|
Читайте также: |
Рассмотрим основные положения методики проведения аудита и рекомендованные средства и способы оценки рисков Guide to BS 7799 risk assessment and risk management [145], Guide to BS 7799 auditing [167]. Эти рекомендации вполне применимы к отечественным условиям и могут быть использованы при разработке соответствующих методик. Особенно полезными представляются простейшие годы оценки рисков и управления ими, не требующие установки сложного и дорогостоящего программного обеспечения.
Каждая компания, решившая провести аудит информационной безопасности в соответствии с требованиями стандарта BS 7799 (ISO/IEC 17799), должна осуществить подготовительные мероприятия, которые включают приведение в надлежащий вид нормативно-методической документации компании по организации информационной безопасности и внутреннюю проверку соответствия системы обеспечения информационной безопасности компании требованиям стандарта. Только после этого компания приглашает аудитора.
Процедура аудита информационной безопасности компании начинается с составления детальных и подробных планов проведения аудита. Планы должны быть представлены соответствующим лицам компании до начала процесса аудита. При этом важно, чтобы аудиторы были ознакомлены с тем, каким законодательно-правовым нормам и требованиям отраслевых и ведомственных стандартов следует проверяемая организация или компания. Далее начинается проверка нормативно-методической документации компании, которая может происходить как внутри компании, так и за ее пределами. К проверяемой документации может относиться концепция и политика безопасности, описание границ защищаемой системы (карта корпоративной системы, в том числе описание состава и структуры;пользуемого в компании прикладного и системного программного обеспечения), должностные инструкции корпоративных пользователей, положения о департаменте информационной безопасности, описания методик оценки и управления информационными рисками, оценки состояния информационной безопасности компании, правил и норм эксплуатации программно-технических средств обеспечения информационной безопасности и пр. Если компания уже проходила процедуру аудита, то также предъявляется отчет о предыдущей проверке и данные обо всех выявленных ранее несоответствиях. Кроме того, должна быть составлена ведомость соответствия (Statement of Applicability) - документ, в котором оценивается соответствие поставленных целей и средств управления информационной безопасностью требованиям стандарта.
Сущность процедуры аудита безопасности на соответствие системы управления информационной безопасностью компании требованиям стандарта заключается проверке выполнения всех положений стандарта. По каждому такому положению проверяющие должны ответить, выполняется ли данное требование и, если нет, каковы причины невыполнения. На базе ответов составляется ведомость соответствия, основная цель которой - аргументированное обоснование имеющихся отклонений от требований стандарта. По завершении аудита безопасности выявленные несоответствия при необходимости могут быть устранены. Другими словами, в ходе аудита всей компании специалист должен собрать доказательства того, что организация отвечает всем требованиям стандарта BS 7799. Это делается по результатам анализа документов, бесед с экспертами, а если потребуется - проведения соответствующих организационных проверок режима безопасности и инструментальных проверок компонентов корпоративной системы Internet/Intranet. В итоге должны быть проверены организация информационной безопасности компании, обязанности по обеспечению информационной безопасности сотрудников, наличие документированной политики и стратегии информационной безопасности для компании и, в частности, документированной стратегии и общих положений подхода к оцениванию рисков и управлению ими. При этом обращается внимание на наличие документированных, применимых на практике методик оценивания рисков и управления ими, а также обоснования правильности выбора средств защиты для информационной системы компании. Выявляется, имеются ли документированные процедуры оценки остаточного риска, проверки режима информационной безопасности и журналов, в которых фиксируются результаты проверки. У аудитора должна быть полная ясность относительно того, утверждены ли правила обслуживания и администрирования информационной системы, есть ли распоряжения должностных лиц о проведении периодических проверок оценивания рисков и управления ими, документация по системе управления информационной безопасностью и реестр необходимых средств.
Специалист, отвечающий за аудит информационной безопасности компании, обязан выполнить, по меньшей мере, выборочные проверки выводов, сделанных при оценке рисков. В каждом случае нужно убедиться, что вся информация, подвергавшаяся проверке, подтверждена документально в должном объеме, риски оценивались в соответствии с корректными методиками, а результаты достоверны и могут быть использованы в дальнейшем. Кроме того, следует удостоверить факт соответствия рассматриваемым рискам средств обеспечения информационной безопасности, выбранных на основе рекомендаций BS ISO/IEC, их правильного применения и прохождения ими тестирования, а также знание сотрудниками политики информационной безопасности компании. Принятую систему управления информационной безопасностью необходимо надлежащим образом документировать и составить ведомость соответствия, в которой описать риски, используемые законодательные и нормативные требования, указать выбранные средства обеспечения информационной безопасности и обосновать их выбор. По итогам работы аудитор обязательно оформляет заключение.
Варианты аудита безопасности
Возможны два варианта аудита информационной безопасности: аудит компании в целом и аудит только информационной системы.
