новая папка 1 / 586696
.pdfДокументом, подтверждающим соответствие установленным требованиям, обычно является «Сертификат соответствия».
Наряду с сертификацией существует понятие ресертификация. Ресертификация – это процесс повторного подтверждения оценки, полученной в ходе сертификации. Ресертификация очень важна в сфере управления, в проектах с высокими рисками и строгими нормативными требованиями, т. е. там, где финансовые затраты на ресертификацию мало значимы на фоне возможных потерь от нарушений установленных требований.
3.2. АТТЕСТАЦИЯ
Аттестация несколько похожа на сертификацию, однако имеет и важные отличия.
Аттестацией объектов информатизации является комплекс орга-
низационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации. Объекты информатизации, подлежащие аттестации на соответствие требованиям государственных стандартов России или нормативных и методических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации, аттестуются вне зависимости от используемых на них отечественных или зарубежных технических и программных средств.
Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации.
Аттестация является комплексной проверкой (аттестационными испытаниями) защищаемого объекта информатизации в реальных условиях эксплуатации в целях оценки соответствия использованного комплекса мер и средств защиты информации требуемому уровню безопасности информации. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информа-
11
ции с тем уровнем секретности (конфиденциальности) и на тот период времени, которые установлены в «Аттестате соответствия».
Объектами аттестации являются:
–помещения – выделенные (аттестация по СТР-97) и защищаемые (аттестация по СТР-К);
–автоматизированные системы – автономные автоматизированные рабочие места, сегменты ЛВС и распределенные АС, предназначенные для обработки государственной тайны (категории – 1А, 1Б, 1В, 2А, 3А) или конфиденциальной информации (персональные данные, служебная тайна, коммерческая тайна и т. д.)
Аттестация по требованиям безопасности информации проводится до начала обработки подлежащей защите информации.
3.3. АУДИТ
Аудит – процесс оценки элементов ИТили ИБ-системы организации, включая как техническую (например, СИБ) составляющую, так и систему управления (в ИБ – СУИБ). При аудите по специальным методикам оцениваются главным образом процессы, т. е. взаимодействие управляющего звена, персонала, использование ресурсов, уровня технологических процедур, результатов действия процесса. Результат аудита – максимально приближенная к реальности оценка текущего состояния объекта требованиям информационной безопасности, установленными законодательством, государственными регуляторами, международными и отечественными стандартами (принятыми организацией к исполнению), внутренними нормативными документами. Аудит могут проводить только высококвалифицированные специалисты, имеющие соответствующие навыки, длительный опыт работы и актуальный уровень профессиональной подготовки. В этом случае оценка аудита является достоверной в глазах высшего руководства, что позволяет говорить о той или иной степени доверия к оцениваемому объекту или системе.
Различают аудит информационной безопасности и ИТ-аудит. Аудит ИБ – это проверка системы управления ИБ и системы ИБ на предмет соответствия требованиям, официально принятым в организации.
Процесс аудита основывается на определенных методиках (CobIT, методика Банка России и т. д.). К аудиторам предъявляются высокие
12
требования, такие как честность, беспристрастность и независимость, умение соблюдать конфиденциальность, профессиональная компетентность и профессиональное поведение.
ИТ-аудит охватывает большую область контроля, поскольку, действуя в основном на базе международного стандарта CobIT (реже ISO20000 или ITIL), держит в фокусе внимания 37 ИТ-процессов, одним из которых является процесс «Управление информационной безопасностью», который, в свою очередь, состоит из 18 отдельных процессов.
Процессы ИБ являются предметом внимания аудита информационной безопасности.
13
4.АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
4.1.ВИДЫ АУДИТА
Всоответствии с законодательством РФ под аудитом понимается исключительно деятельность по проведению проверки финансовой (бухгалтерской) отчетности и данных учета. Однако в деловой практике употребляются понятия «операционный аудит», «технический (промышленный) аудит», «экологический аудит», «аудит качества» и прочие разновидности аудита, хотя эти понятия и процессы не имеют легального (указанного в законе) определения.
Вбольшинстве крупных организаций имеются собственные службы внутреннего аудита или функцию аудита выполняют подразделения внутреннего контроля. Так, например, в кредитно-финансовых учреждениях РФ служба внутреннего аудита должна быть в обязательном порядке, согласно требованиям документа Банка России № 242-П «Положение об организации внутреннего контроля в кредитных организациях и банковских группах».
Аудит разделяют на внешний и внутренний. Внутренний аудит (процесс в КФО носит название «самооценка») проводится силами подразделений организации на постоянной основе. Цель внутреннего аудита – перманентный контроль соответствия процессов ИБ установленным в организации требованиям, обеспечение доверия руководства организации к СОИБ и подготовка к внешнему аудиту.
Внешний аудит проводится силами сторонних профессиональных аудиторских организаций. Основная цель внешнего аудита – дать объективную оценку состояния СОИБ владельцам бизнеса4.
4 Именно владельцам бизнеса (например, акционерам), а не наемному руководству организации, что очень важно.
14
4.2. МОНИТОРИНГ
Мониторинг – процесс непрерывного наблюдения и регистрации параметров объекта, анализа на предмет их соответствия о заданными критериями. Мониторинг позволяет:
выявлять состояние критических или находящихся в состоянии изменения параметров процессов;
создавать базу для принятия решений по дальнейшему улучшению контролируемых процессов;
обеспечивать обратную связь в отношении предыдущих удач и неудач при принятии и проведении решений;
устанавливать соответствия правилам.
Мониторинг осуществляется как в виде наблюдения в реальном режиме времени, так и в виде контроля с записью результатов в специальных журнальных файлах. Первый подход обычно используют при изыскании путей для оптимизации работы ИТ- и ИБ-процессов и повышения их эффективности. Второй подход используют, когда мониторинг выполняется автоматически и (или) дистанционно.
4.3.ТЕНДЕНЦИИ СОВРЕМЕННОГО АУДИТА
Всовременных развитых бизнес-организациях, достигших высокого уровня ИТ-инфраструктуры, ИТ- и ИБ-процессов, фокус внимания аудита смещается в трех новых направлениях:
– аудит переходит с контроля низкоуровневых целей (например, контроль соответствия паролей отдельных пользователей требованиям ИБ) к интегральным оценкам, так называемым мерам контроля процессов и процедур, в частности, к аудиту выполнения SLA-соглашений между бизнес-подразделениями и ИТ- и ИБ-службами организации;
– аудит массово применяет анализ больших объемов данных (технологии big data), стремясь осуществлять не выборочный аудит, а аудит почти 100 % объектов, подлежащих контролю;
– основным средством аудита становится автоматизированный мониторинг.
15
5.РЕЗЮМЕ
1.Для поддержания на достигнутом уровне, а также для дальнейшего развития СОИБ организации, необходима оценка соответствия существующей СОИБ установленным требованиям.
2.Положительная оценка СОИБ обеспечивает доверие к системе в целом.
3.В качестве необходимых мер оценки используются сертификация, аттестация и аудит.
16
СПИСОК ЛИТЕРАТУРЫ
1.ISO/IEC 27001 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования».
2.ISO/IEC 27002 «Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью».
3.СТО БР ИББС – комплект документов Стандарта Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации.
4.NIST SP 800 – набор стандартов по ИБ National Institute of Standards and Technology.
5.ITIL – библиотека, описывающая лучшие из применяемых на практике способов организации работы подразделений или компаний, занимающихся предоставлением услуг в области информационных технологий.
6.CobiT – пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита и ITбезопасности.
7.ITSM (IT Service Management, управление ИТ-услугами) – документы,
описывающие подход к управлению и организации ИТ-услуг, направленный на удовлетворение потребностей бизнеса.
17
|
ОГЛАВЛЕНИЕ |
|
Введение................................................................................................................... |
3 |
|
1. Термины и определения................................................................................... |
5 |
|
2. |
Обеспечение доверия к ИБ............................................................................... |
6 |
|
2.1. Современный бизнес и СОИБ....................................................................... |
6 |
|
2.2. Обеспечение доверия к СОИБ...................................................................... |
8 |
3. |
Сертификация, аттестация и аудит............................................................. |
10 |
|
3.1. Сертификация............................................................................................... |
10 |
|
3.2. Аттестация.................................................................................................... |
11 |
|
3.3. Аудит............................................................................................................. |
12 |
4. |
Аудит информационной безопасности......................................................... |
14 |
|
4.1. Виды аудита ................................................................................................. |
14 |
|
4.2. Мониторинг.................................................................................................. |
15 |
|
4.3. Тенденции современного аудита................................................................ |
15 |
5. |
Резюме................................................................................................................ |
16 |
Список литературы................................................................................................ |
17 |
18
Дронова Галина Александровна
АТТЕСТАЦИЯ И АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Учебно-методическое пособие
Редактор М.О. Мокшанова
Выпускающий редактор И.П. Брованова Дизайн обложки А.В. Ладыжская Компьютерная верстка Л.А. Веселовская
Налоговая льгота – Общероссийский классификатор продукции Издание соответствует коду 95 3000 ОК 005-93 (ОКП)
___________________________________________________________________________________
Подписано в печать 19.12.2016. Формат 60 × 84 1/16. Бумага офсетная. Тираж 50 экз. Уч.-изд. л. 1,16. Печ. л. 1,25. Изд. № 325. Заказ № 114. Цена договорная
___________________________________________________________________________________
Отпечатано в типографии Новосибирского государственного технического университета
630073, г. Новосибирск, пр. К. Маркса, 20
19