Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание




НазваниеАудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание
страница11/17
Дата30.01.2013
Размер2.05 Mb.
ТипУчебное пособие
1   ...   7   8   9   10   11   12   13   14   ...   17

3.3.2.6. Оценивание информационной безопасности на основе моделей зрелости

Как показывает приведенный обзор, существующие методы оценки зрелости и модели, базирующиеся на СММ, имеют широкий спектр применения. Таблица 8 иллюстрирует в обобщенном виде основные характеристики рассмотренных существующих методов оценки

зрелости.





Несмотря на разнообразие существующих методов и моделей оценки зрелости, ни один из них явно не ориентирован на оценку зрелости процессов менеджмента информационной безопасности, определенных, например, IS0/IEC 27001 (или его прототипом - британским стандартом BS 7799-2:2002 «Information security management. Specification with guidance for use»).

Однако на конец 2005 г. потребности в таких методах и такой оценке зрелости были сформулированы на международном уровне. В частности, в материалах готовящегося проекта международного стандарта IS0/IEC 27004, принятие которого запланировано на конец 2006 г., отмечается, что оценка зрелости процессов системы менеджмента информационной безопасности могла бы составить один- из хороших подходов к оценке эффективности системы менеджмента информационной безопасности.

В то же время ранее, еще в 2004 г., подобная задача была сформулирована в рамках российского отраслевого стандарта для организаций банковской системы Российской Федерации СТО БР ИББС-1.0-2004 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»1.

Модель зрелости является мерой оценки полноты, адекватности и эффективности процессов менеджмента ИВ». При этом уровень проработанности процессов менеджмента информационной безопасности определяется тем, насколько полно и последовательно менеджмент организации руководствуется принципами информационной безопасности, реализует политики и требования информационной безопасности, использует накопленный опыт и совершенствует систему менеджмента информационной безопасности.

Модель зрелости процессов менеджмента информационной безопасности стандарта СТО БР ИББС-1.0, как и другие рассмотренные стандарты и методы оценки зрелости, основывается на универсальной модели зрелости процессов, определенной стандартом C0BIT.

Для целей оценивания информационной безопасности на основе моделей зрелости необходимы два основных источника:

  1. Требования к составу процессов обеспечения (менеджмента) информационной безопасности организации. Такими требованиями могут быть требования международного стандарта IS0/IEC 27001, требования СТО БР ИББС-1.0 или других аналогичных стандартов, основывающихся на «процессном подходе» к обеспечению информационной безопасности.

  2. Эталонная модель зрелости процессов информационной безопасности. В качестве таковой могут быть взяты модели зрелости СММ, SSE-CMM, C0BIT и др.

Для идентифицированных в составе системы обеспечения (менеджмента) информационной безопасности процессов должны быть разработаны:

  • описание каждого из процессов в терминах эталонной модели зрелости (подобно тому, как это представлено в стандарте C0BIT);

  • методика оценки зрелости процессов, включающая опросные анкеты для оценки возможностей процессов, в соответствии с заявленным уровнем их зрелости.

Такое описание модели зрелости для каждого процесса должно излагаться согласно возрастающей шкале оценок от нулевого до пятого уровня зрелости относительно атрибутов, характеризующих каждый отдельно взятый процесс, по следующим направлениям:

  • понимание и осознание проблем менеджмента информационной безопасности; — обучение и информирование по ключевым проблемным вопросам;

  • применяемые в рамках процесса основные деятельности и практики;

  • степень автоматизации и использования технических приемов для повышения эффективности и экономичности процесса;

  • степень соблюдения регламентированных процедур деятельности в рамках процесса, нормативных документов и инструкций;

  • вид и степень используемой для управления процессом экспертизы.

Например, для процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ» системы менеджмента информационной безопасности организации, определенной IS0/IEC 27001,

описание модели его зрелости может быть определено следующим образом (приведем в качестве примера описания нулевого, первого, третьего и пятого уровней зрелости процесса).

Модель зрелости.

