Стандарты BSISO/IEC 17799:2000 (BS 7799-1:2000) и BS 7799-2:2000
Пожалуй, сегодня для проведения аудита информационной безопасности компании наибольшую известность и распространение получил Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Управление информационной безопасностью - Информационные технологии (Information technology - Information security management)». Данный стандарт был разработан на основе первой части Британского стандарта BS 7799-1:1995 «Практические рекомендации по управлению информационной безопасностью (Information security management - Part 1: Сode of practice for information security management)» и относится к новому поколению стандартов информационной безопасности компьютерных информационных систем. Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799-1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:
• необходимость обеспечения информационной безопасности;
• основные понятия и определения информационной безопасности;
• политика информационной безопасности компании;
• организация информационной безопасности на предприятии;
• классификация и управление корпоративными информационными ресурсами;
• кадровый менеджмент и информационная безопасность;
• физическая безопасность;
• администрирование безопасности корпоративных информационных систем;
• управление доступом;
• требования по безопасности к корпоративным информационным системам в ходе их разработки, эксплуатации и сопровождения;
• управление бизнес-процессами компании с точки зрения информационной безопасности;
• внутренний аудит информационной безопасности компании.
Вторая часть стандарта BS 7799-2:2000 «Спецификации систем управления информационной безопасностью (Information security management - Part 2: Specification for information security management systems)» определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта [82]. В соответствии с положениями этого стандарта так же регламентируется процедура аудита информационных корпоративных систем. Также дополнительную существенную помощь при проведении аудита безопасности компании могут оказать практические рекомендации Британского института стандартов - British Standards Institution (BSI), изданные в период 1995-2000 годов в виде следующей серии [79-81, 64, 83, 95, 73]:
• Введение в проблему управления информационной безопасности - Information security management: an introduction;
• Возможности сертификации на требования стандарта BS 7799 - Preparing for BS 7799 certification;
• Руководство BS 7799 по оценке и управлению рисками - Guide to BS 7799 risk assessment and risk management;
• Готовы ли вы к аудиту на требования стандарта BS 7799 - Are you ready for a BS 7799 audit?
• Руководство для проведения аудита на требования стандарта BS 7799 - Guide to BS 7799 auditing;
• Практические рекомендации по управлению безопасностью информационных технологий - Code of practice for IT management.
Сегодня общими вопросами управления информационной безопасности компаний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет Joint Technical Committee ISO/IEC JTC 1 совместно с Британским Институтом Стандартов – British Standards Institution (BSI) и, в частности, служба UKAS. Названная служба производит аккредитацию организаций на право аудита информационной безопасности и соответствии со стандартом BS ISO/IEC 7799:2000 (BS 7799-1:2000). Сертификаты, выданные этими органами, признаются во многих странах.
Рассмотрим основные положения методики проведения аудита и рекомендованные ею средства и методы оценки рисков.
Особенно полезными представляются простейшие методы оценки и управления рисками, не требующие использования сложного и дорогостоящего программного обеспечения.
Каждая компания, решившая провести аудит информационной безопасности, в соответствии с требованиями стандарта BS ISO/TEC 7799:2000 (BS 7799-1:2000) должна осуществить подготовительные мероприятия, подготовить документацию и систему управления информационной безопасностью. Только после выполнения этих требований компания приглашает аудитора.
Подготовительные мероприятия включают в себя подготовку нормативно-методической документации компании по организации информационной безопасности и проведение внутренней проверки соответствия системы обеспечения информационной безопасности компании требованиям стандарта ISO 17799.
Процесс аудита информационной безопасности компании начинается с подготовки детальных и подробных планов проведения аудита. Планы должны быть предоставлены соответствующим лицам компании до начала процедуры аудита безопасности. При этом важно, чтобы аудиторы были ознакомлены с тем, каким законодательно-правовым нормам и требованиям отраслевых и ведомственных стандартов следует проверяемая организация или компания. Далее начинается проверка нормативно-методической документации компании, которая может проводиться как внутри компании, так и за ее пределами. Состав проверяемой документации может включать: Концепцию и Политику безопасности, описание рамок защищаемой системы (карту корпоративной системы Internet/Intranet, в том числе описание состава и структуры используемого в компании прикладного и системного программного обеспечения), должностные инструкции корпоративных пользователей, положения о Департаменте информационной безопасности, а также описания методик оценки и управления информационными рисками, оценки состояния информационной безопасности компании, правил и норм эксплуатации программно-технических средств обеспечения информационной безопасности и пр. Если компания уже проходила процедуру аудита, то также представляется отчет о предыдущей проверке и данные о всех выявленных ранее несоответствиях. Кроме того, должна быть подготовлена так называемая Ведомость соответствия - документ, в котором оценивается соответствие поставленных целей и средств управления информационной безопасностью требованиям стандарта.
Сущность аудита безопасности на соответствие системы управления информационной безопасностью компании требованиям стандарта заключается в проверке выполнения каждого положения стандарта ISO 17799. По каждому такому положению проверяющие должны ответить на два вопроса: выполняется ли данное требование, и если нет, то каковы причины невыполнения? На основе ответов составляется Ведомость соответствия, основная цель которой - аргументированное обоснование имеющихся отклонений информационной безопасности от требований стандарта ISO 17799. По завершении аудита безопасности выявленные несоответствия при необходимости могут быть устранены. Другими словами, и ходе выполнения аудита всей компании в целом, аудитор, выполняющий данную работу, должен собрать доказательства того, что компания отвечает всем требованиям стандарта ISO 17799. Это делается на основе анализа документов, бесед с экспертами, а при необходимости и проведения соответствующих организационных проверок режима безопасности и инструментальных проверок компонентов корпоративной системы Internet/Intranet.
В результате должны быть проверены: организация информационной безопасности компании, обязанности по обеспечению информационной безопасности сотрудников всех должностей, наличие документированной политики и стратегии информационной безопасности для компании и, в частности, документированной стратегии и общих положений подхода к оцениванию и управлению рисками. При этом обращается внимание на наличие документированных, применимых на практике методик по оцениванию и управлению рисками, обоснования правильности выбора средств защиты для информационной системы компании. Попутно выявляется наличие документированных процедур оценки остаточного риска, проверки режима информационной безопасности, а также журналов, в которых фиксируются результаты проверки. У проверяющего аудитора должна быть полная ясность относительно наличия документированных правил обслуживания и администрирования информационной системы, наличия документированных распоряжений должностных лиц по проведению периодических проверок оценивания и управления рисками, документации по системе управления информационной безопасностью и реестра необходимых средств.
Аудитор, проводящий аудит информационной безопасности компании, должен, по меньшей мере, выполнить выборочные проверки выводов, сделанных при оценивании рисков. Для каждого случая нужно подтвердить, что все, что подверглось выборочной проверке, имеет необходимую документацию в должном объеме, оценивание рисков было выполнено в соответствии с корректными методиками, а их результаты оформлены документально, достоверны и могут быть использованы. Кроме того, должен быть подтвержден факт соответствия рассматриваемым рискам средств обеспечения информационной безопасности, выбранных на основе рекомендаций BS ISO/IEC 7799:2000 (BS 7799-1:2000), их документирования, правильного использования и прохождения ими тестирования, а также знания сотрудниками политики информационной безопасности компании. Используемая система управления информационной безопасностью должна быть надлежащим образом документирована и подготовлен документ «Ведомость соответствия», в котором описаны риски, используемые законодательные и нормативные требования, указаны выбранные средства обеспечения информационной безопасности и обоснован их выбор. В заключение проводящий аудит сотрудник должен стандартным образом оформить соответствующий документ.
В общем плане возможны два варианта аудита информационной безопасности: аудит компании и аудит только информационной системы.
В случае аудита информационной системы компания должна подготовить для проверки:
• описание политики информационной безопасности, документацию по системе управления информационной безопасностью и документ «Ведомость соответствия», отражающий реальное состояние оцениваемой системы.
• документацию по проведенному оцениванию рисков;
• документацию по средствам управления информационной безопасностью;
• доказательства эффективности принятых контрмер и результаты их тестирования.
Кроме того, при аудите только информационной системы аудитор должен подтвердить документированность вопросов, рассматриваемых в ходе проведения периодических проверок системы управления информационной безопасностью, а также корректность оценки рисков, выполненных посторонними пли рекомендуемыми стандартом методами. Он должен заверить достоверность результатов оценки, подтвердить, что результаты оценивания рисков достоверны, приемлемы и документированы должным образом. Познакомившись со средствами обеспечения информационной безопасности, аудитор должен подтвердить, что необходимые средства обеспечения информационной безопасности были установлены корректно, прошли тестирование и правильно используются, сотрудники знакомы с Политикой информационной безопасности, а система управления информационной безопасностью должным образом документирована и подготовлен документ «Ведомость соответствия». В заключение проводящий аудит сотрудник должен стандартным образом оформить соответствующий документ.
В практических рекомендациях Британского института стандартов BSI отмечается, что в среднем трудоемкость аудита информационной безопасности средней и крупной компаний может составлять 30-45 человеко-дней работы аудитора. По результатам успешно выполненного аудита компании или ее информационной системы и подсистемы информационной безопасности осуществляется выдача сертификатов на соответствие стандарту BS ISO/IEC 7799:2000 (BS 7799-1:2000), которые считаются действительными в течение 3 лет.
В процессе аудита подсистемы информационной безопасности компании на соответствие стандарту BS ISO/IEC 7799:2000 (BS 7799-1:2000) аудиторы должны проанализировать наиболее важные аспекты информационной безопасности с учетом объема подлежащей защите проверяемой информации, ее специфики и ценности для проверяемой компании. Поскольку подобная деятельность аудитора в настоящее время с большим трудом поддается формальному описанию, требует значительных знаний системного анализа и опыта аналогичной практической работы, опыт и компетентность аудитора являются существенными факторами качественно проведенного аудита безопасности корпоративной системы Internet/ Intranet.
В результате проведения аудита создается список замечаний, выявленных несоответствий требованиям стандарта и рекомендаций по их исправлению. При этом аудиторы должны гарантировать выполнение всех требований процедуры аудита. Поскольку и аудиторам, и проверяемой компании необходимо знать, насколько серьезны обнаруженные недостатки и каковы способы их исправления, то в стандарте используются следующие категории несоответствия:
Существенное несоответствие: не выполняется одно или несколько базовых требований стандарта ISO 17999 или установлено использование неадекватных мер по обеспечению конфиденциальности, целостности или доступности критически важной информации компании, приводящих к недопустимому информационному риску.
Несущественное несоответствие: не выполняются некоторые второстепенные требования, что несколько повышает информационные риски компании или снижает эффективность мер обеспечения информационной безопасности компании.
Каждое выявленное несоответствие обязательно должно иметь ссылку на соответствующее требование стандарта ISO 17799. При выявлении в процессе проверки значительного числа несущественных несоответствий аудитор обязан исследовать возможность возникновения существенного несоответствия. После выявления несоответствий аудитор и представители компании обязаны наметить пути их устранения. По результатам проверки аудитор может сформулировать в отчетных документах замечание, если он допускает возможность усовершенствования подсистемы информационной безопасности компьютерной информационной системы. Реакция компании на замечания аудитора может быть различной, поскольку компании сами в добровольном порядке определяют свои действия по их устранению. Замечания фиксируются и при последующих проверках аудиторы обязаны выяснить действия компании по их устранению.
Аудитор анализирует предоставленные компанией ранее описанные документы, а в случае повторного аудита компании или ее подсистемы информационной безопасности предоставляет «Ведомость соответствия» - документ, составленный аудитором при предыдущей проверке.
Организация проведения работ по аудиту безопасности должна начинаться с официального вступительного собрания. На собрании до сотрудников, занимающихся вопросами безопасности, руководства среднего и верхнего звена (ТОР-менеджеров компании) доводятся следующие вопросы:
• план проведения аудита, в котором описано, что и когда планируется проверять;
• поясняются методы оценки рисков, которые предполагается использовать в процессе проверки;
• объясняется процедура определения несоответствий, их квалификация и действия по их устранению;
• разъясняются причины, по которым по результатам проверки могут быть сделаны замечания, и возможная реакция на них;
• перечисляются руководящие документы аудитора и компании и правила доступа к ним;
• выясняются возможные трудности, которые могут возникнуть в процессе работы - отсутствие ведущих специалистов и т.д.;
• обговаривается организация работы с конфиденциальными сведениями компании, необходимыми для проведения аудита, включая отчет о проведении аудита и замечания о несоответствиях.
Администрация компании должна понимать, что аудитору, возможно, потребуется обратиться к потенциально уязвимым участкам компьютерной информационной системы и конфиденциальной информации компании, например к спискам паролей и учетных записей корпоративных пользователей, личным делам сотрудников, результатам проверки лояльности сотрудников компании и пр.
После проведения аудита проводится заключительное собрание с руководителями верхнего звена, на которое выносится:
• подтверждение заявленных перед проверкой объема проверок и рамок аудита;
• краткое изложение найденных несоответствий и согласованных изменений;
• ознакомление присутствующих с замечаниями и предложениями по их устранению;
• общие замечания по ходу аудита и комментарии к отчету;
• оглашение выводов, положительное заключение; отказ и сертификации или продолжение аудита;
• подтверждение взятых обязательств по сохранению конфиденциальности сведений, полученных в ходе аудита.
Участники вступительного и заключительного собраний должны быть официально зарегистрированы. Главным результатом проведения аудита является официальный отчет, в котором должны быть отражены:
• степень соответствия проверяемой компьютерной информационной системы стандарту BS ISO/IEC 7799:2000 (BS 7799-1:2000) и собственным требованиям компании в области информационной безопасности согласно плану проведения аудита и «Ведомости соответствия»;
• подробная ссылка на основные документы заказчика, включая политику безопасности, «Ведомость соответствия», описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании;
• общие замечания по выводам проведения аудита;
• количество и категории полученных несоответствий и замечаний;
• необходимость дополнительных действий по аудиту (если таковая имеется) и их общий план;
• список сотрудников, принимавших участие в тестировании.
Этот отчет является официальным документом проведения аудита. Оригинал отчета должен быть доступен сертифицирующему органу. В документе должны быть определены установленные проверяемой организацией и стандартами BS ISO/IEC 7799:2000 (BS 7799-1:2000) аспекты обеспечения безопасности, которые будут рассматриваться при каждой проверке. Отчет должен обновляться при каждом аудите.
Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS ISO/IEC 7799:2000 (BS 7799-1:2000) разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или 9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS ISO/ IEC 7799:2000 (BS 7799-1:2000). При этом в планах совместного тестирования должны быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности.
Дата добавления: 2016-04-19; просмотров: 1242;