В первом случае компания должна подготовить для проверки:
– документы, подтверждающие внедрение в организации выработанной политики информационной безопасности и, в частности, наличие документированного подхода к оцениванию рисков и управлению ими в рамках всей компании;
– описание организационной инфраструктуры информационной безопасности на местах - распределение обязанностей сотрудников по обеспечению безопасности;
– обоснование выбора средств защиты для рассматриваемой системы;
– документацию на процессы обслуживания и администрирования информационной системы;
– документацию с описанием подходов к оцениванию рисков и управлению ими;
– документацию по подготовке периодических проверок, касающихся оценивания рисков, и управлению ими;
– описание процедуры принятия уровня остаточного риска с документированным выводом о реализации необходимых средств обеспечения информационной безопасности, степени их тестирования и корректности работы с ними;
– документацию по системе управления информационной безопасностью и реестр средств управления безопасностью в ведомости соответствия;
– результаты оценивания рисков по информационной системе;
– описание мер для противодействия выявленным рискам.
Все перечисленные проверки выполняются в соответствии с принятыми в компании подходами к оценке рисков и управлению ими.
В случае аудита только информационной системы компания должна подготовить для проверки:
– описание политики информационной безопасности, документацию по системе управления информационной безопасностью и ведомость соответствия, отражающую реальное состояние оцениваемой системы;
– документацию по проведенному оцениванию рисков;
– документацию по средствам управления информационной безопасностью;
– доказательства эффективности принятых контрмер и результаты их тестирования.
Кроме того, при аудите только информационной системы аудитор обязан удостоверить документированность вопросов, рассматриваемых в ходе проведения периодических проверок системы управления информационной безопасностью, а также корректность оценки рисков, выполненных посторонними или рекомендуемыми стандартом методами. Ему надлежит подтвердить, что результаты оценивания рисков достоверны, приемлемы и документированы должным образом. Познакомившись со средствами обеспечения информационной безопасности, аудитор должен убедиться, что необходимые средства обеспечения информационной безопасности были установлены корректно, прошли тестирование и правильно используются, сотрудники знакомы с политикой информационной безопасности, система управления информационной безопасностью должным образом документирована и подготовлена ведомость соответствия. В итоге проводящему аудит сотруднику необходимо стандартным образом оформить заключение.
По результатам успешно выполненного аудита компании или ее информационной системы и подсистемы информационной безопасности выдаются сертификаты на соответствие стандарту BS 7799, которые считаются действительными в течение трех лет.
В процессе аудита подсистемы информационной безопасности компании на соответствие этому стандарту аудиторам приходится анализировать наиболее важные аспекты информационной безопасности с учетом объема подлежащей защите информации, ее специфики и ценности для проверяемой компании. Поскольку подобная деятельность аудитора в настоящее время с большим трудом поддается формальному описанию, требует знаний системного анализа и значительной практики аналогичной работы, опыт и компетентность аудитора являются важными условиями квалифицированного выполнения аудита безопасности корпоративной информационной системы.
По результатам аудита создается список замечаний, выявленных несоответствий требованиям стандарта и рекомендаций по их исправлению. При этом аудиторы должны гарантировать выполнение всех требований процедуры аудита. Поскольку и аудиторам, и проверяемой компании необходимо знать, насколько серьезны обнаруженные недостатки и каковы способы их исправления, в стандарте рассматриваются следующие категории несоответствия.
Существенное несоответствие: не выполняется одно или несколько базовых требований стандарта либо принимаются неадекватные меры по обеспечению конфиденциальности, целостности или доступности критически важной информации компании, приводящие к недопустимому информационному риску.
Несущественное несоответствие: не соблюдаются некоторые второстепенные требования, что несколько повышает информационные риски компании или снижает эффективность мер обеспечения ее информационной безопасности.
Каждое выявленное несоответствие непременно должно иметь ссылку на требование стандарта BS 7799. При обнаружении в процессе проверки значительного числа несущественных несоответствий аудитор обязан исследовать возможность возникновения серьезного несоответствия. После выявления несоответствий аудитору и представителям компании надлежит наметить пути их устранения. По результатам проверки аудитор может сформулировать в отчетных документах замечание, если он допускает возможность усовершенствования подсистемы информационной безопасности компьютерной информационной системы. Реакция компании на замечания аудитора бывает различной, поскольку компании сами в добровольном порядке определяют свои действия по их устранению. Замечания фиксируются и при последующих проверках. Аудиторам следует выяснить действия компании по устранению недостатков.
Аудитор анализирует представленные компанией ранее описанные документы. В случае повторного аудита компании или ее подсистемы информационной безопасности заполняется ведомость соответствия - документ, составленный аудитором при предыдущей проверке.
Дата добавления: 2015-09-02; просмотров: 66 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Сертификация и аудит: организационные аспекты | | | Организация проведения аудита |