Нулевой уровень. На данном уровне наблюдается полное отсутствие определенного процесса по анализу и оценке рисков информационной безопасности. Не проводится оценка рисков информационной безопасности для проектов, разрабатываемых стратегий и решений. Руководство организации не осознает возможных последствий для бизнеса организации, связанных с реализациями угроз информационной безопасности, в спектре рисков организации не рассматриваются риски информационной безопасности. Ценность информационных активов с точки зрения сохранения свойств целостности, конфиденциальности и доступности не рассматривается как ключевая в целях бизнеса. Не ведется база инцидентов информационной безопасности, они не предупреждаются, не рассматриваются и не анализируются.

Первый уровень. В организации существуют документально зафиксированные свидетельства осознания руководством существования проблем обеспечения информационной безопасности. В частности, определена и документально зафиксирована область действия системы менеджмента информационной безопасности. Информационные активы определены, составлен перечень уязвимостей и вероятностей использования уязвимостей угрозами. Просчитан ущерб от возможной реализации угроз, а также определены оценки актуальности угроз. Процесс анализа и оценки рисков как таковой не стандартизирован. Деятельности в рамках процесса оценки и анализа рисков применяются эпизодически и бессистемно. Так, например, определены риски раскрытия, модификации значимых информационных активов, но выбор метода идентификации рисков оставлен на усмотрение ответственного лица. Создана, но не обновляется база инцидентов

информационной безопасности. Определены приоритеты рисков, но данные приоритеты учитывают не все инциденты информационной безопасности. Проведена первичная оценка рисков. Оценка рисков носит неформальный характер, не включена в план обязательных мероприятий по обеспечению информационной безопасности. Ответственность персонала за проведение мероприятий по оценке и анализу рисков документально не зафиксирована. Существуют документально зафиксированные свидетельства возможности переноса рисков на третьи стороны, но не предложены конкретные программы и стратегии переноса, не определены ответственности исполнителей. Определены критерии принятия рисков информационной безопасности, но они не обновляются и не подвергаются всестороннему анализу, выбор критериев возложен на отдельное ответственное лицо, требования к квалификации которого также не определены. Обсуждения по вопросам снижения рисков носят ситуационный характер, бессистемны и не периодичны, отсутствует системный подход к оценке рисков.

Третий уровень. Существует политика организации, в которой определяется периодичность и область оценки рисков информационной безопасности. Процесс оценки рисков документирован и

стандартизирован, суть процесса доводится до заинтересованного персонала посредством обучения базовым принципам безопасности, оценки и анализа рисков информационной безопасности. Разработан план работ по оценке рисков. Методология оценки рисков с большой степенью вероятности гарантирует, что основные риски информационной безопасности будут выявлены, поскольку результаты деятельности в рамках процесса по оценке и анализу рисков

согласованы с соответствующими политиками, стандартами и (или) процедурами. Однако выбор метода сбора информации об инцидентах, угрозах и уязвимостях, а также способа оценки рисков

оставлен на усмотрение ответственного персонала (реализация не скоординирована). В связи с данным фактом вероятность отклонения от стандартных процедур по оценке остается достаточно высокой. Мероприятия по минимизации рисков не всегда оптимальны и своевременны, однако являются отражением действующей в организации практики обеспечения информационной безопасности. Определены роли в части деятельности по оценке и обработке рисков информационной безопасности и установлены ответственности за их выполнение. Адекватно размещены ресурсы (включая людские) для выполнения процесса по оценке рисков. Разработана стратегия переноса рисков на сторонние организации. Сотрудники обеспечены соответствующими средствами для выполнения полномочий в рамках должностных обязанностей по оценке рисков.

Пятый уровень. Оценка рисков в организации доведена до уровня лучших практик по оценке и анализу риска. Выбранная стратегия оценки рисков непрерывно совершенствуется, ориентируясь на последние достижения в области информационной безопасности, принимаемые международные стандарты и результаты сравнения с уровнем других организаций. Привлекаются сторонние сертифицированные специалисты для консультаций по вопросам рисков, оптимизации

существующей системы сбора и анализа первичной информации для анализа рисков. В рамках внутри организационной структуры используются совещания по принципу «мозгового штурма» с целью выявить и проанализировать причины идентифицированных рисков. Система защитных мер строго скоординирована с приоритетами рисков и зависимостью «эффективность защитных мер — стоимость», комплексно используется установленная форма отчетности об эффективности защитных мер. Процедуры сбора, анализа, хранения, сопровождения и передачи информации для баз данных по угрозам, уязвимостям и инцидентам информационной безопасности преимущественно автоматизированы и формализованы. Установлены ответственности персонала за неинформирование об имевшем место инциденте информационной безопасности, а также за нарушение процедуры информирования заинтересованных лиц. Руководители, а также рядовой персонал организации регулярно обучаются лучшим практикам информационной безопасности, до их сведения доводятся новейшие рекомендованные требования информационной безопасности с последующей проверкой знаний.

Оценка риска представляет собой структурированный, хорошо формализованный, постоянно оптимизирующийся и хорошо управляемый процесс. Процесс оценки риска не затрудняет основной деятельности организации и может быть достаточно быстро и эффективно адаптирован к изменениям целей бизнеса, бизнес-среды и организационно-штатным изменениям.

По образу и подобию представляется модель зрелости для всех других процессов системы менеджмента информационной безопасности организации.

При этом оценка должна осуществляться по методике, включающей анкеты — вопросники, которые излагаются в терминах каждого конкретного отдельно взятого процесса для каждого из его уровней зрелости.

Подобный подход применяется, например, в методологии оценки зрелости процессов, определенных для SSE-CMM международным стандартом IS0/IEC 21827.

Применительно к уже рассмотренному процессу «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ» системы менеджмента информационной безопасности организации стандарта ISO/ IEC 27001 положения для проведения оценки зрелости процесса могут выглядеть следующим образом (для тех же уровней зрелости, модель зрелости которых представлена выше).


Оценка уровня зрелости процесса

Для оценки уровня зрелости конкретного процесса в организации предлагается способ оценки «от начального к максимальному», заключающийся в поглощении требований предыдущего уровня зрелости последующим. Например, процесс соответствует второму уровню зрелости только в случае, если выполняют все требования для первого уровня.

Оценка производится по следующим параметрам:

  • область действия системы менеджмента информационной безопасности;

  • описание реализации процесса;

  • гарантии на уровне бизнеса;

  • информация о среде;

  • идентификация задействованных активов;

  • влияние процесса на достижение целей бизнеса;

  • • угрозы, уязвимости.

Для анализа должны быть предоставлены:

  • документальные свидетельства выполнения анализа рисков информационной безопасности на основе идентификации информационных активов и их уязвимости и анализа угроз

  • данным активам;

  • документальные свидетельства выполнения оценки потенциальных потерь (ущерба) бизнесу организации в результате воздействия (возможной реализации) угроз информационной безопасности;

  • документальные свидетельства выбора варианта минимизации (обработки) рисков применительно ко всем рискам,

  • оцененным после выполнения процесса;

  • документальные свидетельства снижения количества потенциальных инцидентов, вызванных рисками и выявленных постфактум;

  • документальные свидетельства увеличения количества выявленных рисков, влияние которых было ослаблено.


Нулевой уровень зрелости

Отсутствуют какие-либо признаки идентифицированного процесса анализа и оценки рисков информационной безопасности, варианты минимизации рисков информационной безопасности, следовательно, процесс как таковой не существует/не определен/не формализован.




Приведенный пример показывает, как на практике может быть реализована оценка (оценивание) информационной безопасности на основе моделей зрелости.

Такая оценка может быть осуществлена в развитие оценки на основе показателей информационной безопасности (оценки соответствия), демонстрируя в итоге то, насколько эффективно может функционировать та деятельность, которая оценивалась на соответствие (правильность).


4. Исследование полученных оценок информационной безопасности

4.1. Оценивание результатов аудита и самооценки информационной безопасности

После завершения аудита ИБ или самооценки ИБ заказчик аудита или руководство проверяемой организации (при самооценке это может быть одно лицо) стремятся оценить результаты проведения аудита или самооценки ИБ.

Оценивание может проводиться на основе следующих критериев:

  • использование результатов аудита и самооценки ИБ;

  • уверенность в результатах аудита и самооценки ИБ;

  • простота понимания результатов аудита и самооценки ИБ;

  • выполнение положений модели оценки;

  • точность процедур оценивания;

  • повторяемость результатов аудита и самооценки ИБ;

  • воспроизводимость результатов аудита и самооценки И Б.

Представленные критерии относятся к методам измерения, показателям, моделям объединения показателей, к способам интерпретации результатов аудита и самооценки ИБ. Некоторые из приведенных критериев являются зависимыми друг от друга, например точность и

повторяемость, точность и воспроизводимость, точность и выполнение положений модели оценки, использование и понятность результатов аудита и самооценки ИБ и т.д. Некоторые критерии могут использоваться для количественной оценки, а другие — для качественной оценки.

Использование результатов аудита и самооценки ИБ оценивается степенью использования этих результатов для принятия решений по планированию и реализации корректирующих и превентивных мер в отношении процессов системы обеспечения ИБ организации, в отношении программы аудита ИБ.

Например, если по результатам аудита или самооценки ИБ была создана модель принятия решений по планированию и реализации корректирующих и превентивных мер в отношении процессов системы обеспечения ИБ, а руководство организации или ответственный за ИБ организации не использует или редко использует модель принятия решений для вынесения решения о корректировке или совершенствовании процессов системы обеспечения ИБ, то можно считать, что результаты аудита или самооценки И Б не используются или использование их является низким.

Уверенность в результатах аудита и самооценки ИБ оценивается степенью, с которой потребители результатов аудита или самооценки ИБ уверены в используемых методах измерения, показателях,

моделях объединения показателей и интерпретациях результатов аудита или самооценки ИБ.

Уверенность зависит также от наличия и использования процедур, предотвращающих искажение данных или неверную интерпретацию данных (например, путем анализа и прослеживания процессов формирования и преобразования данных).

Уверенность в результатах аудита или самооценки ИБ увеличивается, если есть гарантии, что аудиторы и специалисты, проводившие проверку, являются компетентными и беспристрастными и что потребители результатов аудита или самооценки ИБ участвуют в процессе проверки, например, посредством регулярных консультаций и обсуждений промежуточных результатов оценивания.

Простота понимания результатов аудита и самооценки ИБ оценивается легкостью, с которой показатели и их интерпретации могут быть поняты потребителями результатов аудита или самооценки ИБ.

Если результаты аудита или самооценки ИБ труднопонимаемы, то степень их использования будет невысокой. Это может быть вызвано использованием жаргона в интерпретации или представлением показателей таким образом, который неестественен для потребителя. Объем представления результатов может быть также препятствием для понимания — длинные описания, как правило, меньше изучаются, чем короткие.

Выполнение положений модели оценки оценивается степенью, с которой положения модели оценки, на которых основано определение показателей, были выполнены (например, последовательность процедур измерения, шкала измерения, единицы измерения, модель объединения показателей).

Например, изменение последовательности процедур измерения или замена их другими (анализ документов по И Б — опросом персонала, опрос персонала — интервьюированием персонала и т.д.), которые, возможно, происходят вследствие особенностей объекта аудита, могут привести к потере данных или введению ошибочных данных, что должно учитываться по крайней мере при интерпретации соответствующих показателей.

Точность процедур измерения оценивается степенью, с которой процедура, реализующая определение значений показателей, соответствует намеченному методу измерений. Точная процедура дает результаты, сходные с истинным (или намеченным) значением показателей.

Процедуры измерений реализуют методы измерений, предназначенные для определения значений показателей. Эти процедуры могут давать результаты, отличающиеся от предполагаемых результатов из- за систематических ошибок, случайной ошибки или некачественного выполнения процедуры.

Применение ручных и автоматизированных способов реализации процедур может привести к различным результатам ввиду использования, например, в инструментальном средстве отличного (пусть даже в малой степени) алгоритма определения значений показателей от ручного алгоритма.

Субъективные методы оценивания зависят от человеческой интерпретации. Например, формулировка измеряемых метрик и показателей может вызвать у опрашиваемых неясность или непонимание и оказать влияние на их ответы. Точные и краткие указания помогают

увеличить точность опросов.

Точность процедур измерения может быть увеличена, например, гарантированием того, что:

  • неполученные данные находятся в пределах определенных пороговых значений;

  • число несоответствий в данных находится в пределах определенных пороговых значений;

  • неосуществленные измерения находятся в пределах определенных пороговых значений (например, дополнительные наблюдения за деятельностью по обеспечению ИБ);

  • выборочное использование источников свидетельств аудита не осуществляется (например, не только руководители подразделений организации опрашиваются для оценивания показателей, но и персонал или не только персонал, но и руководители подразделений организации);

  • все метрики и показатели четко определены, они сообщены и понятны поставщикам данных. Даже при четко определенных метриках и показателях поставщики данных могут предоставить неточные данные, ввиду того что им не сообщили содержание метрик и показателей или они им непонятны.

Повторяемость результатов аудита и самооценки ИБ оценивается степенью, с которой при одинаковой проверке повторное использование показателей для одного и того же объекта аудита (или самооценки), применение одного и того же метода измерений при одинаковых условиях (например, инструментальные средства, лица, проводившие измерения) дает результаты, которые могут быть признаны идентичными. При субъективных методах измерений повторяемость ниже, чем при объективных методах. Случайная ошибка измерений снижает повторяемость.

При всех одинаковых условиях повторяемость результатов проведения аудита или самооценки ИБ может быть не достигнута в том случае, если за период между проверками были реализованы и введены в действие корректирующие и превентивные меры по результатам предыдущей проверки.

Воспроизводимость результатов аудита и самооценки ИБ оценивается степенью, с которой при одинаковой проверке повторное использование показателей для одного и того же объекта аудита (или самооценки), применение одного и того же метода измерений при различных условиях (например, инструментальные средства, лица, проводившие измерения) дает результаты, которые могут быть признаны идентичными.

При субъективных методах измерений воспроизводимость ниже, чем при субъективных методах измерений. Случайная ошибка измерений снижает воспроизводимость.

При всех одинаковых условиях причиной невоспроизводимости результатов проведения аудита или самооценки ИБ может быть любая из следующих:

  • за период между проверками были реализованы и введены в действие корректирующие и превентивные меры по результатам проведена модернизация (или изменение) инструментальных средств, которая привела к изменению алгоритма определения значения показателей, не соответствующему модели оценки;

  • различный уровень компетентности лиц, проводивших проверки в разное время. Невоспроизводимость увеличивается, если уровень компетентности аудиторов одной из аудиторских групп не соответствует установленным требованиям.

1   ...   7   8   9   10   11   12   13   14   ...   17

Похожие:

Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Издательство ТулГУ
Бродовская, Е. В. Переговоры: стратегии, тактики, техники: Учебное пособие [Текст] / Е. В. Бродовская, А. А. Лаврикова. – Тула: Изд-во...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconА. В. Непомнящий Рынок ценных бумаг Учебное пособие Москва 2008
Учебное пособие предназначено для студентов вузов специальностей «Менеджмент организаций», «Бухгалтерский учёт, анализ и аудит» и«Финансы...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебно-методическое пособие Для студентов, аспирантов Таганрог 2008
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие для студентов второго образовательного уровня Таганрог 2010
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconРеферат по дисциплине «Организация обеспечения информационной безопасности» на тему
«Концепция информационной безопасности, анализ безопасности информационных систем»
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность»
Учебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность», 090105 «Комплексное...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconКонтрольные вопросы по курсу «Технические средства предприятий сервиса» (сервиса электронных систем безопасности) Глава Сущность курса «Технические средства предприятий сервиса», оборудование и технические, средства предприятий и подразделений безопасности
«Технические средства предприятий сервиса» студентам специальности «Сервис» специализация «Сервис электронных систем безопасности...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Москва 2008 удк машкин М. Н. Информационные технологии: Учебное пособие. М.: Вгна, 2008. 200 с
Учебное пособие по курсу Информационные технологии содержит учебный материал для подготовки к зачету по указанной дисциплине
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие. Таганрог: Изд-во трту, 2003
Учебное пособие cодержит описание теоретических и практических подходов к разработке и отбору инвестиционных проектов в условиях...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconН. Л. Михайлов архитектура вычислительных систем учебное пособие
Михайлов Н. Л. Архитектура вычислительных систем: Учебное пособие. – Рыбинск, ргата, 2008. – 87 с
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница