новая папка 1 / 586696

Документом, подтверждающим соответствие установленным требованиям, обычно является «Сертификат соответствия».

Наряду с сертификацией существует понятие ресертификация. Ресертификация – это процесс повторного подтверждения оценки, полученной в ходе сертификации. Ресертификация очень важна в сфере управления, в проектах с высокими рисками и строгими нормативными требованиями, т. е. там, где финансовые затраты на ресертификацию мало значимы на фоне возможных потерь от нарушений установленных требований.

3.2. АТТЕСТАЦИЯ

Аттестация несколько похожа на сертификацию, однако имеет и важные отличия.

Аттестацией объектов информатизации является комплекс орга-

низационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации. Объекты информатизации, подлежащие аттестации на соответствие требованиям государственных стандартов России или нормативных и методических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации, аттестуются вне зависимости от используемых на них отечественных или зарубежных технических и программных средств.

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации.

Аттестация является комплексной проверкой (аттестационными испытаниями) защищаемого объекта информатизации в реальных условиях эксплуатации в целях оценки соответствия использованного комплекса мер и средств защиты информации требуемому уровню безопасности информации. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информа-

11

ции с тем уровнем секретности (конфиденциальности) и на тот период времени, которые установлены в «Аттестате соответствия».

Объектами аттестации являются:

–помещения – выделенные (аттестация по СТР-97) и защищаемые (аттестация по СТР-К);

–автоматизированные системы – автономные автоматизированные рабочие места, сегменты ЛВС и распределенные АС, предназначенные для обработки государственной тайны (категории – 1А, 1Б, 1В, 2А, 3А) или конфиденциальной информации (персональные данные, служебная тайна, коммерческая тайна и т. д.)

Аттестация по требованиям безопасности информации проводится до начала обработки подлежащей защите информации.

3.3. АУДИТ

Аудит – процесс оценки элементов ИТили ИБ-системы организации, включая как техническую (например, СИБ) составляющую, так и систему управления (в ИБ – СУИБ). При аудите по специальным методикам оцениваются главным образом процессы, т. е. взаимодействие управляющего звена, персонала, использование ресурсов, уровня технологических процедур, результатов действия процесса. Результат аудита – максимально приближенная к реальности оценка текущего состояния объекта требованиям информационной безопасности, установленными законодательством, государственными регуляторами, международными и отечественными стандартами (принятыми организацией к исполнению), внутренними нормативными документами. Аудит могут проводить только высококвалифицированные специалисты, имеющие соответствующие навыки, длительный опыт работы и актуальный уровень профессиональной подготовки. В этом случае оценка аудита является достоверной в глазах высшего руководства, что позволяет говорить о той или иной степени доверия к оцениваемому объекту или системе.

Различают аудит информационной безопасности и ИТ-аудит. Аудит ИБ – это проверка системы управления ИБ и системы ИБ на предмет соответствия требованиям, официально принятым в организации.

Процесс аудита основывается на определенных методиках (CobIT, методика Банка России и т. д.). К аудиторам предъявляются высокие

12

требования, такие как честность, беспристрастность и независимость, умение соблюдать конфиденциальность, профессиональная компетентность и профессиональное поведение.

ИТ-аудит охватывает большую область контроля, поскольку, действуя в основном на базе международного стандарта CobIT (реже ISO20000 или ITIL), держит в фокусе внимания 37 ИТ-процессов, одним из которых является процесс «Управление информационной безопасностью», который, в свою очередь, состоит из 18 отдельных процессов.

Процессы ИБ являются предметом внимания аудита информационной безопасности.

13

4.АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

4.1.ВИДЫ АУДИТА

Всоответствии с законодательством РФ под аудитом понимается исключительно деятельность по проведению проверки финансовой (бухгалтерской) отчетности и данных учета. Однако в деловой практике употребляются понятия «операционный аудит», «технический (промышленный) аудит», «экологический аудит», «аудит качества» и прочие разновидности аудита, хотя эти понятия и процессы не имеют легального (указанного в законе) определения.

Вбольшинстве крупных организаций имеются собственные службы внутреннего аудита или функцию аудита выполняют подразделения внутреннего контроля. Так, например, в кредитно-финансовых учреждениях РФ служба внутреннего аудита должна быть в обязательном порядке, согласно требованиям документа Банка России № 242-П «Положение об организации внутреннего контроля в кредитных организациях и банковских группах».

Аудит разделяют на внешний и внутренний. Внутренний аудит (процесс в КФО носит название «самооценка») проводится силами подразделений организации на постоянной основе. Цель внутреннего аудита – перманентный контроль соответствия процессов ИБ установленным в организации требованиям, обеспечение доверия руководства организации к СОИБ и подготовка к внешнему аудиту.

Внешний аудит проводится силами сторонних профессиональных аудиторских организаций. Основная цель внешнего аудита – дать объективную оценку состояния СОИБ владельцам бизнеса4.

4 Именно владельцам бизнеса (например, акционерам), а не наемному руководству организации, что очень важно.

14

4.2. МОНИТОРИНГ

Мониторинг – процесс непрерывного наблюдения и регистрации параметров объекта, анализа на предмет их соответствия о заданными критериями. Мониторинг позволяет:

выявлять состояние критических или находящихся в состоянии изменения параметров процессов;

создавать базу для принятия решений по дальнейшему улучшению контролируемых процессов;

обеспечивать обратную связь в отношении предыдущих удач и неудач при принятии и проведении решений;

устанавливать соответствия правилам.

Мониторинг осуществляется как в виде наблюдения в реальном режиме времени, так и в виде контроля с записью результатов в специальных журнальных файлах. Первый подход обычно используют при изыскании путей для оптимизации работы ИТ- и ИБ-процессов и повышения их эффективности. Второй подход используют, когда мониторинг выполняется автоматически и (или) дистанционно.

4.3.ТЕНДЕНЦИИ СОВРЕМЕННОГО АУДИТА

Всовременных развитых бизнес-организациях, достигших высокого уровня ИТ-инфраструктуры, ИТ- и ИБ-процессов, фокус внимания аудита смещается в трех новых направлениях:

– аудит переходит с контроля низкоуровневых целей (например, контроль соответствия паролей отдельных пользователей требованиям ИБ) к интегральным оценкам, так называемым мерам контроля процессов и процедур, в частности, к аудиту выполнения SLA-соглашений между бизнес-подразделениями и ИТ- и ИБ-службами организации;

– аудит массово применяет анализ больших объемов данных (технологии big data), стремясь осуществлять не выборочный аудит, а аудит почти 100 % объектов, подлежащих контролю;

– основным средством аудита становится автоматизированный мониторинг.

15

5.РЕЗЮМЕ

1.Для поддержания на достигнутом уровне, а также для дальнейшего развития СОИБ организации, необходима оценка соответствия существующей СОИБ установленным требованиям.

2.Положительная оценка СОИБ обеспечивает доверие к системе в целом.

3.В качестве необходимых мер оценки используются сертификация, аттестация и аудит.

16

СПИСОК ЛИТЕРАТУРЫ

1.ISO/IEC 27001 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования».

2.ISO/IEC 27002 «Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью».

3.СТО БР ИББС – комплект документов Стандарта Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации.

4.NIST SP 800 – набор стандартов по ИБ National Institute of Standards and Technology.

5.ITIL – библиотека, описывающая лучшие из применяемых на практике способов организации работы подразделений или компаний, занимающихся предоставлением услуг в области информационных технологий.

6.CobiT – пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита и ITбезопасности.

7.ITSM (IT Service Management, управление ИТ-услугами) – документы,

описывающие подход к управлению и организации ИТ-услуг, направленный на удовлетворение потребностей бизнеса.

17

18

Дронова Галина Александровна

АТТЕСТАЦИЯ И АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Учебно-методическое пособие

Редактор М.О. Мокшанова

Выпускающий редактор И.П. Брованова Дизайн обложки А.В. Ладыжская Компьютерная верстка Л.А. Веселовская

Налоговая льгота – Общероссийский классификатор продукции Издание соответствует коду 95 3000 ОК 005-93 (ОКП)

___________________________________________________________________________________

Подписано в печать 19.12.2016. Формат 60 × 84 1/16. Бумага офсетная. Тираж 50 экз. Уч.-изд. л. 1,16. Печ. л. 1,25. Изд. № 325. Заказ № 114. Цена договорная

___________________________________________________________________________________

Отпечатано в типографии Новосибирского государственного технического университета

630073, г. Новосибирск, пр. К. Маркса, 20

19