деятельность.

 

 

Процедуры взаимодействия компании с поставщиком услуг

Договор должен определять механизмы взаимодействия сторон как с точки зрения обеспечения надлежащего качества услуг, так и взаи­модействия в нештатных ситуациях. При аудите данных вопросов ре­комендуется рассматривать следующие моменты:

порядок обработки запросов клиента, время отклика на зап­рос, время устранения сбоев, процедуры эскалации в особых случаях;

отчетность исполнителя перед клиентом:

 

периодичность и вид предоставляемых отчетных документов;

ключевые моменты/параметры отчетности;

•           порядок допуска представителей клиента (технический персо­нал, внутренние и внешние аудиторы, третьи лица) в помеще­ния исполнителя:

формирование списков доступа и порядок их изменения;

перечень идентификационных данных, требуемых при до­ступе;

выдача ключей от помещений, карт доступа и т.п;

 

процедуры внесения изменений и обновлений в системы;

процедуры уведомления в случае нештатных ситуаций, действия во внештатных ситуациях;

форс-мажор:

 

обстоятельства, признаваемые форс-мажором;

порядок оповещения и взаимодействия сторон в случае форс-мажора;

•           порядок разрешения спорных ситуаций.

 

Юридические аспекты (содержание и полнота контракта)

У каждой организации существуют свои требования к заключа­емым договорам и соответственно к аспектам, которые должны быть обязательно отражены и регламентированы. Каждая организация также самостоятельно определяет и находит компромисс по сто­имости услуг по каждому виду аутсорсингового сервиса, а также по порядку расчетов. Основные вопросы, которые рекомендуется регулировать в рамках договора на аутсорсинг и соответственно принимать во внимание при проведении аудита, перечислены ниже (вопросы формирования цены не рассматриваются в рамках дан­ной статьи):

 

 

срок действия такого договора и процедуры его пролонгации на следующий период;

процедуры внесения изменений, включая наличие возможнос­ти добавления новых услуг или расширения существующих;

перечень изменений, вносимых в одностороннем порядке без согласования с клиентом (например, исполнитель вводит до­полнительные механизма защиты);

двусторонняя ответственность за нарушение договора;

порядок и условия расторжения договора (в случае двусторон­него и одностороннего расторжения);

порядок и период обеспечения конфиденциальности инфор­мации;

действия, совершаемые исполнителем при расторжении дого­вора:

 

передача всех информационных ресурсов и данных клиенту;

уничтожение резервных копий и архивов;

помощь в миграции;

•           соблюдение вопросов лицензирования, авторских прав и ин­теллектуальной собственности.

Отметим, что вышеперечисленные критерии/вопросы не являются исчерпывающими и в то же время догмой. Ведь в любом случае все невозможно предвидеть и зарегулировать, поэтому между двумя орга­низациями должна существовать определенная доля доверия. Тем не менее, правильно адресовав риски, можно намного упростить жизнь своей организации. А выявить эти риски как раз и поможет аудит.

Аудит и доверие информационной зопасности

 

Информационная безопасность — один из видов безопасности, оп­ределяется с учетом [18] и [19] через «состояние защищенности», неявно адресуя нас к категориям психологии, в частности уверенно­сти и доверия в безопасности. Эта уверенность ориентирована на социум — человека или группу лиц, ожидающих или же стремящих­ся достичь некоторых целей и предпринимающих в этой связи не­кие действия.

В комментарии [46] для международного бизнеса Консультативно­го комитета Организации по экономическому сотрудничеству и разви­тию (ОЭСР) по предпринимательству и промышленности и Междуна­родной торговой палаты «Доверие информационной безопасности для руководящих работников» по директивам ОЭСР от 2002 г. по безопас­ности сетей и информационных систем, относящимся к культуре безо­пасности, отмечается:

«Весь бизнес представляет собой вопрос доверия. Доверие может развиться только в том случае, когда участники сделки ощущают надежность и безопасность».

Наша уверенность может базироваться только на знаниях относи­тельно некоторого объекта (системы, процесса — объекта доверия), получаемых и накапливаемых или же в результате наблюдений, или же в результате специально предпринимаемых мер как самостоятель­но, так и с привлечением других сторон. Отмеченные комментарии ОЭСР и Международной торговой палаты [46], например, были выпу­щены в целях повышения осведомленности (накопления знаний) в деловых кругах о широком спектре рисков информационной безопас-

 

 

ности, связанных в данном случае с использованием Интернета и элек­тронной торговли, а также осознания решений, мер, практических при­емов и политик, которые могут способствовать минимизации этих рис­ков. Эти знания были получены в течение многих лет многими организациями и странами и были обобщены в едином высокоуров­невом документе.

Приведенные в [46] комментарии дают общее представление о содержании решений, мер, практических приемов и политик, среди которых представлены оценочные меры. Оценочные меры позволяют получить знания, необходимые нам для формирования ощущения уве­ренности.

Уверенность осознается посредством пересмотра данных доверия, полученных в результате процессов оценивания и мероприятий во время разработки, развертывания и действия, и в результате опыта по реальному использованию объекта доверия. Любые мероприятия, ко­торые могут уменьшить неопределенность путем представления дан­ных, свидетельствующих о правильности, эффективности и качестве атрибутов (например, свойств) объекта доверия, формируют основу доверия безопасности.

Существует много методов доверия, ориентированных на различ­ные сущности или их совокупности, например применительно к сис­теме (организации) в целом, продукции, процессам ее производства, но лишь ограниченное их количество предназначено для безопаснос­ти. В то же время прямо не относящиеся к безопасности методы до­верия, такие, например, как сертификация системы менеджмента ка­чества организации по ISO 9000, могут оказать содействие в формировании доверия безопасности. При этом является важным, знаем ли мы изначально, насколько тот или иной существующий ме­тод доверия имеет отношение (прямое или косвенное) к области бе­зопасности.

Если исходить из предпосылок, что безопасность — это в первую очередь стремление к порядку (роли и ответственности, права и обя­занности), то, учитывая малое число существующих специфичных для безопасности методов (стандартов, относящихся к обеспечению безо­пасности на различных стадиях жизненного цикла систем, процессов, продукции, доверия к персоналу и т.д.), каждый из существующих методов доверия привносит свой вклад в уверенность в безопаснос­ти. Все, что может быть использовано для создания аргументации для уверенности в безопасности и уменьшения в связи с этим неопреде­ленности (риска), имеет большое значение.

Например, несмотря на то что ISO 9000 [13] является стандартом доверия к качеству, первоначально разработанному для промышлен­ных организаций, он также содержит элементы доверия к процессу, применимому, например, для программного обеспечения и, по суще­ству, для программных продуктов и систем безопасности. В сравне­нии с этим SSE-CMM [43] является методом доверия безопасности. Этот метод формирует данные доверия, оценивая процессы проектирова­ния безопасности в организации, а не непосредственно объект дове­рия, например системы.

Все отмеченные факторы оказывают влияние на формирование доверия безопасности и, в частности, на выбор метрик — методов измерений/оценки. Аудиты (внутренние/внешние), как и другие на­правления оценивания информационной безопасности, предназначе­ны обеспечить свидетельства в реализации заявленных требований или целей безопасности, что, в свою очередь, направлено на форми­рование уверенности в безопасности.

Например, внутренние аудиты систем менеджмента информацион­ной безопасности являются в соответствии с [24] составной частью процессов, реализуемых на стадии проверки цикла PDCA СМИБ. Ре­зультаты аудиторских проверок используются в качестве одного из видов входной информации для процессов анализа СМИБ руковод­ством, осуществляемого с целью обеспечения контроля адекватности и эффективности СМИБ. Отсюда очевидно, что весьма важными явля­ются следующие вопросы:

насколько достоверными являются результаты аудита?

насколько результаты аудита адекватны реальному состоянию дел?

насколько результаты аудита позволяют оценить степень дос­тижения целей информационной безопасности организацией и влияния информационной безопасности на бизнес-цели орга­низации?

Первая группа вопросов связана с качеством методики проведе­ния аудита, квалификацией и опытом аудиторов, степенью достовер­ности представляемых в процессе аудита свидетельств, т.е. теми ас­пектами, которые определяют отношение заинтересованной стороны к результатам аудита информационной безопасности. Методика про-

 

 

ведения аудита, как правило, является «ноу-хау» аудиторской органи­зации, аудитора, т.е. в конечном счете все сводится к уровню способ­ности аудиторской организации к данному виду деятельности. Дан­ные аспекты регулируются во всех сферах аудиторской деятельности либо на правовом уровне, либо на уровне стандартов.

Так, в Федеральном законе «Об аудиторской деятельности» уста­новлены особые положения об аудиторе и аудиторской организации, их независимости, их ответственности за заведомо ложное аудитор­ское заключение, контроле качества работы аудиторских организаций и индивидуальных аудиторов. Особо оговорены процедура аттестации физических лиц на право осуществления аудиторской деятельности и процедура лицензирования аудиторской деятельности. Законом пре­дусмотрен также уполномоченный федеральный орган государствен­ного регулирования аудиторской деятельности, одними из основных функций которого являются организация системы надзора за соблю­дением аудиторскими организациями и индивидуальными аудиторами лицензионных требований и условий и контроль за соблюдением ауди­торскими организациями и индивидуальными аудиторами федераль­ных правил (стандартов) аудиторской деятельности. В ГОСТ Р ИСО 19011 [33] основным содержанием являются вопросы проведения аудита, а также компетентности и оценки аудиторов.

Вторая группа вопросов связана с обеспечением полноты провер­ки, проверяемых материалов, т.е. с программой аудита, что в конеч­ном итоге позволяет создать уверенность в достижении целей аудита безопасности. Эти обстоятельства также регулируются во всех сферах аудиторской деятельности либо на правовом уровне, либо на уровне стандартов. Законом «Об аудиторской деятельности» аудитору предо­ставляются права проверять в полном объеме документацию, связан­ную с финансово-хозяйственной деятельностью аудируемого лица, а также фактическое наличие любого имущества, учтенного в этой до­кументации, получать у должностных лиц аудируемого лица разъясне­ния в устной и письменной формах по возникшим в ходе аудиторской проверки вопросам вплоть до права отказаться от проведения ауди­торской проверки или от выражения своего мнения о достоверности финансовой (бухгалтерской) отчетности в аудиторском заключении в случае непредставления аудируемым лицом всей необходимой доку­ментации. ГОСТ Р ИСО 19011 содержит целый раздел, в котором опи­сывается процесс управления программой аудита. Особо оговарива-

 

 

ются цели и объем программы аудита, оговаривается ответственность за программу аудита, описываются необходимые ресурсы и процеду­ры, излагаются положения по внедрению программы аудита, устанав­ливаются требования к записям по программе аудита, раскрываются положения по мониторингу и анализу программы аудита.

Третья группа вопросов связана с принципиальной возможностью разрешения с помощью аудита проблемы обеспечения видимости со­стояния защищенности организации от угроз в информационной сфе­ре, т.е. информационной безопасности, и ее вклада в достижение глав­ных целей деятельности любой организации. В конечном итоге — это вопрос о формировании уверенности в достижении целей информа­ционной безопасности.

Решение вопроса об обеспечении уверенности в достижении сис­темой менеджмента в любой сфере предметной деятельности своих целей является неотъемлемой частью цикла PDCA. К сожалению, в международном стандарте IS0/IEC 27001: 2005 [24], несмотря на бли­зость его происхождения к методологии стандарта ИСО 9000: 2000, вопрос этот по сравнению с «родственником» проработан недоста­точно ясно.

Если следовать методологии, использованной при разработке сло­варя в ГОСТ Р ИСО 9000 (аутентичном тексту международного стан­дарта ISO 9000-2000), то целями деятельности в рамках стадии про­верки цикла PDCA СМИБ можно было бы определить «часть менеджмента информационной безопасности, направленную на созда­ние уверенности в том, что требования к информационной безопас­ности будут выполнены».

Как ни странно, но ИСО в своей деятельности давно выделило этот вопрос в особое направление — обеспечение доверия к ин­формационной безопасности. В рамках этого направления разраба­тывается документ IS0/IEC 15443 «Information technology — Security techniques — A framework for IT security assurance*. Документ пред­назначен дать общий подход к формированию уверенности относи­тельно тех или иных объектов доверия, включая краткий обзор, как специфичных методов доверия безопасности ([21, 22, 23, 24] и др.), так и иных, дающих дополнительные недостающие свидетельства ([12, 13, 32, 35] и др.).

При этом целесообразно различать уверенность (доверие) правиль­ности и уверенность (доверие) эффективности.

 

 

Доверие правильности относится к оцениванию некоторого объек­та доверия, чтобы проверить правильность реализации требований, примером такого оценивания является оценка соответствия, включая аудит, системы менеджмента информационной безопасности органи­зации требованиям международного стандарта ISO/IEC 27001 [24].

Доверие эффективности относится к возможностям функций (про­цессов) безопасности объекта доверия, например, на уровне органи­зации, противостояния воспринимаемым или идентифицированным угрозам безопасности, включая адаптацию к изменениям как внутри, так и во вне организации. Подходы к такой оценке рассмотрены в п. 3.3.2.

На практике из всего отмеченного следует, что целесообразна ком­бинация определенных мер доверия к безопасности, где есть место и мерам оценки правильности (оценки соответствия требованиям), и мерам оценки эффективности (результативности и зрелости, напри­мер, для того, чтобы измерить степень их возможности процессов к самосовершенствованию и развитию).

Следует отметить и еще один важный аспект. Доверие способству­ет уменьшению риска: доверие уменьшает неопределенность, связан­ную с уязвимостями объекта доверия, ведя к снижению общего риска (за счет более точного прогноза), связанного с объектом доверия. При этом доверие не добавляет никаких дополнительных защитных мер, чтобы противостоять риску, связанному с безопасностью, скорее, ме­роприятия доверия пытаются доказать, что объект доверия соответ­ствует своим целям безопасности. Это включает формирование соот­ветствующих свидетельств доверия и логических обоснований, чтобы дать уверенность, что уже реализованные защитные меры уменьшат ожидаемый (прогнозируемый) риск.

Возможная обобщенная логическая модель обеспечения доверия к информационной безопасности, построенная на основе методоло­гии документа IS0/IEC 15443, приведена на рисунке 31. Здесь под объектом доверия понимается защитная мера информационной безо­пасности, система, услуга, процесс или фактор среды (т.е. персонал, организация). Уверенность понимается как убеждение в том, что объект доверия будет действовать ожидаемым или заявленным образом (т.е. должным образом, реализуя в полной мере политику безопасности, обеспечивая эффективность). В целом мера доверия — это процесс или мероприятие метода доверия, само по себе признанное (в рамках

 

 

некоторого сообщества) приносящим воспроизводимые результаты. Под доказательством доверия понимается совокупность структуриро­ванных заявлений (утверждений) о доверии, подкрепленных свиде­тельством доверия и обоснованием, которые четко показывают, ка­ким образом удовлетворены потребности доверия.

Критерии доверия здесь необходимо понимать как критерии, от­ражающие соответствие объекта доверия степени уверенности в нем со стороны заинтересованного лица. В соответствии с документом IS0/IEC 15443 уровень обеспечения доверия — это требуемое и(или) оцененное значение, определяемое согласно некоторой шкале, исполь­зованной методом обеспечения доверия. При этом уровень обеспече­ния доверия объекта доверия может измеряться неколичественной мерой, а усилиями, затраченными на выполнение деятельности.

Относительно понятия «стадия доверия» в документе ИСО опреде­лено, что это стадия жизненного цикла объекта доверия, в отношении которой используется определенный метод обеспечения доверия. При этом уверенность в объекте доверия основывается на результатах при­менения методов обеспечения доверия на всем жизненном цикле объекта доверия. Под методом обеспечения доверия понимается об­щепризнанная спецификация, например стандарт, предназначенная для получения воспроизводимых результатов доверия, а в свою очередь результаты обеспечения доверия — это документированные количе­ственные или качественные формулировки в отношении объекта до­верия, например аудиторское заключение, отчет об оценке.

Два документа ИСО IS0/IEC 15443 и IS0/IEC 21827 однозначно определяют понятие «свидетельство доверия» как результаты обеспе­чения доверия или любые элементы, созданные в результате деятель­ности, направленной на обеспечение/достижение уверенности, вклю­чая отчеты (обоснования), которые используются для поддержки заявления (утверждения) о доверии. Свидетельство может состо­ять из результатов наблюдения, результатов тестов, результатов ана­лиза и оценочных документов. Под заявлением о доверии необходи­мо понимать утверждение или поддерживающее утверждение о том, что объект доверия удовлетворяет потребностям безопасности. При этом заявления могут осуществляться как относительно непосредствен­ных угроз (например, утверждение о том, что обеспечивается защита системных данных от атак, осуществляемых посторонними лицами), так и относительно косвенных угроз (например, утверждение о том, что

 

текст программ операционной системы обладает минимальными де­фектами). Орган доверия здесь — это лицо, организационная струк­тура или организация (социум), обладающее полномочиями прини­мать решения относительно доверия, связанного с объектом доверия, которые, в конечном счете, приводят к вселению уверенности в объек­те доверия. При этом решения могут приниматься относительно вы­бора методов доверия, спецификации


Оцените книгу: 1 2 3 4 5