Аудит информационной безопасности
Такие методики работы по анализу рисков информационной безопасности, проектированию и сопровождению систем безопасности должны позволить:
• произвести количественную оценку текущего уровня безопасности, задать допустимые уровни рисков, разработать план мероприятий по обеспечению требуемого уровня безопасности на организационно-управленческом, технологическом и техническом уровнях с использованием современных методик и средств;
• рассчитать и экономически обосновать перед руководством или акционерами размер необходимых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;
• выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;
• определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности предприятия, создать необходимый пакет организационно-распорядительной документации;
• разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;
• обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.
В последнее время в разных странах появилось новое поколение стандартов информационной безопасности компьютерных информационных систем, посвященных практическим вопросам обеспечения и аудита информационной безопасности. Это, прежде всего, международные и национальные стандарты оценки и управления информационной безопасностью ISO 15408, ISO 17799 (BS 7799), BSI; стандарты аудита информационных систем и информационной безопасности COBIT, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им.
В соответствии с этими стандартами обеспечение информационной безопасности в любой компании предполагает следующее. Во-первых, определение целей обеспечения информационной безопасности компьютерных систем. Во-вторых, создание эффективной системы управления информационной безопасностью. В-третьих, расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям. В-четвертых, применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния. В-пятых, использование методик (с обоснованной системой метрик и мер обеспечения информационной безопасности) проведения аудита информационной безопасности, позволяющих объективно оценить текущее состояние дел.
Новое поколение стандартов отличается как от предыдущего, так и от Руководящих документов Гостехкомиссии России 1992-1998 годов, большей формализацией аудиторской деятельности и более детальным комплексным учетом качественно и количественно проверяемых показателей информационной безопасности компании. Комплексный учет показателей предполагает комплексный подход к аудиту, когда на соответствие определенным правилам проверяется не только программно-техническая составляющая информационной безопасности компьютерной системы, но и организационно-административные меры по ее обеспечению.
А для практики аудита исключительно важным стало принятие в период с 1996 по 2001 год стандартов аудита информационных систем и информационной безопасности, действующих и поныне. Так, например, Ассоциация аудита и управления информационными системами (The Information Systems Audit and Control Association & Foundation - ISACA), регламентирующими практику процедуры проведения аудита, а также права и обязанности аудиторов стандарты объединила в следующие группы:
• хартия аудитора (010 Audit Charter) - определяет права и обязанности аудитора;
• обеспечение независимости (020 Independence) - описаны гарантии профессиональной независимости аудитора и взаимоотношения с другими компаниями;
• профессиональная этика (030 Professional Ethics and Standards) - перечислены требования к профессиональной этике аудиторов и их взаимоотношениям в профессиональной среде;
• требования к квалификации аудитора (040 Competence) - приведен список формальных требований к знаниям и навыкам, необходимых для работы аудитора;
• планирование работ по аудиту (050 Planning) - рассмотрена предоставляемая аудитору до начала работ документация и требования, которым должен отвечать план проверки;
• подотчетность действий аудитора (060 Performance of Audit Work) - описаны контрольные операции за действиями аудитора со стороны персонала проверяемой системы (supervision) и корректностью полученных выводов (evidence);
• требования к отчетной документации (070 Reporting) - показана рекомендуемая форма отчета и его содержание;
• последующие действия (080 Follow-Up Activities) - описана процедура надзора за исправлениями, которые вносятся после аудита.
Рассмотрим некоторые стандарты, затрагивающие вопросы аудита информационной безопасности, несколько подробнее.
Дата добавления: 2016-04-19; просмотров: 1045;