Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание




НазваниеАудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание
страница1/17
Дата30.01.2013
Размер2.05 Mb.
ТипУчебное пособие
  1   2   3   4   5   6   7   8   9   ...   17


МОСКОВСКАЯ АКАДЕМИЯ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ

ТУЛЬСКИЙ ФИЛИАЛ


АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЙ И СИСТЕМ


Учебное пособие


Тула,2008

Содержание

Предисловие

  1. Правовые и методологические основы аудита информационной безопасности

    1. Международные правовые аспекты, стандарты и руководства по основам аудита информационной безопасности.

1.2. Национальные стандарты и руководства по основам аудита информационной безопасности.

1.3. Отечественные законы и стандарты по основам аудита.

  1. Осознание и менеджмент аудита информационной безопасности

2.1. Система обеспечения информационной безопасности – совокупность процессов осознания и менеджмента информационной безопасности.

2.2. Осознание аудита информационной безопасности.

2.3. Планирование программы аудита информационной безопасности.

2.4. Реализация программы аудита информационной безопасности.

2.5. Контроль и совершенствование программы аудита информационной безопасности.

3. Методы оценивания информационной безопасности.

3.1. Оценивание информационной безопасности на основе показателей информационной безопасности.

3.2. Оценивание информационной безопасности на основе моделей зрелости процессов обеспечения информационной безопасности.

4. Исследование полученных оценок информационной безопасности.

4.1. Оценивание результатов аудита и самооценки информационной безопасности.

4.2. Оценивание процессов проведения аудита и самооценки информационной безопасности.

4.3. Риск-ориентированнная интерпритация полученных оценок информационной безопасности.

5. Аудит и доверие информационной безопасности.


Предисловие


При построении системы обеспечения информационной безопасности (ИБ) организации наряду с процессами оценки рисков ИБ, реализации и эксплуатации защитных мер, обучения персонала информационной безопасности и другими важными процессами во многом определяющими для менеджмента являются процессы контроля и проверки ИБ организации. Своевременность, точность и полнота оценок ИБ, полученных в результате контроля и проверки ИБ, дают возможность идентифицировать уязвимости системы обеспечения ИБ организации, выявить неоцененные риски, определить корректирующие и, может быть, превентивные меры, направленные на совершенствование процессов обеспечения ИБ организации. Среди процессов контроля и проверки ИБ особое положение занимает аудит ИБ, основным назначением которого является формирование независимой оценки ИБ организации, независимой от деятельности, которая проверяется. Как проводить аудит ИБ, какие процедуры использовать, к каким результатам может привести аудит ИБ, кто имеет право проводить такую проверку, как оценить результаты аудита?

Материал представлен с позиций «процессного подхода», что позволяет увидеть все многообразие процедур, мероприятий и атрибутов, применяемых и столь необходимых для осуществления аудита ИБ, а также для его улучшения. Учебное пособие имеет б разделов.

В первом разделе излагаются международные правовые аспекты и анализируются национальные руководства по аудиту И Б, а также отечественные законы и стандарты по основам аудита. Рассматривается обеспечение ИБ организации как совокупность взаимодействующих процессов осознания ИБ и процессов менеджмента ИБ.

Во втором разделе показывается процесс осознания аудита ИБ, анализируются его основные элементы. Описываются структура, содержание программы аудита ИБ и процессы менеджмента программы аудита ИБ. Подробно рассматриваются основные элементы процесса проведения аудита ИБ.

В третьем предлагается модель оценки процессов обеспечения ИБ на основе показателей ИБ. Рассматриваются модель оценки для измерения правильности процессов системы обеспечения ИБ организации с целью оценки соответствия ИБ установленным критериям и модель для оценки эффективности процессов системы обеспечения ИБ, основывающейся на оценке зрелости данных процессов. Приводятся примеры формальных методов (стандартов) оценки зрелости процессов жизненного цикла систем, процессов информационных технологий, процессов инжиниринга безопасности, процессов информатизации в банковском бизнесе.

Во четвертом разделе рассматриваются подходы к исследованию оценок ИБ. Описываются критерии оценивания результатов аудита и самооценки ИБ и критерии оценивания процессов проведения аудита и самооценки ИБ. Рассматривается способ интерпретации полученных оценок ИБ.

В пятом разделе рассматриваются вопросы аудита и доверия информационной безопасности. Показывается, что на практике в силу специфики области информационной безопасности фундаментальную роль и место имеет мнение (субъективное ощущение) человека. Опасность, до момента ее наступления, и безопасность, как противоположность опасности, являются категориями умозрительными, например вероятностными, причем вероятности здесь также условны в силу отсутствия, как правило, статистики по многим аспектам, уникальным в каждом отдельном случае. Показывается, что аудит ИБ, наряду с другими методами доверия может быть значимым инструментом обеспечения уверенности в информационной безопасности.


1.Правовые и методологические основы аудита информационном безопасности

1.1. Международные правовые аспекты, стандарты и руководства по основам аудита информационной безопасности

В мире существует не так много прямых законодательных требований в области информационной безопасности и аудита информационной безопасности. Однако в большинстве стран действуют отраслевые регулятивные нормы, предписывающие внедрение мер по обеспечению безопасности, и разработаны руководства для осуществления контроля эффективности этих мер. Некоторые из них являются нормативами прямого действия, как, например, в отраслях с высоким уровнем регулирования по всему миру, в частности в сфере оказания финансовых услуг (включая банковские операции); другие возникают как результат требований к обеспечению защиты персональных данных клиентов, сотрудников и других заинтересованных в деятельности организаций лиц (сфера здравоохранения в США, Европейская директива о защите персональных данных). Все большее применение средств автоматизации в обработке информации, приведшее к концентрации чувствительной для организаций и их клиентов информации, привлекло внимание законодателей в 80-х гг. прошлого века к данной ситуации, в первую очередь в странах с высокоразвитой экономикой. Одной из первых стран, разработавших законодательные акты в области конфиденциальности персональных данных, была Великобритания, где в 1984 г. был принят закон о защите данных (Data Protection Act), который определил потребность в обеспечении информационной безопасности. Этот закон стимулировал разработку норм по обеспечению конфиденциальности во многих странах и оказал существенное влияние на то, каким образом организации внедряют и оценивают меры контроля в области информационной безопасности. Недавними законодательными актами, ужесточающими требования в отношении корпоративного управления (например, закон Сарбейнса—Оксли, принятый в США), организациям было предписано уделять больше внимания вопросам внутреннего контроля во всех сферах, включая информационные технологии и информационную безопасность. Совет директоров компании в настоящее время, отвечая за эффективность системы контроля операционной деятельности (в частности, предоставление и разделение полномочий), рассчитывает на соблюдение мер безопасности и контроля на всех уровнях: от операционных систем и баз данных до бизнес-приложений. Подобные законодательные акты предусматривают наличие мер контроля на уровне организации, включая оценку и мониторинг рисков, в том числе внутренний контроль и аудит системы контроля в области информационных технологий и безопасности. В результате многие организации используют всевозможные подходы к управлению правами пользователей как способ соответствовать комплексным и жестким требованиям закона Сарбейнса—Оксли в данной области.

В идеальном мире каждая организация и каждый ее сотрудник организации должны понимать риски, связанные с информацией, и принимать соответствующие меры для ее защиты в соответствии с той ценностью, которую она представляет, и в зависимости от того, каким угрозам подвержена и насколько уязвима. В идеальном мире не былобы людей, стремящихся извлечь пользу из информации, полученной без разрешения! К сожалению, мы живем в совсем другом мире, и люди не всегда задумываются о том, какой информацией они владеют и что они должны сделать для ее защиты. Кроме того, есть люди, желающие ради собственной выгоды или просто шутки ради использовать плохо организованную систему безопасности и получить доступ к информации, не будучи на то уполномоченными. Понимая эту проблему, законодательные и другие регулятивные органы продолжают разрабатывать законы и нормы в целях повышения уровня информационной безопасности и стимулировать организации к соответствующим действиям.

Большинство первоначально принятых законодательных актов и регулятивных норм в области информационной безопасности относились к защите персональных данных, хранящихся в организациях.

Так, целью закона о защите данных (Data Protection Act), принятого Великобританией в 1984 г., было побудить организации должным образом обеспечить защиту хранившихся у них персональных данных. В 1998 г. закон был усовершенствован в соответствии с новыми требованиями Европейского Союза к конфиденциальности персональной информации. Раздел закона, посвященный информационной безопасности, невелик, однако многие другие положения закона указывают на важность вопроса безопасности. Одним из важнейших результатов закона стало то, что организации начали задумываться о том, какой информацией они владеют, какая информация им необходима и как определить требования к информации (на основе ее классификации) с точки зрения безопасности.

В самом законе не содержатся требования о проведении регулярной проверки состояния информационной безопасности, однако в нем есть раздел, дающий Информационной инспекции (правительственному органу по защите информации) возможность оценивать уровень соответствия безопасности обработки персональных данных требованиям этого закона. Эта проверка производится по запросу контролера данных (лицо в организации, отвечающее за соответствие закону).

Информационная инспекция издала руководство по проверке с деталями аудиторской программы, которая может быть использована организациями для самооценки соответствия или использована третьими лицами для проверки соответствия закону.

Великобритания также одной из первых успешно ввела в действие закон относительно «ненадлежащего» использования технологий (The Computer Misuse Act). Этот закон, принятый в 1990 г., рассматривает три вида уголовных преступлений:

— неправомерный доступ к компьютерам (включая незаконное копирование программ);

— неправомерный доступ с целью совершить или способствовать совершению дальнейших правонарушений (таких, как кража и мошенничество);

— неправомерное изменение программного обеспечения (в том числе намеренное и неправомерное уничтожение программного обеспечения, баз данных или внедрение вирусов).

На первый взгляд может показаться, что этот закон мало влияет на деятельность организаций, если не считать чувство удовлетворенности от осознания того, что злоумышленники будут наказаны, однако на деле он имеет несколько очень важных для бизнеса положений. Для успешного судебного преследования в соответствии с этим законом организации необходимо иметь достаточное доказательство того, например, что доступ к информационным системам не был санкционирован. Человек должен осознавать, что не был уполномочен на доступ к системе, вследствие чего организации стали практиковать использование сообщения при входе в систему, что система предназначена только для авторизованных пользователей, а не приветствия типа «Welcome!» («Добро пожаловать!»). Кроме того, закон стимулировал организации четко определиться в части политики «приемлемого использования» информационных систем, то есть что можно, а что нельзя делать в данной области.

Есть немало примеров, когда физические лица не преследовались по суду в соответствии с этим законом из-за отсутствия надежных доказательств (например, журналов регистрации событий или аудиторских соответствующих лог-файлов) в информационных системах.

Широкая известность подобных случаев побуждает организации в той мере, в которой это касается безопасности, внимательнее относиться Данное руководство размещено на сайте Информационной инспекции www.informationcommissioner.gov.uk.

Аудит информационной безопасности организаций и систем к тому, как и какая информация записывается в журналах регистрации, а также проводить регулярные проверки журналов регистрации событий в системах.

Одним из дискутируемых аспектов данного закона является понятие легитимности несанкционированного доступа к компьютерам. Под действие закона потенциально попадают сканирования на уязвимость системы защиты (или тесты на проникновение), проводимые сторонними консультантами (или собственным персоналом) в целях совершенствования системы информационной безопасности. В настоящее время

обсуждаются предложенные поправки к закону, которые позволят расширить сферу его применения и включить в нее вопросы распространения и использования инструментария для тестирования системы безопасности для легитимных консультантов по безопасности.

США традиционно не являлись мировым лидером в области законодательства, касающегося обеспечения конфиденциальности персональных данных и информационной безопасности, однако там в последнее время был принят ряд законов. Существенное влияние на организации в США в плане безопасности и конфиденциальности оказал закон Гремма—Лича Блили (Gramm-Leach BLiLey Act — GLBA), вступивший в силу в 1999 г. Действие его было направлено на компании, предоставляющие финансовые услуги. Возможные санкции за невыполнение требований закона относились к тем компаниям, которые «были не столь тщательны, как следовало бы» в обеспечении конфиденциальности данных своих клиентов. Аналогично требованиям, выработанным десять с лишним лет назад в Европе, данный закон требует от финансовых учреждений и аффилированных с ними организаций обеспечивать безопасность, включая целостность и конфиденциальность персональных данных физических лиц.

В соответствии с этим законом финансовые учреждения должны разработать программу обеспечения информационной безопасности, основанную на оценке рисков, привносимых потенциальными угрозами и уязвимостями. К реализации программы должны быть привлечены совет директоров и высшее руководство. Данная программа включает эффективное управление рисками, мониторинг и внесение корректировок, а также отчетность перед руководством. В ней предусматривается рассмотрение следующих вопросов:

• контроль доступа;

• управление конфигурациями;

• выявление вредоносных программ;

• обеспечение выполнения требований политики безопасности;

• мониторинг и управление правами пользователей;

• безопасность инфраструктуры и сетей передачи данных.

Действие закона GLBA распространяется на банки, страховые компании, брокерские фирмы, налоговые и бухгалтерские фирмы, платежные карточные системы и ряд других организаций, в отношении каждой из которых существует соответствующий регулятивный надзорный орган (например, Комиссия по ценным бумагам и биржам или Федеральная корпорация страхования вкладов США). В соответствии с положениями закона регулятивные агентства несут ответственность за проверку (аудит) соблюдения GLBA.

Вторым важным законом, напрямую касающимся конфиденциальности и безопасности, является Акт в отношении медицинского страхования (Health Insurance Portability and Accountability Act — HIPAA), утвержденный в качестве закона США в 1996 г., хотя многие из его положений, включая положение о конфиденциальности персональных данных, были опубликованы много позднее (Положение о конфиденциальности персональных данных — в августе 2002 г., Положение о безопасности — в феврале 2003 г.). Основным стимулом принятия акта являлись не столько безопасность и конфиденциальность, сколько стандартизация информации о состоянии здоровья, которой обмениваются страховые компании и медицинские учреждения, упрощающая обмен данными между страховщиками и медиками. HIPAA, однако, требует от юридических лиц, на которых распространяется его действие, принятия разумных и надлежащих физических, технических и организационных мер безопасности, направленных на обеспечение целостности и конфиденциальности информации о состоянии здоровья физических лиц, находящейся в их распоряжении или переданной ими; защиты от возможных угроз, несанкционированного использования или раскрытия данных; обеспечения соблюдения требований безопасности должностными

лицами и служащими. Неудивительно, что требования HIPAA более детальные, чем требования GLBA, поскольку до принятия закона HIPAA организации в сфере здравоохранения делали слишком мало для защиты конфиденциальности информации и зачастую продавали персональную информацию третьим сторонам (например, фармацевтическим компаниям).

В целом положение о безопасности HIPAA требует от организаций применения унифицированного подхода к защите информации как от внутренних, так и от внешних угроз. Данный акт требует производить систематические, детализированные и точные оценки рисков и содержит определенные рекомендации в отношении того, как это делать.

Подобно другим рассмотренным законодательным актам он, однако, технологически нейтрален, т.е. не предписывает характер технических решений, подлежащих внедрению. Организации сами должны демонстрировать регулирующим органам, что они обеспечивают выполнение закона или же что они действовали разумным образом в целях соблюдения требований закона.

Закон также содержит положение о регулярных проверках на соответствие требованиям, однако порядок проведения таких проверок, а также кем именно они должны проводиться до сих пор не уточнены.

Обсуждение требований в области контроля было бы неполным без рассмотрения закона Сарбейнса—Оксли (S0X), который был принят в 2002 г. Этот закон оказал огромное воздействие на процесс развития, внедрения и мониторинга систем внутреннего контроля компаний, включенных в листинги бирж США. Принятый первоначально как реакция на крупные скандалы, связанные с мошенничеством (примерами могут служить МП и «Энрон»), как способ «защитить инвесторов посредством повышения точности и достоверности раскрываемой корпоративной информации», закон имел большое значение для бизнеса и информационной безопасности.

Наибольшее влияние на информационную безопасность оказали статьи 302 и 404 этого закона. Статья 302 предусматривает, что главный исполнительный директор (CE0) и главный финансовый директор (CF0) должны лично заверять точность и полноту финансовых отчетов. Более того, они должны также оценивать эффективность системы внутреннего контроля в отношении процесса формирования финансовой отчетности и представлять соответствующий отчет (включая меры контроля в области информационных технологий и информационной безопасности). Статья 404 устанавливает, что компании должны производить оценку эффективности системы внутреннего контроля и уведомлять о результатах оценки Комиссию по ценным бумагам и биржам (SEC). Предусмотрено также требование к официальным аудиторам компании оценивать и указывать в своем заключении мнение об эффективности системы внутреннего контроля. Иными словами, в законе отмечено, что:

— руководство отвечает за внедрение и функционирование системы внутреннего контроля в отношении процесса формирования финансовой отчетности;

— руководство компании обязано провести по результатам финансового года оценку эффективности системы внутреннего контроля;

— официальные аудиторы компании должны удостоверить эту оценку и подготовить соответствующий отчет.

Хотя ведущие аудиторские фирмы и раньше оценивали систему внутреннего контроля при проверке финансовой отчетности, S0X сделал этот процесс более жестким и обязательным. Как результат, международные аудиторские стандарты были пересмотрены на предмет большего отражения процедур, основанных на подходе с точки

зрения рисков и мер контроля, даже для компаний, формально не подпадающих под действие S0X. Очевидно, что оценка внутренней системы контроля не может быть осуществлена без рассмотрения вопросов информационной безопасности, за исключением, возможно, лишь случая, когда финансовые отчеты и документы подготавливаются без использования информационных систем! Незащищенные системы не могут рассматриваться в качестве источника достоверной финансовой информации.

Для целей контроля и содействия аудиторам в оценке соответствия S0X был создан Надзорный совет по финансовой отчетности публичных акционерных обществ (Public Company Accounting Oversight Board — PCAOB), на который была также возложена задача разработки стандартов аудита. Выбранные РСАОВ типовые меры контроля, разработанные Комитетом финансирующих организаций (C0S0), обеспечивают структурированные руководства по внедрению системы внутреннего контроля.

Хотя рамки C0S0 и представляются хорошей моделью, они не дают достаточной информации в отношении сопутствующих средств контроля в области информационных технологий и безопасности. В этой связи в дополнение к C0S0 используются меры контроля стандарта корпоративного управления и аудита в области информационных технологий C0BIT, разработанного Ассоциацией по контролю и аудиту информационных систем (ISACA). Институт ISACA по корпоративному управлению в области информационных технологий (ITGI) разработал на базе C0S0 и COBIT совокупность целевых мер контроля в области информационных технологий и безопасности в контексте требований S0X.

Хотя руководство и вправе принять решение об использовании иной структуры при разработке системы внутреннего контроля, это потребует значительных усилий в плане разработки внутренней документации и обоснования того, почему выбранный подход отличается от рекомендованного ITGI. В связи с этим можно ожидать, что компании будут следовать рекомендациям ITGI для внедрения и оценки мер контроля в области информационных технологий и безопасности в соответствии с требованиями закона Сарбейнса—Оксли.

В дополнение к приведенным выше примерам законодательного и регуляторного характера в некоторых отраслях существуют специальные требования, которые организациям необходимо выполнять.

Например, в отрасли платежных карт обязательное соблюдение ряда стандартов и предписаний является условием выпуска и процессинга карт различных брэндов. Платежная система Visa издала «Стандарты обеспечения безопасности данных при использовании платежных карт» с обязательным минимальным комплексом мер по обеспечению информационной безопасности. Подобно многим другим регламентирующим предписаниям, упомянутым выше, в них отсутствуют директивы в отношении использования определенных технологий, но содержится достаточно подробный перечень целей контроля. Другой отличительной особенностью этих стандартов является требование о проведении регулярного внешнего аудита на соответствие стандартам с использованием специально предписанной аудиторской программы.

Соответствующий аудит должен проводиться квалифицированной аудиторской компанией, получившей аккредитацию у полномочного органа платежной системы (Visa, MasterCard) на проведение таких проверок.

Мы рассмотрели ряд международных законодательных актов, каждый их которых был разработан с конкретной целью, напрямую не связанной с информационной безопасностью, но оказывал влияние на организации в части необходимости внедрения мер безопасности. Эти законодательные акты относятся к большинству организаций, для которых (за исключением случаев, когда организации являются поставщиками услуг в области безопасности) информационная безопасность не является основным видом деятельности, а только средством по защите конфиденциальности, целостности и доступности информации. Все они объединены общей идей — действовать «разумно» с точки зрения защиты информации. Отдельные акты имеют более предписывающий характер, чем другие, но ни один из них не определяет того, какие технологии должны использоваться или какие конкретные средства контроля должна внедрить и реализовать организация, чтобы выполнить требования законодательства. В этой связи действия аудиторов заключаются в том, чтобы как можно более гибко подходить к вопросам толкования оценки соответствия мер контроля, внедренных организацией, требованиям законодательства.

Аудиторы могут возразить, что эта неопределенность увеличивает риск: если бы, например, законодательные акты четко определяли, что все страховые компании обязаны иметь межсетевые экраны определенного типа, настроенные предписанным образом, то тогда проводить аудит было бы намного проще. Однако организация может реально не нуждаться в рекомендованной технологии или могут существовать веские коммерческие причины, по которым ей необходима другая конфигурация, которая никоим образом не подвергает риску общий уровень безопасности.

Следовательно, гибкость законов и регулятивных норм является положительным фактором, они предоставляют организациям общие рамки, в которых те должны действовать, что не противоречит общей фундаментальной правовой концепции «разумной необходимости», но оставляет открытым вопрос, что считать разумно необходимым.

По крайней мере, все обсуждаемые нами законодательные акты и во многих других случаях содержат требование о проведении определенного рода оценки рисков и создании на базе этой оценки мер защиты.

Соблюдение рассмотренных законодательных актов может потребовать от организаций существенных затрат. Так, затраты, связанные с соблюдением требований HIPAA, даже в небольших организациях являются значительными, особенно с учетом того, что раньше требований безопасности в области медицинского страхования практически не было. Одна крупная американская компания, занимающаяся медицинским страхованием, затратила более 11 млн долларов только на выплаты консультантам, для того чтобы обеспечить соблюдение требований закона HIPAA. Компании, подпадающие под действие S0X, потратили гораздо больше, несмотря на то, что сложно сказать, какая часть этих средств непосредственно связана с информационными технологиями и информационной безопасностью, в любом случае это немалая сумма.

Аналогично законы и регулятивные нормы не учитывают организационные последствия внедрения этих требований. Что касается S0X, то здесь проведение организационных изменений неизбежно. В сущности все акты, рассмотренные выше, требуют создания новых должностей (офицер по обеспечению конфиденциальности персональных данных, офицер информационной безопасности, аудитор безопасности и т.д.), но не дают достаточной информации, какие требования предъявляются к профессиональной подготовке и навыкам таких сотрудников, или нечетко определяют, какие другие обязанности могут быть совмещены с выполнением этих полномочий. Остается открытым вопрос, где найти соответствующим образом подготовленный персонал (и определить его необходимую квалификацию) и как эффективно управлять людскими ресурсами, для того чтобы обеспечить правильное распределение обязанностей. Это оборотная сторона большинства таких законодательных актов: они определяют общие направления, но зачастую эти общие направления не дают ответы на многие вопросы. За исключением актов, регулирующих деятельность в сфере выпуска и процессинга платежных карт, большинство законодательных актов допускают большое число толкований: что такое «разумная необходимость», люди могут понимать по-разному. Все законодательные акты подразумевают ту или иную форму проверки выполнения требований — либо внутреннюю проверку, как в случае с Data Protection Act в Великобритании, либо внешнюю.

Сложность проведения аудита в таких условиях отдаляет выполнение требований. Например, неясно, кто должен проводить проверку соблюдения требований HIPAA и каковы цели и основные области этой проверки. В ближайшей перспективе компании будут привлекать независимых аудиторов осуществлять проверки по типу «диагностики на соответствие требованиям», для того чтобы продемонстрировать законодателям и регулирующим органам, что они делают все правильно в отсутствие проведения официальной аудиторской проверки на соответствие. Снова возникает вопрос: как определить временные рамки, характер и объем процедур проведения аудита, если законодательные и регулирующие органы не смогли сами этого сделать?

На Западе многие сотрудники, занимающие должности, связанные с обеспечением информационной безопасности в организациях, сетуют, что они не имеют должного авторитета в организации, а выделяемых из бюджета средств недостаточно для того, чтобы обеспечить необходимый для бизнеса уровень безопасности. Чаще всего компании не уделяют должного внимания информационной безопасности и сосредоточены на поставленных задачах и целях, которые порой входят в противоречие с

правилами соблюдения безопасности. В США во время бума электронной коммерции произошел определенный положительный сдвиг в осознании связи целей бизнеса и вопросов безопасности, например надлежащий уровень защищенности транзакций через Интернет становится конкурентным преимуществом. Но даже такие «продвинутые» компании не смогли ответить на два основных вопроса:

- какой уровень безопасности необходим компании?

- как компания может доказать наличие необходимого уровня безопасности и надлежащего контроля?

Законы и регулятивные нормы оказались очень полезны для повышения статуса специалистов по безопасности, у которых сейчас появилось право действовать. Они могут сделать что-то, чтобы обеспечить выполнение требований законодательства, и поэтому к

мнению таких специалистов нужно прислушиваться. Особенно это относится к компаниям, подпадающим под действие S0X, где высшее руководство несет уголовную ответственность за несоблюдение закона. Как результат, информационная безопасность в компаниях вышла на новый уровень. Сотрудники службы безопасности в настоящий момент перегружены работой с целью выполнения требований законодательства, не всегда понимая, как этого добиться, но по крайней мере теперь они могут обратиться к руководству с требованием увеличения финансирования. Многие из рассмотренных законов сопровождались внезапным всплеском финансирования на совершенствование информационной безопасности и других мер контроля, но, возможно, в будущем такая тенденция не сохранится. Проблемой остается недостаточный уровень внешнего аудита на соответствие требованиям законодательства.

Поэтому мероприятия по контролю соблюдения нормативных актов являются важными для поддержания информационной безопасности как приоритетной задачи на уровне компании.

С учетом того что законы и нормативные акты дают возможность увидеть только

часть ситуации и требуют от руководства компании поступать правильно, возникает вопрос, на который необходимо ответить: как выполняются требования законодательства и, что более важно, как можно доказать, что эти требования выполняются? Все законодательные акты содержат требование проведения оценки рисков и разработки политики информационной безопасности. В то же время только некоторые из них предписывают, как должна разрабатываться политика безопасности, кто из руководства должен отвечать за ее разработку и усовершенствование и как эта политика должна выполняться. Содержание политики информационной безопасности освещено только частично и вряд ли достаточно для того, чтобы организация могла хоть что-нибудь внедрить. С одной" стороны, это неплохо, гибкость в законодательстве означает, что организация может сама разработать политику, которая удовлетворяет ее текущим и будущим потребностям, а также отражает реальные условия, существующие в организации. Было бы абсурдным, например, предписывать, чтобы все организации разработали политику в отношении безопасности переносных компьютеров, если организация не использует переносные компьютеры!

И вот здесь на помощь приходят стандарты. Большинство законодательных актов разработано с учетом консультаций, полученных от различных органов по стандартизации. Стандарты в области информационных технологий и безопасности обеспечивают руководство следующим уровнем детализации, который законы и нормативные акты не дают и не должны давать.

Конечно, стандарты не являются обязательными и не устанавливаются в законодательном порядке, но, однако, они дают руководству возможность доказать, что оно «действует надлежащим образом» и таким образом продемонстрировать свое выполнение требований Существует огромное количество стандартов в области информационных технологий и безопасности, одни из них — отраслевые, другие — общие. Большинство из них основаны на оценке рисков как неотъемлемой части процесса их внедрения и соблюдения. С учетом того, что законы и регулятивные акты также требуют проведения оценки рисков при построении системы внутреннего контроля и обеспечения безопасности, это означает, что стандарты являются первым правильным шагом на пути выполнения требований законодательства.

В связи с тем, что существует множество международных стандартов в области информационной безопасности, организации нередко сталкиваются с проблемой выбора наиболее для них подходящего. Поскольку для организаций, к которым предъявляются требования S0X, институт ITGI определил подходящие меры контроля в области информационных технологий (ИТ) и безопасности на основе стандарта C0BIT [35], представляется, что данным организациям имеет смысл начинать с внедрения этого стандарта.

C0BIT представляет собой стандарт корпоративного управления ИТ, разработанный ISACA. Он адресован специалистам в области ИТ, руководству и аудиторам, поэтому является полезным инструментом для организаций: помогает руководству и сотрудникам понять необходимость контроля и позволяет объяснить требования бизнеса техническим сотрудникам.

C0BIT рассматривает корпоративное управление ИТ в рамках четырех основных групп процессов (доменов):

• организация и планирование (РО);

• приобретение и внедрение (AI);

• функционирование и поддержка (DS);

• мониторинг и оценка (ME).

В каждом из доменов выделяются отдельные процессы (всего 34), для каждого из них приводятся требования к мерам контроля.

Среди процессов C0BIT существует отдельный процесс, посвященный обеспечению информационной безопасности (DS5), хотя и в остальных процессах приводятся отдельные меры контроля, связанные с безопасностью.

Отличительной особенностью C0BIT является наличие руководства по аудиту, содержащего подробную методику проверки мер контроля по всем 34 основным процессам ИТ, в том числе по процессам, связанным с безопасностью. В этом руководстве подробно рассказывается, с кем из сотрудников следует провести интервью, какие документы проанализировать, что необходимо протестировать. В связи с выходом в декабре 2005 г. новой версии C0BIT 4.0 в настоящее время разрабатывается соответствующее руководство по аудиту.

C0BIT является полезным инструментом для аудиторов (внутренних и внешних), он предоставляет подход, с помощью которого проверяется уровень зрелости мер контроля в области ИТ. Это делает его ценным инструментом для руководства организации с целью определения того, как «надлежит» действовать, и позволяет сконцентрировать ресурсы для совершенствования мер контроля в тех областях, где требуются улучшения.

После вступления в силу S0X все больше внимания уделяется корпоративному управлению, а значит, и управлению ИТ; все больше организаций рассматривают внедрение C0BIT как метод совершенствования мер контроля в области ИТ. Более того, даже безотносительно требований S0X организации все чаще требуют от независимых консультантов провести проверку по C0BIT, для того чтобы оценить эффективность корпоративного управления ИТ.

Другим полезным инструментом, который может использоваться для совершенствования системы информационной безопасности, является ITIL — набор оптимальных методов и принципов, которые определяют интегрированный, основанный на процессах подход по управлению информационными технологиями. Заинтересованность в применении ITIL постоянно растет по всему миру.

ITIL также рекомендует внедрение эффективных мер в области информационной безопасности на стратегическом, тактическом и операционном уровне. Обеспечение информационной безопасности рассматривается как цикличный процесс с фазами планирования, внедрения, оценки и поддержки. ITIL оперирует такими понятиями в области информационной безопасности, как политики, процессы, процедуры и инструкции. С некоторыми особенностями аналогичные подходы прослеживаются в C0BIT, а также в нормативных и законодательных актах. Хотя в ITIL отсутствуют непосредственные специализированные стандарты оценки соответствия, тем не менее ITIL близок Британскому стандарту BS 15000 [36], посвященному управлению ИТ-сервисами и методам оценки.

Оценка качества аудиторов BS 15000 осуществляется UKAS (Британское агентство аккредитации). UKAS устанавливает основные требования в отношении аудиторов в части обучения, квалификации, наличия опыта у сертификационных компаний (т.е. у компаний/аудиторов, которые проводят сертификационный аудит). UKAS регулярно проводит аудит сертификационных компаний с целью убедиться, что они могут документально подтвердить свою компетентность по проведению сертификационных аудитов. BS 15000 содержит подробные руководства для организаций, которые желали бы получить сертификацию, и требования в отношении аудиторов.

В 2005 г. стандарт BS 15000 был представлен в ISO и по завершении ускоренной и упрощенной процедуры его рассмотрения был принят как IS0/IEC 20000.

Еще одним широко обсуждаемым стандартом в области безопасности является стандарт IS0/IEC 15408 (Общие критерии), который был гармонизирован в России как ГОСТ Р ИСО/МЭК 15408. Этот стандарт технический и иногда труден для восприятия бизнесом. Он полезен для поставщиков и покупателей продукции информационной безопасности, для того чтобы определить, насколько хорош механизм защиты в приобретаемой продукции. К сожалению, он не помогает руководству разобраться, правильно ли оно действует. Даже если определены конкретные технологические требования к безопасности отдельных систем, неправильное внедрение или работа любого

устройства или системы ни в коей мере не улучшит общий уровень безопасности организации в целом. Область применения этого стандарта в целях соответствия регулирующим требованиям достаточно ограничена. Однако существуют исключения, в частности в области процессинга платежных карт, где определенные технические требования IS0/IEC 15408 встречаются, например, в программах проверки на соответствие требованиям в области безопасности со стороны платежной системы MasterCard.

Наиболее известными и широко используемыми стандартами управления информационной безопасностью и доказательством соблюдения нормативных актов и законодательства являются международные стандарты серии IS0/IEC 2700X по управлению информационной безопасностью. Беря свое начало от первоначальных Британских стандартов 7799 (в последующем IS0/IEC 17799 и IS0/IEC 27001, эти стандарты конкретно и четко определяют, как эффективно внедрить систему управления информационной безопасностью. Есть несколько причин, почему эти стандарты настолько популярны, и не последняя из них та, что существуют четкие методы проведения аудиторских проверок на соответствие и даже возможность сертификации по IS0/IEC 27001.

Эти стандарты помогают ответить на вопрос: «как доказать, что в организации обеспечен требуемый уровень безопасности?» и убедить регулирующие органы, что «все выполняется правильно» и «надлежащим образом».

Стандарты охватывают все основные сферы требований, предъявляемых законодательством и нормативными актами, упомянутыми выше. Краеугольным камнем соответствия стандартам является понимание того, какими информационными активами обладает организация, и внедрение требуемого уровня мер контроля, основанного на

оценке рисков.

IS0/IEC 17799, IS0/IEC 27001 — просто и доступно написанные стандарты, предоставляющие полезные руководства по мерам контроля, которые организация захочет внедрить. При этом стандарты понятны как специалистам в области информационной безопасности, так и руководству и помогают преодолеть коммуникационный барьер между обеими сторонами, обеспечив тем самым понимание руководством, что делается и почему. Руководство рассматривается стандартом как ключевое звено при постановке целей в области информационной безопасности.

Для того чтобы быть сертифицированной по этому стандарту, организация должна также доказать, что у нее существуют процедуры по идентификации законов и нормативных актов, касающиеся ее с точки зрения защиты информации, у нее должна существовать программа по соблюдению этих нормативных требований. И тогда сертификация по IS0/IEC 27001, если она проведена надлежащим образом, гарантировала бы, что организация на деле соблюдает все законодательные и нормативные акты, регулирующие ее деятельность. Приложение А стандарта IS0/IEC 27001 содержит перечень мер контроля, которые должны быть внедрены в организации, желающей пройти сертификацию (однако не все меры контроля из данного списка обязательно должны быть внедрены, если существует документально подтвержденное решение руководства на этот счет, основанное на оценке рисков). Многие компании используют этот стандарт как

средство самооценки, поскольку методик по проведению оценки безопасности недостаточно; некоторые компании стремятся пройти официальный сертификационный аудит у аккредитованных независимых аудиторских компаний. Аналогично BS 15000, описанному выше, компании, проводящие сертификационный аудит, должны быть аккредитованы в отношении стандарта BS 7799 (часть 2) органом UKAS в Великобритании. По мере перевода британских стандартов в статус международных (ISO) аккредитация также становится возможной через органы ISO. В опубликованном документе ЕА-7/3 (Аккредитация организаций, занимающихся сертификации систем управления информационной безопасностью) Европейской комиссии по аккредитации, перечислены основные требования в области независимости, квалификации и внутренней системы контроля качества в отношении таких организаций. Эти требования к качеству процесса сертификации и квалификации аудиторов обусловлены необходимостью доверия результатам сертификации.

Сертификация по стандартам также требует проведения регулярных аудиторских проверок в целях обеспечения и поддержания соответствия выполнения требований и для того, чтобы процесс управления безопасностью функционировал надлежащим образом. Это сокращает разрыв, который в настоящий момент существует в большинстве законодательных актов: как доказать регулирующим органам, что организация постоянно соблюдает требования законодательства?

Это также облегчает сотрудникам службы безопасности получение финансирования на поддержание программы управления безопасностью, и не только на сам сертификационный аудит, но и на весь комплекс мер в области безопасности.

В некоторых странах соблюдение ISO/IEC 17799/BS 7799:2 в ряде отраслей экономики является обязательным (например, в Японии).

Регулирующие органы опираются на процесс сертификации по стандарту как на достаточное условие удовлетворения потребностей отрасли в защите информации. Возможно, другие страны последуют этому примеру благодаря тому, что стандарт широко используется как инструмент внедрения безопасности, он понятен, а механизмы его исполнения (сертификация) четко установлены.

Руководство предприятия хочет знать, насколько оно «разумно» действует в области информационной безопасности. Руководство также должно быть в состоянии обеспечить внедрение решений, которые бы отвечали потребностям бизнеса с точки зрения сложности, организации работ и затрат. Многие из законодательных актов, которые необходимо соблюдать, требуют подхода, основанного на оценке рисков, и не предписывают применяемые технологии.

И наоборот, хороший стандарт не должен предписывать ту или иную технологию или конкретные процедуры контроля, он должен быть достаточно гибким, чтобы позволить любой компании соблюдать требования такого стандарта.

Он должен основываться на оценке риска и ДОЛЖЕН учитывать тот факт, что задача организации — это не обеспечивать безопасность, а вести коммерческую деятельность: в большинстве случаев зарабатывать деньги. Поэтому он должен обеспечивать гибкость руководству в принятии решений, связанных с безопасностью, с учетом требований бизнеса. Потому что не все, что рискованно, должно быть запрещено — просто должно быть больше мер контроля, компенсирующих риски. Следовательно, хороший стандарт должен отражать потребности предприятий в развитии.

Хороший стандарт должен давать способ измерять уровень соответствия ему, а также обеспечивать аудиторов (внутренних и внешних) практичным инструментом оценки безопасности и в результате совершенствовать ее. C0BIT и серия стандартов IS0/IEC 2700Х обладают этими чертами, что делает их популярными как в бизнес-сообществе, так и среди специалистов в области безопасности.

Законы продолжают разрабатываться, на сегодняшний момент контролировать соблюдение требований, определить, выполняют ли они требования или нет, и поэтому они обращаются к стандартам как способу доказать, что они действуют надлежащим образом. Мы наблюдаем постоянный рост сертификации по IS0/IEC 27001 / BS 7799, и этот процесс будет продолжаться.

C0BIT становится привычным термином в лексиконе бизнесменов, а необходимость подхода на основе оценки риска к вопросам безопасности четко осознается высшим руководством.

Руководители служб информационной безопасности получают финансирование, но они должны доказать, что разумно расходуют эти средства, и используют стандарты как способ убедить свое руководство в рациональности данного направления расходования средств.

Есть и другие законодательные акты (в частности, касающиеся преступлений по неосторожности), которые применяются в отношении компаний в части информационной безопасности. Например, если в компании недостаточны меры контроля в области информационной безопасности, вследствие чего ее компьютеры были

скомпрометированы и использовались для атаки против третьей стороны, остается вопрос о возможности судебного иска третьей стороны против компании, не уделившей должного внимания вопросам безопасности (не предусмотревшей разумных мер защиты). При этом соответствие стандартам является хорошим способом демонстрации принятия разумных мер защиты.

В конечном счете выполнение стандартов является доказательством того, что организация поступает в соответствии с предъявляемыми законодательством требованиями, хотя большинство законодательных актов не предписывают этого выполнения, а рекомендуют руководствоваться здравым смыслом.

  1   2   3   4   5   6   7   8   9   ...   17

Похожие:

Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Издательство ТулГУ
Бродовская, Е. В. Переговоры: стратегии, тактики, техники: Учебное пособие [Текст] / Е. В. Бродовская, А. А. Лаврикова. – Тула: Изд-во...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconА. В. Непомнящий Рынок ценных бумаг Учебное пособие Москва 2008
Учебное пособие предназначено для студентов вузов специальностей «Менеджмент организаций», «Бухгалтерский учёт, анализ и аудит» и«Финансы...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебно-методическое пособие Для студентов, аспирантов Таганрог 2008
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие для студентов второго образовательного уровня Таганрог 2010
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconРеферат по дисциплине «Организация обеспечения информационной безопасности» на тему
«Концепция информационной безопасности, анализ безопасности информационных систем»
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность»
Учебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность», 090105 «Комплексное...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconКонтрольные вопросы по курсу «Технические средства предприятий сервиса» (сервиса электронных систем безопасности) Глава Сущность курса «Технические средства предприятий сервиса», оборудование и технические, средства предприятий и подразделений безопасности
«Технические средства предприятий сервиса» студентам специальности «Сервис» специализация «Сервис электронных систем безопасности...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Москва 2008 удк машкин М. Н. Информационные технологии: Учебное пособие. М.: Вгна, 2008. 200 с
Учебное пособие по курсу Информационные технологии содержит учебный материал для подготовки к зачету по указанной дисциплине
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие. Таганрог: Изд-во трту, 2003
Учебное пособие cодержит описание теоретических и практических подходов к разработке и отбору инвестиционных проектов в условиях...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconН. Л. Михайлов архитектура вычислительных систем учебное пособие
Михайлов Н. Л. Архитектура вычислительных систем: Учебное пособие. – Рыбинск, ргата, 2008. – 87 с
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница