Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание




НазваниеАудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание
страница10/17
Дата30.01.2013
Размер2.05 Mb.
ТипУчебное пособие
1   ...   6   7   8   9   10   11   12   13   ...   17

3.3.2.4. Модель зрелости стандарта C0BIT

C0BIT является стандартом, опубликованным Фондом аудита и контроля информационных систем (Information Systems Audit and Control Foundation — ISACF). Целями создания COBIT, как комментируют разработчики, является формирование согласованного набора стандартов для управления, контроля и аудита информационных систем, которые могут быть применены для ИС масштаба предприятия: от уровня локальных вычислительных сетей до крупных распределенных вычислительных комплексов. C0BIT базируется на процессном подходе (выделено 34 процесса, ориентированных на 318 объектов контроля), где процессы структурированы по областям (доменам): планирование и организация, приобретение и реализация (внедрение), поставка и поддержка, контроль (мониторинг).

Концептуальное ядро C0BIT может рассматриваться с трех точек зрения:

1) информационные критерии;

2) ИТ-ресурсы;

3) ИТ-процессы.

C0BIT определяет ИТ-ресурсы следующим образом:

  • данные — это объекты в самом широком смысле этого слова (т.е. внутренние и внешние): структурированные и неструктурированные, графические, звуковые и т.д.;

  • приложения — понимаются как сумма выполняемых вручную и программных процедур;

  • технология — аппаратные средства, операционные системы, системы управления базами данных, средства для обеспечения работы сетей, мультимедийные средства и т.д.;

  • оборудование — все ресурсы, предназначенные для размещения в них информационных систем и обеспечения их работы;

  • люди — имеются в виду квалификация персонала, его знания и способность эффективно работать с информационными системами и услугами (планирование, организационные работы, приобретение, поставка, поддержка и мониторинг).

Для каждого из 34 процессов C0BIT определяет:

  • идентификацию процесса;

  • указание цели процесса;

  • указание факторов возможности реализации (как обеспечивать контроль данного процесса, чтобы получить уверенность в достижении целей этого процесса);

  • ИТ-ресурсы с указанием их отношения к данному процессу;

  • свойства (информационные критерии) с указанием их относительной важности (П - первостепенная важность, В - второстепенная важность, нет никакой буквы - относительно малая важность, но это не означает, что данным критерием можно пренебречь);

  • критические факторы успеха;

  • ключевые показатели достижения цели - аналог измеряемых атрибутов процессов;

  • ключевые показатели эффективности - аналог желаемых значений атрибутов процессов;

модель зрелости для данного процесса.

Для контроля над ИТ-процессами C0BIT предлагает шкалу, по которой организация может определить уровень развития своих процессов — от «несуществующего» до «оптимизированного» (от 0 до 5). Подход к оценке зрелости C0BIT основан на модели СММ с тем отличием, что введено понятие «нулевой уровень зрелости» — «несуществующий».

Общий подход к оценке зрелости и представление универсальной модели зрелости стандарта C0BIT иллюстрирует рисунок 27.





Сама универсальная модель оценки зрелости стандарта C0BIT определена так, как иллюстрирует таблица 7.







Как отмечается в стандарте модели зрелости, процессы не привязаны к конкретной отрасли и не всегда применимы, пригодность определяется видом деятельности организации и областью применения стандарта. Среди ИТ-процессов стандарта C0BIT только процессы P0.9

«Оценка рисков», DS.4 «Обеспечение непрерывности обслуживания», DS.5 «Обеспечение безопасности систем», DS.10 «Управление проблемами и инцидентами» прямо относятся к области безопасности ИТ, что не покрывает всех специфичных вопросов менеджмента информационной безопасности.


3.3.2.5. Модель зрелости рейтинговой системы URSIT

Меморандум по надзору № 1001 [40],изданный департаментом штата Техас (США) по банковскому надзору, определяет системы рейтингов для:

  • коммерческих;

  • трастовых департаментов коммерческих банков;

  • департаментов электронной обработки данных коммерческих банков и независимых поставщиков услуг электронной обработки данных;

  • филиалов иностранных банков.

Система рейтингов для департаментов электронной обработки данных коммерческих банков и независимых поставщиков услуг электронной обработки данных — Универсальная рейтинговая система для ИТ (Uniform Interagency Rating System for Information Technology — URSIT) является общей рейтинговой системой, используемой федеральными и государственными инспекторами для универсальной оценки связанных с ИТ-риском финансовых организаций и провайдеров услуг. Она также позволяет инспекторам идентифицировать те организации и тех провайдеров услуг, у которых незащищенность перед рисками ИТ или производительность ИТ требуют постоянного и глубокого контроля.

Рейтинговая система включает описания компонентного (простого) и композитного (составного) рейтинга и явную идентификацию факторов рисков и факторов оценки, которые рассматривает эксперт при назначении компонентных рейтингов. Для каждого компонента рейтинга ИТ рассматривается влияние ИТ на изменения кредитных факторов, операционных факторов, рыночных факторов, репутации, стратегии, ликвидности, заинтересованности и на специфичные риски ИТ.

Главная цель рейтинговой системы — идентифицировать те сущности, чьи условия или производительность функций ИТ требуют отдельного внимания представителей органов надзора. Рейтинговая система предназначена помочь эксперту выполнить оценки рисков и обобщить результаты экспертизы.

URSIT основывается на оценке рисков для четырех областей (доменов):

  • аудит,

  • менеджмент,

  • разработка и приобретение,

  • поддержка и поставка.

Данные домены URSIT имеют много общего с C0BIT, а именно:

  • домен «аудит» URSIT имеет много общего с мониторингом из C0BIT (домен «мониторинг» C0BIT включает процессы М1 «Осуществлять мониторинг процессов», М.2 «Оценить адекватность внутреннего контроля», М.З «Получить независимые гарантии», М.4 «Предусмотреть проведение независимого аудита»);

  • домен «разработка и приобретение» URSIT по назначению полностью совпадает с одноименным доменом C0BIT;

  • домен «поддержка и поставка» URSIT, как и предыдущий, совпадает с одноименным доменом C0BIT.

Только домен «планирование и организация» из C0BIT не нашел прямого отражения в URSIT, однако аналогичные выполняемым в этом домене C0BIT задачи включены в URSIT в область «менеджмент».

Можно констатировать значительную концептуальную общность рассматриваемых подходов, основное различие которых лежит в области детализации. Шкала оценки зрелости, или, точнее, рейтинга, URSIT-двухуровневая. Это принципиально отличает ее от всех ранее рассмотренных моделей зрелости.

Первоначально оценки выполняются в отдельности по каждой из четырех областей (аудит, менеджмент, разработка и приобретение, поддержка и поставка) с выставлением рейтинга от 1 до 5 A - наилучший, 5 - наихудший - еще одно техническое отличие URSIT от C0BIT и других методов).

Далее по правилам, изложенным в спецификации URSIT, каждой организации после экспертизы выставляется суммарный или композитный рейтинг, основанный на общих результатах оценки.

Композитный рейтинг ИТ, как и компонентный рейтинг, основан на шкале от 1 до 5 в порядке возрастания степени (требований) по строгости надзора. Единица представляет высший рейтинг и наименьшую степень надзора, пятерка представляет низший рейтинг и наивысшую степень надзора.

Первым шагом в разработке композитного рейтинга ИТ для организации является назначение рейтинга производительности для индивидуальных компонентов.

Оценка каждого из этих компонентов, их взаимных отношений и относительной важности является основой для композитного рейтинга. Композитный рейтинг выводится путем качественного суммирования всех компонентных рейтингов.

Между композитным рейтингом и рейтингами производительности отдельных компонентов существует прямая зависимость. Однако композитный рейтинг не является арифметическим средним рейтингов индивидуальных компонентов.

Арифметический подход не отражает действительных условий ИТ, когда используется подход, сфокусированный на рисках.

Плохой рейтинг в одном компоненте может плохо повлиять на общий композитный рейтинг организации. Например, если функция аудита рассматривается как неадекватная, то целостность систем ИТ не может быть проверена.

Главная цель композитного (составного) рейтинга — определить те финансовые организации и тех провайдеров услуг, которые имеют высокие риски ИТ и нуждаются в особом (строгом) надзоре.

Таким образом, отдельный риск, который более явно влияет на живучесть организации и(или) ее потребителей, получает больший вес в композитном рейтинге. В документе отдельно отмечается, что организациям, имеющим не сложную среду ИТ, нет необходимости стремиться к высоким компонентным и композитным рейтингам.

В целом композитные рейтинги URSIT являются аналогами уровней модели зрелости СММ и характеризуются следующим образом:

  • Композит 1. Финансовые организации и провайдеры услуг с рейтингом «Композит 1» обладают высокой надежностью во всех отношениях и обычно имеют компонентные рейтинги 1 или 2. Слабости ИТ минимальны по природе и легко корректируются в процессе нормального бизнеса. Процесс менеджмента рисков обеспечивает исчерпывающую программу идентификации и мониторинга рисков относительно размера, сложности и профиля рисков. Стратегические планы хорошо определены и полностью интегрированы в организацию. Это позволяет менеджменту быстро адаптироваться к изменяющемуся рынку, бизнесу и технологии. Менеджмент идентифицирует слабости своевременно и предпринимает соответствующие коррективные действия для решения проблем аудита и правовых вопросов.

  • Композит 2. Финансовые организации и провайдеры услуг с рейтингом «Композит 2» обладают безопасной и основательной надежностью, но могут иметь некоторые слабости в операционной надежности, мониторинге, процессах менеджмента или в разработке системы. Обычно старший менеджмент корректирует слабости при нормальном ходе бизнеса. Процессы менеджмента рисков адекватно идентифицируют риски и ведут их мониторинг относительно размера, сложности и профиля рисков. Стратегические планы определены, но могут потребовать прояснения, лучшей координации или улучшения коммуникации в организации. В результате менеджмент предсказывает, но медленно реагирует на изменения рынка, бизнеса и технологии. Менеджмент обычно идентифицирует слабости и предпринимает соответствующие коррективные действия. Однако при решении и идентификации проблем больше полагаются на аудит и правовые методы. Финансовые условия провайдера услуг приемлемы. Хотя внутренние слабости управления могут существовать, нет значительных вопросов надзора. В результате действия надзора неформальны и ограничены.

  • Композит 3. Финансовые организации и провайдеры услуг с рейтингом «Композит 3» обладают совокупностью слабостей, которые могут быть от умеренных до серьезных, что требует надзора некоторой степени. Если слабости постоянные, то в дальнейшем весьма вероятно снижение условий и производительности организации или провайдера услуг. Процессы менеджмента рисков могут быть несоответствующими для размера, сложности или профиля рисков. Стратегические планы определены неясно и могут не обеспечить адекватное направление инициатив ИТ. В результате менеджмент часто испытывает трудности при реагировании на изменения в бизнесе, рынке и технологии. Практика самооценки слаба, и она главным образом реагирует на аудит и правовые исключения. Вопросы могут возникать повторно, указывая, что менеджмент не способен или не имеет желания решать эти вопросы. Финансовые условия провайдера услуг могут быть слабыми, и(или) могут быть очевидными негативные тенденции. Хотя финансовые или операционные сбои маловероятны, но необходим повышенный надзор. Формальные или неформальные действия надзора могут быть необходимы для безопасности действий по корректировке.

  • Композит 4. Финансовые организации и провайдеры услуг с рейтингом «Композит 4» обладают небезопасной и неосновательной средой, что может нанести ущерб будущей живучести организации. Операционные слабости свидетельствуют о серьезных дефектах в менеджменте. Процессы менеджмента рисков неадекватно идентифицируют и ведут мониторинг рисков для данного объема, сложности и профиля рисков. Стратегические планы плохо определены, не скоординированы и не распространены в организации. В результате менеджмент не хочет или не может обеспечить удовлетворение технологических потребностей. Менеджмент и совет директоров не выполняют самооценок и демонстрируют неспособность или нежелание корректировать аудит или правовые вопросы. Финансовые условия провайдера услуг серьезно повреждены и(или) ухудшаются. Крах финансовой организации или провайдера услуг может быть весьма вероятен, если проблемы ИТ не будут решаться. Необходимо пристальное внимание надзора, и в большинстве случаев необходимы формальные принудительные действия.

  • Композит 5. Финансовые организации и провайдеры услуг с рейтингом «Композит 5» обладают критически недостаточной операционной надежностью, требующей немедленных восстановительных действий. Операционные проблемы и серьезные слабости могут существовать по всей организации. Процессы менеджмента риска обладают серьезными недостатками и управляют рисками слабо или вовсе не управляют в смысле размера, сложности и профиля риска. Стратегические планы не существуют или они неэффективны. Менеджмент и совет директоров обеспечивают слабое направление инициатив ИТ или вовсе не обеспечивают. В результате менеджмент не знает или не внимателен к технологическим потребностям. Менеджмент не хочет или не может корректировать аудит или правовые вопросы.

Финансовые условия провайдера услуг бедны, и авария весьма вероятна из-за плохой производительности или финансовой нестабильности. Необходимо непрерывное внимание контролера. Уровень формулировок рейтингов URSIT более абстрактен, чем, например, в C0BIT, однако определенные детали, такие, например, как приведенные в C0BIT, необходимы для того, чтобы эксперт мог составить суждение о рейтинге организации по четырем областям и рейтинге в целом (композитный). Поэтому в приложении 2 к Меморандуму приведено руководство по применению URSIT (разработанное на основе версии 2 C0BIT).

Среди объектов оценки рейтинга (зрелости) явно не представлены объекты (сущности) обеспечения информационной безопасности, однако они включены в общий перечень параметров, предназначенных для определения компонентных (простых) рейтингов по четырем

доменам ИТ.

Например, для домена «поставка и поддержка» URSIT (аналогичный домен имеется в C0BIT) рейтинг основан на рассмотрении и оценке следующих требований по:

  • способности обеспечить уровень обслуживания, который удовлетворяет требованиям бизнеса;

  • адекватности политик, процедур и практик безопасности во всех подразделениях и на всех уровнях финансовой организации и провайдеров услуг;

  • адекватности средств управления данными при подготовке, вводе, обработке и выводе;

  • адекватности корпоративного планирования работы в чрезвычайных обстоятельствах и восстановления бизнеса для центров данных, сетей, провайдеров услуг и подразделений бизнеса;

  • качеству процессов или программ, ведущих мониторинг объема и надежности;

  • адекватности средств управления и способности вести мониторинг средств управления провайдеров услуг; качеству помощи, предоставляемой пользователям, включая способность решать проблемы;

  • адекватности операционных политик, процедур и справочников;

  • качеству физической и логической безопасности, включая приватность данных;

  • адекватности архитектур межсетевых экранов и безопасности соединений с открытыми сетями.

1   ...   6   7   8   9   10   11   12   13   ...   17

Похожие:

Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Издательство ТулГУ
Бродовская, Е. В. Переговоры: стратегии, тактики, техники: Учебное пособие [Текст] / Е. В. Бродовская, А. А. Лаврикова. – Тула: Изд-во...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconА. В. Непомнящий Рынок ценных бумаг Учебное пособие Москва 2008
Учебное пособие предназначено для студентов вузов специальностей «Менеджмент организаций», «Бухгалтерский учёт, анализ и аудит» и«Финансы...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебно-методическое пособие Для студентов, аспирантов Таганрог 2008
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие для студентов второго образовательного уровня Таганрог 2010
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconРеферат по дисциплине «Организация обеспечения информационной безопасности» на тему
«Концепция информационной безопасности, анализ безопасности информационных систем»
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность»
Учебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность», 090105 «Комплексное...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconКонтрольные вопросы по курсу «Технические средства предприятий сервиса» (сервиса электронных систем безопасности) Глава Сущность курса «Технические средства предприятий сервиса», оборудование и технические, средства предприятий и подразделений безопасности
«Технические средства предприятий сервиса» студентам специальности «Сервис» специализация «Сервис электронных систем безопасности...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Москва 2008 удк машкин М. Н. Информационные технологии: Учебное пособие. М.: Вгна, 2008. 200 с
Учебное пособие по курсу Информационные технологии содержит учебный материал для подготовки к зачету по указанной дисциплине
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие. Таганрог: Изд-во трту, 2003
Учебное пособие cодержит описание теоретических и практических подходов к разработке и отбору инвестиционных проектов в условиях...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconН. Л. Михайлов архитектура вычислительных систем учебное пособие
Михайлов Н. Л. Архитектура вычислительных систем: Учебное пособие. – Рыбинск, ргата, 2008. – 87 с
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница