книги / Управление информационной безопасностью
..pdf−позволяют избегать предвзятой оценки измеряемого параметра;
−как правило, имеют количественное выражение;
−позволяют осуществлять автоматизированный расчет и
анализ;
−позволяют не привлекать для отдельных процедур оценки специалистов.
Некоторые оцениваемые параметры обеспечения ИБ и метрики для их оценки представлены в табл. 2.
Деятельность по управлению ИБ с использованием метрик
имер измерений и оценка эффективности СУИБ также могут осуществляться на основе использования моделей зрелости процессов СУИБ.
Вопросы для контроля знаний
1.Сформулируйте понятие аудита информационной безопасности.
2.Перечислите основные стандарты для организации аудита ИБ.
3.Назовите основания для организации аудиторской деятельности.
4.Укажите основные виды аудита информационной безопасности и их особенности.
5.Перечислите принципы проведения аудита информационной безопасности.
6.Раскройте содержание и назначение Программы проведения аудита ИБ.
7.В чем заключаются требования к аудитору ИБ?
8.Раскройте понятие эффективности СУИБ.
9.Сформулируйте понятие метрики безопасности, раскройте ее назначение и содержание.
10.Перечислите основные метрики для оценки параметров обеспечения ИБ.
81
9.ОРГАНИЗАЦИЯ И ПРОВЕДЕНИЕ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Непосредственное проведение аудита ИБ является очередным этапом организационной деятельности по оценке СУИБ и включает все виды аудиторских проверок, запланированных Программой аудита на текущий период.
Организация проведения аудита ИБ на начальном этапе предполагает формирование аудиторской группы и назначение ее руководителя. На руководителя аудиторской группы возлагается ответственность за организацию проведения аудита ИБ и выполнение своих обязанностейвсемиучастникамиаудиторскойгруппы [8].
К личному составу аудиторской группы предъявляются требования по компетентности, необходимой для достижения целей аудита ИБ. При необходимости приобретения компетенций проводится дополнительное обучение личного состава аудиторской группы. Если в составе аудиторской группы отсутствуют специалисты по отдельным вопросам, то в группу могут включаться технические эксперты, обладающие определенным опытом.
При формировании состава аудиторской группы необходимо учитывать следующие особенности:
−требования законодательства в области аудита ИБ;
−цели, область действия, критерии и вид проведения ауди-
та ИБ;
−компетентность личного состава аудиторской группы;
−требования регуляторов и контролирующих органов;
−порядок обеспечения независимости аудиторской группы. Затем на основании годовой программы аудита руководитель
аудиторской группы составляет План проведения аудита ИБ. Типовой Планаудитавключает следующуюинформацию(табл. 3):
−цель, критерии аудита и основание для его проведения;
−дату и место проведения аудиторской проверки;
−перечень подразделений, подвергаемых проверке, и состав проверяемых параметров;
82
−предполагаемое время начала и продолжительность проведения аудита, включая организационные мероприятия (совещания с руководством проверяемой организации, совещания аудиторской группы и т.п.);
−задачи членов группы по проведению аудита ИБ;
−необходимый перечень метрик для проведения аудита;
−дату предоставления отчета по результатам аудита.
|
|
|
|
Таблица 3 |
|
Вариант Плана аудиторской проверки |
|||
|
|
|
|
|
|
|
Вид аудита: плановый |
|
|
Руководитель |
|
Группа аудиторов |
Дата аудита: |
Критерии: |
аудита |
|
Петров П.П., |
01.02.2023 |
ISO/IEC 27001, |
Иванов И.И. |
|
Сидоров С.С. |
процедуры СМИБ |
|
|
|
|||
Время |
|
Подразделение |
Участники аудита |
Элементы |
|
проверки |
|||
|
|
|
|
|
9:00–9:30 |
|
Отдел снабжения |
Начальник отдела |
4, А5-А15, |
|
процедуры СМИБ |
|||
9:30–11:30 |
|
Отдел снабжения |
Зам. начальника |
5, 6, 7, процедуры |
|
|
|
отдела |
СМИБ |
11:30–13:30 |
|
Отдел снабжения |
Старший менеджер |
5, А8, процедуры |
|
|
|
|
СМИБ |
14:00–15:30 |
|
Технический отдел |
Начальник отдела |
А9, процедуры |
|
|
|
|
СМИБ |
15:30–17:00 |
|
Технический отдел |
Зам. начальника |
А7, А9-А15, |
|
|
|
отдела |
процедуры СМИБ |
Для качественного проведения аудита необходимо опреде-
ление целей в пределах программы аудита ИБ. Цели аудита, как правило, включают: определение степени соответствия состояния ИБ и СУИБ оцениваемым критериям ИБ, соответствия ИБ и СУИБ законодательным требованиям, нормативным требованиям и требованиям контролирующих органов, а также договорным обязательствам. Кроме того, определяются пути достижения заявленных целей, а также перспективные направления для потенциального улучшения состояния ИБ и функционирования СУИБ.
Далее определяются область действия и критерии аудита.
83
Область действия аудита ИБ включает содержание и гра-
ницы проведения аудита ИБ и СУИБ, структурные подразделения, подвергаемые проверке, виды деятельности и технологические процессы, которые подвергаются аудиту ИБ и СУИБ, а также сроки проведения аудита.
Определение критериев аудита ИБ предполагает фор-
мирование совокупности требований в соответствии с требованиями законодательства, Политики ИБ, а также иных документов в области ИБ для сопоставления с ними свидетельств аудита ИБ [9].
При определении возможности проведения аудита ИБ учитываются достаточность и наличие необходимой информации для планирования аудита ИБ, контактной информации для взаимодействия с проверяемыми подразделениями, а также наличие времени и необходимых ресурсов. Если по каким-либо причинам проведение аудита ИБ в конкретное время невозможно, то на основе консультаций с проверяемыми сторонами разрабатываются предложения по переносу плановых сроков проверки.
Любая аудиторская проверка предполагает последовательность этапов ее проведения.
Перед началом проведения аудита руководителем аудиторской группы проводится установочное совещание, на котором доводится до сведения членов аудиторской группы основная цель аудита ИБ и их основные задачи. Кроме того, на установочном совещании определяются:
−каналы обмена информацией между членами аудиторской группы;
−полномочия членов группы;
−график выполнения работ по аудиту ИБ;
−порядок доступа к информации и документам;
−подготовительные мероприятия дляорганизации аудита ИБ;
−возможные наблюдатели и сопровождающие аудиторской группы.
84
Проведение любой аудиторской проверки начинается с ана-
лиза организационной документации по обеспечению ИБ и дея-
тельности СУИБ.
Прежде всего анализируется документация, содержащая:
−информацию об организационной структуре проверяемого подразделения;
−политики ИБ, установленные в организации, и частные политики, распространяющиеся на проверяемые подразделения;
−информацию об информационных процессах в проверяемых подразделениях;
−информацию о применяемых средствах защиты информации, включая программную документацию и спецификации интерфейсов, инструкции, методики, документы по организации обучения персонала;
−отчеты и заключения предыдущих аудитов ИБ, выявленные по ним недостатки.
Проверка документации должна учитывать цели и область аудита ИБ, а также масштаб и сложность структуры проверяемых подразделений, функционирования процессов. Проверка и анализ документации могут сопровождать все этапы аудита ИБ.
Далее в ходе интервьюирования персонала, как правило,
проводится устный опрос, результаты которого оформляются в виде протокола или отчета. Для проведения типовых опросов рекомендуется заранее подготовить бланки (опросные листы) с перечнями вопросов.
Затем в процессе аудита ИБ со стороны аудитора осуществляется наблюдение за процедурами или процессами в проверяемых подразделениях, за порядком выполнения персоналом требований Политики ИБ, положений, инструкций. Оценка деятельности персонала и функционирования технических средств формализуется и проводится сиспользованием соответствующихметрик.
Выводы по результатам аудита ИБ о соответствии параметров обеспечения ИБ заявленным требованиям и подтверждающие их свидетельства аудита должны бытьоформленыдокументально.
85
На заключительном этапе по итогам проведения аудита руководителем аудиторской группы на основе отчета всех ее членов подготавливается и утверждается Заключение по аудиту ИБ. Заключение по результатам проведения аудита ИБ должно указывать на степень соответствия ИБ и СУИБ критериям аудита ИБ.
В процессе подготовки отчетной документации аудиторская группа должна выполнить следующее:
1)провести анализ результатов аудита ИБ и сделать соответствующие выводы о достижении целей аудита ИБ;
2)согласовать заключения по результатам аудита ИБ с руководителем аудиторской группы;
3)подготовить рекомендации по устранению недостатков, выявленных по результатам аудита ИБ.
Заключение по результатам аудита ИБ, представленное аудиторской группой, может быть нескольких типов:
−безусловно положительное;
−условно положительное;
−отрицательное;
−отказ от выражения заключения.
Если аудиторское заключение отличается от безусловно положительного, должны быть изложены причины, приведшие к составлению данного заключения. Заключение доводится до сведения проверяемой стороны.
По итогам аудиторской проверки проводится заключительное совещание аудиторской группы. На заключительном совещании доводится до сведения членов аудиторской группы содержание итоговых документов по аудиту ИБ, выводы и заключения по аудиту ИБ, а также констатируется факт признания или непризнания недостатков представителями проверяемых подразделений. При необходимости определяются сроки ликвидации выявленных нарушений, разрабатывается и утверждается План
мероприятий по устранению нарушений.
86
Таким образом, итоговые документы по результатам аудита ИБ могут указывать на необходимость корректирующих, предупреждающих действий или действий по улучшению СУИБ.
Вопросы для контроля знаний
1.Перечислите требования, предъявляемые к личному составу аудиторской группы.
2.Какие особенности учитываются при формировании состава аудиторской группы?
3.Раскройте содержание Плана проведения аудита ИБ.
4.Что включают в себяосновные целипроведения аудита ИБ?
5.Что предполагает определение критериев аудита?
6.Перечислите этапы проведения аудита информационной безопасности.
7.Что определяется на установочном совещании аудиторской группы?
8.Перечислите особенности проверки документации в ходе аудиторской деятельности.
9.Раскройте порядок проведения интервьюирования персо-
нала.
10.Перечислите заключительные мероприятия по результатам аудита ИБ.
87
ЗАКЛЮЧЕНИЕ
Защита информации как активный процесс обеспечения информационной безопасности требует:
−создания и поддержания соответствующих условий, гарантирующих недопущение реализации угроз безопасности информации;
−организации и проведения плановых мероприятий по реализации способов и средств защиты информации;
−постоянного и планового контроля за состоянием безопасности информационных ресурсов.
Управление информационной безопасностью предусматривает комплексное решение вопросов, объединенных целью защиты информации, а системный подход в данном случае позволяет решать эти задачи оптимально, минимизируя затраты и возможные проявления различного рода угроз безопасности информации.
Для предотвращения угроз безопасности информации, возможной утечки конфиденциальной информации и нарушения ее целостности на объектах ее обработки разрабатывается и внедряется система управления информационной безопасностью.
Разработка и внедрение системы управления информационной безопасностью является основополагающим направлением деятельности в области защиты информации на любом объекте информатизации, поскольку вопросы организации планирования
иконтроля носят прикладной характер и зависят от специфики решаемых на объекте задач.
Изложенные в данном пособии основы деятельности по управлению информационной безопасностью, а также принципы и подходы к разработке, внедрению и осуществлению контроля функционирования системы управления информационной безопасностью позволяют сформировать у обучаемых необходимые знания для создания таких систем. Подобные знания не-
88
обходимы для разработки политик информационной безопасности, организации управления рисками, инцидентами информационной безопасности, а также осуществления аудиторской деятельности на различных объектах информатизации с учетом действующих и перспективных решений в области управления информационной безопасностью.
89
СПИСОК РЕКОМЕНДУЕМОЙ ЛИТЕРАТУРЫ
1.Анисимов А.А. Менеджмент в сфере информационной безопасности: учеб. пособие. – М.: ИНТУИТ, БИНОМ. Лаб. зна-
ний, 2010. – 175 с.
2.Основы управления информационной безопасностью: учеб. пособие для вузов / А.П. Курило [и др.]. – М.: Горячая ли-
ния-Телеком, 2014. – 243 с.
3.Петренко С.А., Курбатов В.А. Политики информационной безопасности. – М.: Компания АйТи, 2010. – 400 с.
4.Милославская Н.Г., Сенаторов М.Ю., Толстой А.И. Технические, организационные и кадровые аспекты управления информационной безопасностью: учеб. пособие для вузов. – М.: Горячая линия-Телеком, 2018. – 214 с.
5.Милославская Н.Г., Сенаторов М.Ю., Толстой А.И. Управление рисками информационной безопасности: учеб. пособие для вузов. – М.: Горячая линия-Телеком, 2018. – 130 с.
6.Милославская Н.Г., Сенаторов М.Ю., Толстой А.И. Управление инцидентами информационной безопасности и непрерывностью бизнеса: учеб. пособие для вузов. – М.: Горячая ли-
ния-Телеком, 2014. – 168 с.
7.Милославская Н.Г., Толстой А.И., Сенаторов М.Ю. Проверка и оценка деятельности по управлению информационной безопасностью: учеб. пособие для вузов. – М.: Горячая линия-
Телеком, 2018. – 165 с.
8.Гришина Н.В. Организация комплексной системы защиты информации. – М.: Гелиос АРВ, 2007. – 255 с.
9.Суглобов А.Е., Хмелев С.А., Орлова Е.А. Экономическая безопасность предприятия: учеб. пособие для вузов. – М.: ЮНИ-
ТИ, 2018. – 271 с.
90