Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание




НазваниеАудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание
страница15/17
Дата30.01.2013
Размер2.05 Mb.
ТипУчебное пособие
1   ...   9   10   11   12   13   14   15   16   17

5.2.7. Заключительные процедуры аудита

По результатам аудита разрабатывается отчет руководству по областям, требующим улучшения, если таковые имеются. Это включает в себя указание недостатков и рекомендации по совершенствованию существующих организационных и технических мер (т.е. рекомендации по

устранению недостатков). Такие рекомендации должны быть специфичными/конкретными и реалистичными/практичными, при этом стоимость разрабатываемого решения (время и деньги) не должна превышать возможные последствия реализации указанного риска.

Соответственно часть рисков вследствие незначительности негативных последствий их реализации можно принять. Однако в любом случае только руководство организации может принять решение о внедрении того или иного контроля или же принятии риска.

План корректирующих мер должен включать в себя указание лиц, ответственных за реализацию конкретного действия (внедрение конкретного контроля), а также приоритет и реалистичные сроки для внедрения такого решения.

В первую очередь рекомендуется внедрять те контроли, которые не требуют серьезных инвестиций и нацелены на компенсирование критичных недостатков (например, изменение настройки системы может быть реализовано достаточно быстро и без серьезных инвестиций).


5.3. Особенности аудита информационной безопасности организаций, использующих аутсорсинг

В настоящее время использование аутсорсинга является достаточно распространенной практикой. Причины для передачи ряда ресурсов и процессов на поддержку и исполнение сторонними организациями могут быть разные - вывод непрофильных операций, стремление уменьшить операционные расходы, снижение зависимости от ключевого персонала и т.п.

Однако компании не просто передают в сторонние организации персонал, данные, технологии — они теряют частичный контроль над ресурсами и процессами, переданными в аутсорсинг, «приобретая» при этом дополнительные риски.

Появление новых рисков можно рассмотреть на примере передачи функций поддержки интернет-сайта в хостинговую организацию.

Несмотря на то что компания может уделять серьезное внимание вопросам обеспечения своей информационной безопасности, зачастую возникает ситуация, когда она не может гарантировать такой же (или больший) уровень безопасности для информации, размещаемой на интернет-серверах, техническое управление которыми осуществляется третьей стороной. Как при этом убедиться в сохранности критичной информации и ограничении доступа к ней? Достаточно ли сил и средств уделяет аутсорсинговая организация защите ресурсов именно вашей компании? Достаточно ли компетентен ее персонал по вопросам информационной безопасности? Каким образом ваша компания будет проинформирована (и будет ли вообще) о сбоях и нарушениях требований по обеспечению доступности, целостности и конфиденциальности информации, которая передана на аутсорсинг?

Вопросов возникает очень много, и, для того чтобы ответить на них, зачастую необходимо проводить специализированные проверки (аудит), по результатам которых и внедряются соответствующие меры контроля.

Необходимо отметить, что в международной практике вопросам контроля процессов и ресурсов, переданных в аутсорсинг, уделяется достаточно серьезное внимание. Например, для случаев использования сторонних услуг, связанных с использованием информационных или интернет-систем, существуют специализированные критерии/принципы оценки (например, SysTrust и WebTrust — проекты типа Trust Services).

Данные критерии служат базой для определения требований к системам контроля за информационными системами (SysTrust) и интернет-решениями (WebTrust) по следующим аспектам:

  • безопасность (система защищена от неавторизованного физического и логического доступа);

  • доступность (система доступна для операционного использования согласно договоренности);

  • целостность обработки (система обрабатывает данные полностью, аккуратно, вовремя и в соответствии с авторизацией);

  • конфиденциальность (информация, определенная как «конфиденциальная», защищается согласно договоренности);

  • онлайновая защита персональных данных (персональная информация, полученная в результате интернет-операций, собирается, используется, раскрывается и хранится согласно договоренности) (применимо только для услуг WebTrust).

В настоящее время практически все передовые методологии, последние стандарты и нормативные акты в области управления ИТ и информационной безопасностью (включая C0BIT-4.0 и IS0/IEC 17799) так или иначе регулируют вопросы, связанные с аутсорсингом.

Проведение соответствующего анализа рисков и контролей при использовании аутсорсинга становится особенно актуальным, если переданные функции/ресурсы поддерживают критичные области деятельности организаций.

Например, в секции 404 Закона Сарбейнса—Оксли (или S0X-404) говорится, что если компания использует сторонние организации для целей обработки или хранения данных (или предоставления других услуг), которые так или иначе могут повлиять на формирование финансовой отчетности или соответствие законодательным нормам, или предотвращение случаев мошенничества, то руководство компании должно соответствующим образом оценивать адекватность системы контроля поставщика надданными ресурсами/услугами.

При этом оценка контроля проводится по всем пяти областям контроля COSO (the committee of sponsoring organizations of the treadway commission):

  • контрольная среда и нравственный климат (control environment);

  • оценка риска (risk assessment);

  • мероприятия контроля (control activities);

  • сбор и анализ информации и передача ее по назначению (information and communication);

  • мониторинг и исправление ошибок (monitoring).

Необходимо отметить, что возможны два основных варианта получения такой оценки: компания сама проводит соответствующий обзор или же поставщик привлекает независимого аудитора для проведения оценки по критериям SAS-70 (SAS-70 регулирует вопросы оценки системы контролей сервисных организаций).

В случаях когда оценка по SAS-70 не проводится, сервисная организация должна быть готова соответствующим образом отвечать на все запросы ее клиентов относительно контролей по вышеперечисленным областям.

Термин «аутсорсинг» можно определить как «формальное соглашение между сторонами о выполнении сторонней организацией на регулярной основе определенных бизнес-функций».

Поэтому можно выделить следующие основные аспекты, рассматриваемые при аудите

вопросов, связанных с использованием аутсорсинга:

  • перечень услуг и функций, переданных в аутсорсинг;

  • требования по обеспечению требуемого уровня услуг;

  • требования по обеспечению физической и логической безопасности;

  • требования к поставщику услуг;

  • процедуры взаимодействия компании с поставщиком услуг;

  • юридические аспекты (содержание и полнота контракта).

Перечень областей охвата получается достаточно широкий, что и необходимо учитывать при планировании аудита информационной безопасности организаций, использующих аутсорсинг. Для таких случаев особенно важно правильно распределить задачи между специалистами по информационной безопасности, специалистами, обладающими юридическими знаниями (область особого внимания), специалистами, обладающими опытом работы с компаниями-поставщиками услуг, а также специалистами, обладающими базовыми знаниями в области управления непрерывностью бизнеса и кризис-менеджмента (естественно, возможны ситуации, когда такими знаниями обладает один человек).

Перечень тем, которые рекомендуется рассматривать и учитывать при аудите вопросов, связанных с аутсорсингом, приведен ниже. При этом необходимо отметить, что вопросы эффективности и

оптимизации аутсорсинговых услуг в данной статье не рассматриваются.

Перечень услуг и функций, переданных в аутсорсинг При проведении аудита необходимо определить, какие именно ресурсы и бизнес-процессы были переданы на аутсорсинг сторонней

организации, какова их критичность (как для самой компании, так и для целей аудита). Договор со сторонней организацией должен включать детальное описание услуг, предоставляемых аутсорсинговой организацией по данному соглашению. Очевидно, что не все может бытьпередано в аутсорсинг, например принятие управленческих решений должно оставаться за руководством компании.

Перед окончательным решением по передаче ресурсов и процессов на аутсорсинг должна быть проведена соответствующая формальная оценка рисков.

Требования по обеспечению требуемого уровня услуг «Хорошая практика» рекомендует компаниям разработать и внедрить формальную политику и процедуры по управлению рисками

аутсорсинга. Соответственно в компании должны быть внедрены формальные процедуры регулярного контроля процессов, переданных в аутсорсинг.

Любой договор по аутсорсингу должен определять параметры качества по каждому виду услуг, т.е. параметры, которые исполнитель гарантирует выполнить в рамках договора в соответствии с

утвержденным уровнем сервиса (service level agreement — SLA), и соответственно перечень методов и средств их контроля.

Пример таких параметров может включать:

  • параметры каналов связи (серверов и т.п.);

  • период доступности B4x7x365 и т.п.);

  • максимальное время и количество внеплановых простоев (в течение года, квартала или месяца);

  • максимальное время и количество плановых простоев (например, необходимые для профилактики).

Требования по обеспечению физической и логической безопасности

В настоящее время любой договор содержит отдельное положение по обеспечению конфиденциальности информации. Тем не менее, исходя из практики аудита, можно сказать, что вопросы детальных механизмов обеспечения физической и логической защиты данных не всегда проговариваются в таких соглашениях. Например, вопросы обеспечения физической безопасности в рамках договора могут включать основные положения по:

  • ограничению физического доступа на площадки, где расположено оборудование компании;

  • защите от отключения электроснабжения;

  • защите от отключения каналов связи;

  • защите от пожаров;

  • защите от затоплений;

  • защите от внешних воздействий и природных факторов;

  • защите от техногенных катастроф.

Описание механизмов контроля логического доступа к информационным системам могут включать требования по:

  • использованию мер идентификации, аутентификации, авторизации;

  • ограничению и разграничению доступа (в том числе для сотрудников исполнителя);

  • использованию антивирусной защиты;

  • использованию межсетевого экранирования;

  • использованию системы обнаружения и предотвращения вторжений;

  • использованию криптографической защиты;

  • обеспечению конфиденциальности информации клиента.

Требования к поставщику услуг Вопросам выбора поставщика решений и услуг традиционно уделяется большое внимание. Существует достаточно много подходов, рекомендаций, опросников и т.п. по проведению тендеров и выбору поставщика аутсорсинговых услуг.

Ниже приведены лишь некоторые из наиболее значимых аспектов такого выбора:

  • соблюдение внутренних политик и процедур проведения тендера по выбору поставщика услуг;

  • надежность/стабильность поставщика;

  • что это за организация;

  • будет ли она доступна для заказчика, когда это потребуется;

  • каково ее финансовое положение);

  • имеет ли исполнитель внедренный план непрерывности бизнеса на случай возникновения внештатных ситуаций и сбоев (является одним из основополагающих требований);

  • насколько квалифицирован персонал исполнителя; насколько этот персонал способен принимать решения в рамках договора;

  • помещения исполнителя (насколько соответствуют требованиям заказчика; насколько защищены от физических и технологических факторов;

  • подвержены ли данные площади тем же рискам, что и основные площадки заказчика);

  • страхует ли исполнитель свои активы и свою профессиональную деятельность.

Процедуры взаимодействия компании с поставщиком услуг Договор должен определять механизмы взаимодействия сторон как с точки зрения обеспечения надлежащего качества услуг, так и взаимодействия в нештатных ситуациях.

При аудите данных вопросов рекомендуется рассматривать следующие моменты:

  • порядок обработки запросов клиента, время отклика на запрос, время устранения сбоев, процедуры эскалации в особых случаях;

  • отчетность исполнителя перед клиентом:

    • периодичность и вид предоставляемых отчетных документов;

    • ключевые моменты/параметры отчетности;

  • порядок допуска представителей клиента (технический персонал, внутренние и внешние аудиторы, третьи лица) в помещения исполнителя:

    • формирование списков доступа и порядок их изменения;

    • перечень идентификационных данных, требуемых при доступе;

    • выдача ключей от помещений, карт доступа и т.п;

  • процедуры внесения изменений и обновлений в системы;

  • процедуры уведомления в случае нештатных ситуаций, действия во внештатных ситуациях;

  • форс-мажор:

    • обстоятельства, признаваемые форс-мажором;

    • порядок оповещения и взаимодействия сторон в случае форс-мажора;

  • порядок разрешения спорных ситуаций.

  • Юридические аспекты (содержание и полнота контракта) У каждой организации существуют свои требования к заключаемым договорам и соответственно к аспектам, которые должны быть обязательно отражены и регламентированы. Каждая организация также самостоятельно определяет и находит компромисс по стоимости услуг по каждому виду аутсорсингового сервиса, а также по порядку расчетов. Основные вопросы, которые рекомендуется регулировать в рамках договора на аутсорсинг и соответственно принимать во внимание при проведении аудита, перечислены ниже (вопросы формирования цены не рассматриваются в рамках данной статьи):

  • срок действия такого договора и процедуры его пролонгации на следующий период;

  • процедуры внесения изменений, включая наличие возможности добавления новых услуг или расширения существующих;

  • перечень изменений, вносимых в одностороннем порядке без согласования с клиентом (например, исполнитель вводит дополнительные механизма защиты);

  • двусторонняя ответственность за нарушение договора;

  • порядок и условия расторжения договора (в случае двустороннего и одностороннего расторжения);

  • порядок и период обеспечения конфиденциальности информации;

  • действия, совершаемые исполнителем при расторжении договора:

    • передача всех информационных ресурсов и данных клиенту;

    • уничтожение резервных копий и архивов;

    • помощь в миграции;

  • соблюдение вопросов лицензирования, авторских прав и интеллектуальной собственности.

Отметим, что вышеперечисленные критерии/вопросы не являются исчерпывающими и в то же время догмой. Ведь в любом случае все невозможно предвидеть и зарегулировать, поэтому между двумя организациями должна существовать определенная доля доверия. Тем не менее, правильно адресовав риски, можно намного упростить жизнь своей организации. А выявить эти риски как раз и поможет аудит.

1   ...   9   10   11   12   13   14   15   16   17

Похожие:

Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Издательство ТулГУ
Бродовская, Е. В. Переговоры: стратегии, тактики, техники: Учебное пособие [Текст] / Е. В. Бродовская, А. А. Лаврикова. – Тула: Изд-во...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconА. В. Непомнящий Рынок ценных бумаг Учебное пособие Москва 2008
Учебное пособие предназначено для студентов вузов специальностей «Менеджмент организаций», «Бухгалтерский учёт, анализ и аудит» и«Финансы...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебно-методическое пособие Для студентов, аспирантов Таганрог 2008
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие для студентов второго образовательного уровня Таганрог 2010
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconРеферат по дисциплине «Организация обеспечения информационной безопасности» на тему
«Концепция информационной безопасности, анализ безопасности информационных систем»
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность»
Учебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность», 090105 «Комплексное...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconКонтрольные вопросы по курсу «Технические средства предприятий сервиса» (сервиса электронных систем безопасности) Глава Сущность курса «Технические средства предприятий сервиса», оборудование и технические, средства предприятий и подразделений безопасности
«Технические средства предприятий сервиса» студентам специальности «Сервис» специализация «Сервис электронных систем безопасности...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Москва 2008 удк машкин М. Н. Информационные технологии: Учебное пособие. М.: Вгна, 2008. 200 с
Учебное пособие по курсу Информационные технологии содержит учебный материал для подготовки к зачету по указанной дисциплине
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие. Таганрог: Изд-во трту, 2003
Учебное пособие cодержит описание теоретических и практических подходов к разработке и отбору инвестиционных проектов в условиях...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconН. Л. Михайлов архитектура вычислительных систем учебное пособие
Михайлов Н. Л. Архитектура вычислительных систем: Учебное пособие. – Рыбинск, ргата, 2008. – 87 с
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница