Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание




НазваниеАудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание
страница16/17
Дата30.01.2013
Размер2.05 Mb.
ТипУчебное пособие
1   ...   9   10   11   12   13   14   15   16   17

Аудит и доверие информационной безопасности

Информационная безопасность — один из видов безопасности, определяется с учетом и через «состояние защищенности», неявно адресуя нас к категориям психологии, в частности уверенности и доверия в безопасности. Эта уверенность ориентирована на социум — человека или группу лиц, ожидающих или же стремящихся достичь некоторых целей и предпринимающих в этой связи некие действия.

В комментарии для международного бизнеса Консультативного комитета Организации по экономическому сотрудничеству и развитию (ОЭСР) по предпринимательству и промышленности и Международной торговой палаты «Доверие информационной безопасности для руководящих работников» по директивам ОЭСР от 2002 г. по безопасности сетей и информационных систем, относящимся к культуре безопасности, отмечается: «Весь бизнес представляет собой вопрос доверия. Доверие может развиться только в том случае, когда участники сделки ощущают надежность и безопасность».

Наша уверенность может базироваться только на знаниях относительно некоторого объекта (системы, процесса — объекта доверия), получаемых и накапливаемых или же в результате наблюдений, или же в результате специально предпринимаемых мер как самостоятельно, так и с привлечением других сторон. Отмеченные комментарии ОЭСР и Международной торговой палаты, например, были выпущены в целях повышения осведомленности (накопления знаний) в деловых кругах о широком спектре рисков информационной безопасности, связанных в данном случае с использованием Интернета и электронной торговли, а также осознания решений, мер, практических приемов и политик, которые могут способствовать минимизации этих рисков. Эти знания были получены в течение многих лет многими организациями и странами и были обобщены в едином высокоуровневом документе.

Приведенные в комментарии дают общее представление о содержании решений, мер, практических приемов и политик, среди которых представлены оценочные меры. Оценочные меры позволяют получить знания, необходимые нам для формирования ощущения уверенности.

Уверенность осознается посредством пересмотра данных доверия, полученных в результате процессов оценивания и мероприятий во время разработки, развертывания и действия, и в результате опыта по реальному использованию объекта доверия. Любые мероприятия, которые могут уменьшить неопределенность путем представления данных, свидетельствующих о правильности, эффективности и качестве атрибутов (например, свойств) объекта доверия, формируют основу доверия безопасности.

Существует много методов доверия, ориентированных на различные сущности или их совокупности, например применительно к системе (организации) в целом, продукции, процессам ее производства, но лишь ограниченное их количество предназначено для безопасности. В то же время прямо не относящиеся к безопасности методы доверия, такие, например, как сертификация системы менеджмента качества организации по ISO 9000, могут оказать содействие в формировании доверия безопасности.

При этом является важным, знаем ли мы изначально, насколько тот или иной существующий метод доверия имеет отношение (прямое или косвенное) к области безопасности.

Если исходить из предпосылок, что безопасность — это в первую очередь стремление к порядку (роли и ответственности, права и обязанности), то, учитывая малое число существующих специфичных для безопасности методов (стандартов, относящихся к обеспечению безопасности на различных стадиях жизненного цикла систем, процессов, продукции, доверия к персоналу и т.д.), каждый из существующих методов доверия привносит свой вклад в уверенность в безопасности. Все, что может быть использовано для создания аргументации для уверенности в безопасности и уменьшения в связи с этим неопределенности (риска), имеет большое значение.

Например, несмотря на то что ISO 9000 является стандартом доверия к качеству, первоначально разработанному для промышленных организаций, он также содержит элементы доверия к процессу, применимому, например, для программного обеспечения и, по существу, для программных продуктов и систем безопасности. В сравнении с этим SSE-CMM является методом доверия безопасности. Этот метод формирует данные доверия, оценивая процессы проектирования безопасности в организации, а не непосредственно объект доверия, например системы.

Все отмеченные факторы оказывают влияние на формирование доверия безопасности и, в частности, на выбор метрик — методов измерений/оценки. Аудиты (внутренние/внешние), как и другие направления оценивания информационной безопасности, предназначены обеспечить свидетельства в реализации заявленных требований или целей безопасности, что, в свою очередь, направлено на формирование уверенности в безопасности.

Например, внутренние аудиты систем менеджмента информационной безопасности являются в соответствии с составной частью процессов, реализуемых на стадии проверки цикла PDCA СМИБ.

Результаты аудиторских проверок используются в качестве одного из видов входной информации для процессов анализа СМИБ руководством, осуществляемого с целью обеспечения контроля адекватности и эффективности СМИБ.

Отсюда очевидно, что весьма важными являются следующие вопросы:

  • насколько достоверными являются результаты аудита?

  • насколько результаты аудита адекватны реальному состоянию дел?

  • насколько результаты аудита позволяют оценить степень достижения целей информационной безопасности организацией и влияния информационной безопасности на бизнес-цели организации?

Первая группа вопросов связана с качеством методики проведения аудита, квалификацией и опытом аудиторов, степенью достоверности представляемых в процессе аудита свидетельств, т.е. теми аспектами, которые определяют отношение заинтересованной стороны к результатам аудита информационной безопасности. Методика ведения аудита, как правило, является «ноу-хау» аудиторской организации, аудитора, т.е. в конечном счете все сводится к уровню способности аудиторской организации к данному виду деятельности.

Данные аспекты регулируются во всех сферах аудиторской деятельности либо на правовом уровне, либо на уровне стандартов.

Так, в Федеральном законе «Об аудиторской деятельности» установлены особые положения об аудиторе и аудиторской организации, их независимости, их ответственности за заведомо ложное аудиторское заключение, контроле качества работы аудиторских организаций и индивидуальных аудиторов. Особо оговорены процедура аттестации физических лиц на право осуществления аудиторской деятельности и процедура лицензирования аудиторской деятельности. Законом предусмотрен также уполномоченный федеральный орган государственного регулирования аудиторской деятельности, одними из основных функций которого являются организация системы надзора за соблюдением аудиторскими организациями и индивидуальными аудиторами лицензионных требований и условий и контроль за соблюдением аудиторскими организациями и индивидуальными аудиторами федеральных правил (стандартов) аудиторской деятельности. В ГОСТ Р ИСО 19011 основным содержанием являются вопросы проведения аудита, а также компетентности и оценки аудиторов.

Вторая группа вопросов связана с обеспечением полноты проверки, проверяемых материалов, т.е. с программой аудита, что в конечном итоге позволяет создать уверенность в достижении целей аудита безопасности. Эти обстоятельства также регулируются во всех сферах аудиторской деятельности либо на правовом уровне, либо на уровне стандартов. Законом «Об аудиторской деятельности» аудитору предоставляются права проверять в полном объеме документацию, связанную с финансово-хозяйственной деятельностью аудируемого лица, а также фактическое наличие любого имущества, учтенного в этой документации, получать у должностных лиц аудируемого лица разъяснения в устной и письменной формах по возникшим в ходе аудиторской

проверки вопросам вплоть до права отказаться от проведения аудиторской проверки или от выражения своего мнения о достоверности финансовой (бухгалтерской) отчетности в аудиторском заключении в случае непредставления аудируемым лицом всей необходимой документации. ГОСТ Р ИСО 19011 содержит целый раздел, в котором описывается процесс управления программой аудита. Особо оговариваются цели и объем программы аудита, оговаривается ответственность за программу аудита, описываются необходимые ресурсы и процедуры, излагаются положения по внедрению программы аудита, устанавливаются требования к записям по программе аудита, раскрываются положения по мониторингу и анализу программы аудита.

Третья группа вопросов связана с принципиальной возможностью разрешения с помощью аудита проблемы обеспечения видимости состояния защищенности организации от угроз в информационной сфере, т.е. информационной безопасности, и ее вклада в достижение главных целей деятельности любой организации. В конечном итоге — это вопрос о формировании уверенности в достижении целей информационной безопасности.

Решение вопроса об обеспечении уверенности в достижении системой менеджмента в любой сфере предметной деятельности своих целей является неотъемлемой частью цикла PDCA. К сожалению, в международном стандарте IS0/IEC 27001: 2005 , несмотря на близость его происхождения к методологии стандарта ИСО 9000: 2000, вопрос этот по сравнению с «родственником» проработан недостаточно ясно.

Если следовать методологии, использованной при разработке словаря в ГОСТ Р ИСО 9000 (аутентичном тексту международного стандарта ISO 9000-2000), то целями деятельности в рамках стадии проверки цикла PDCA СМИ Б можно было бы определить «часть менеджмента информационной безопасности, направленную на создание уверенности в том, что требования к информационной безопасности будут выполнены».

Как ни странно, но ИСО в своей деятельности давно выделило этот вопрос в особое направление — обеспечение доверия к информационной безопасности. В рамках этого направления разрабатывается документ IS0/IEC 15443 «Information technology — Security techniques — A framework for IT security assurance». Документ предназначен дать общий подход к формированию уверенности относительно тех или иных объектов доверия, включая краткий обзор, как специфичных методов доверия безопасности и др.,

так и иных, дающих дополнительные недостающие свидетельства и др.

При этом целесообразно различать уверенность (доверие) правильности и уверенность (доверие) эффективности. Доверие правильности относится к оцениванию некоторого объекта доверия, чтобы проверить правильность реализации требований, примером такого оценивания является оценка соответствия, включая аудит, системы менеджмента информационной безопасности организации требованиям международного стандарта IS0/IEC 27001.

Доверие эффективности относится к возможностям функций (процессов) безопасности объекта доверия, например, на уровне организации, противостояния воспринимаемым или идентифицированным угрозам безопасности, включая адаптацию к изменениям как внутри, так и во вне организации. Подходы к такой оценке рассмотрены в п. 3.3.2.

На практике из всего отмеченного следует, что целесообразна комбинация определенных мер доверия к безопасности, где есть место и мерам оценки правильности (оценки соответствия требованиям), и мерам оценки эффективности (результативности и зрелости, например, для того, чтобы измерить степень их возможности процессов к самосовершенствованию и развитию).

Следует отметить и еще один важный аспект. Доверие способствует уменьшению риска: доверие уменьшает неопределенность, связанную с уязвимостями объекта доверия, ведя к снижению общего риска (за счет более точного прогноза), связанного с объектом доверия. При этом доверие не добавляет никаких дополнительных защитных мер, чтобы противостоять риску, связанному с безопасностью, скорее, мероприятия доверия пытаются доказать, что объект доверия соответствует своим целям безопасности. Это включает формирование соответствующих свидетельств доверия и логических обоснований, чтобы дать уверенность, что уже реализованные защитные меры уменьшат ожидаемый (прогнозируемый) риск.

Возможная обобщенная логическая модель обеспечения доверия к информационной безопасности, построенная на основе методологии документа IS0/IEC 15443, приведена на рисунке 31.




Здесь под объектом доверия понимается защитная мера информационной безопасности, система, услуга, процесс или фактор среды (т.е. персонал, организация). Уверенность понимается как убеждение в том, что объект доверия будет действовать ожидаемым или заявленным образом (т.е. должным образом, реализуя в полной мере политику безопасности, обеспечивая эффективность). В целом мера доверия — это процесс или мероприятие метода доверия, само по себе признанное (в рамкахнекоторого сообщества) приносящим воспроизводимые результаты.

Под доказательством доверия понимается совокупность структурированных заявлений (утверждений) о доверии, подкрепленных свидетельством доверия и обоснованием, которые четко показывают, каким образом удовлетворены потребности доверия. Критерии доверия здесь необходимо понимать как критерии, отражающие соответствие объекта доверия степени уверенности в нем со стороны заинтересованного лица. В соответствии с документом IS0/IEC 15443 уровень обеспечения доверия — это требуемое и(или) оцененное значение, определяемое согласно некоторой шкале, использованной методом обеспечения доверия. При этом уровень обеспечения доверия объекта доверия может измеряться неколичественной мерой, а усилиями, затраченными на выполнение деятельности.

Относительно понятия «стадия доверия» в документе ИСО определено, что это стадия жизненного цикла объекта доверия, в отношении которой используется определенный метод обеспечения доверия. При этом уверенность в объекте доверия основывается на результатах применения методов обеспечения доверия на всем жизненном цикле объекта доверия. Под методом обеспечения доверия понимается общепризнанная спецификация, например стандарт, предназначенная для получения воспроизводимых результатов доверия, а в свою очередь результаты обеспечения доверия — это документированные количественные или качественные формулировки в отношении объекта доверия, например аудиторское заключение, отчет об оценке.

Два документа ИСО IS0/IEC 15443 и IS0/IEC 21827 однозначно определяют понятие «свидетельство доверия» как результаты обеспечения доверия или любые элементы, созданные в результате деятельности, направленной на обеспечение/достижение уверенности, включая отчеты (обоснования), которые используются для поддержки заявления (утверждения) о доверии. Свидетельство может состоять из результатов наблюдения, результатов тестов, результатов анализа и оценочных документов. Под заявлением о доверии необходимо понимать утверждение или поддерживающее утверждение о том, что объект доверия удовлетворяет потребностям безопасности. При этом заявления могут осуществляться как относительно непосредственных угроз (например, утверждение о том, что обеспечивается защита системных данных от атак, осуществляемых посторонними лицами), так и относительно косвенных угроз (например, утверждение о том, что текст программ операционной системы обладает минимальными

дефектами). Орган доверия здесь — это лицо, организационная структура или организация (социум), обладающее полномочиями принимать решения относительно доверия, связанного с объектом доверия, которые, в конечном счете, приводят к вселению уверенности в объекте доверия. При этом решения могут приниматься относительно выбора методов доверия, спецификации требований доверия, принятия доверия и реализации мер обеспечения доверия, а в некоторых системах (оценки или доверия) или организациях термин «орган доверия» может изменяться, например, на «орган оценки».

Даже из краткого описания упрощенной модели обеспечения доверия к информационной безопасности становится очевидно, что в изложении IS0/IEC 15443 система обеспечения доверия

информационной безопасности, а тем более на уровне организации, — это целая совокупность организационной структуры и упорядоченных процессов, в рамках которой аудит информационной безопасности является одним из значимых компонентов.

Поэтому его назначение, процедура проведения, роль и т.д. должны рассматриваться именно с позиций обеспечения доверия к информационной безопасности, а вся соответствующая стадия жизни СМИБ — проверка должна быть выстроена не в виде разрозненной совокупности процессов как в IS0/IEC 27001: 2005, а как полноценная и полноразмерная система обеспечения доверия к информационной безопасности, о чем авторы и надеются рассказать в следующей книге.

1   ...   9   10   11   12   13   14   15   16   17

Похожие:

Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Издательство ТулГУ
Бродовская, Е. В. Переговоры: стратегии, тактики, техники: Учебное пособие [Текст] / Е. В. Бродовская, А. А. Лаврикова. – Тула: Изд-во...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconА. В. Непомнящий Рынок ценных бумаг Учебное пособие Москва 2008
Учебное пособие предназначено для студентов вузов специальностей «Менеджмент организаций», «Бухгалтерский учёт, анализ и аудит» и«Финансы...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебно-методическое пособие Для студентов, аспирантов Таганрог 2008
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие для студентов второго образовательного уровня Таганрог 2010
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconРеферат по дисциплине «Организация обеспечения информационной безопасности» на тему
«Концепция информационной безопасности, анализ безопасности информационных систем»
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность»
Учебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность», 090105 «Комплексное...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconКонтрольные вопросы по курсу «Технические средства предприятий сервиса» (сервиса электронных систем безопасности) Глава Сущность курса «Технические средства предприятий сервиса», оборудование и технические, средства предприятий и подразделений безопасности
«Технические средства предприятий сервиса» студентам специальности «Сервис» специализация «Сервис электронных систем безопасности...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Москва 2008 удк машкин М. Н. Информационные технологии: Учебное пособие. М.: Вгна, 2008. 200 с
Учебное пособие по курсу Информационные технологии содержит учебный материал для подготовки к зачету по указанной дисциплине
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие. Таганрог: Изд-во трту, 2003
Учебное пособие cодержит описание теоретических и практических подходов к разработке и отбору инвестиционных проектов в условиях...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconН. Л. Михайлов архитектура вычислительных систем учебное пособие
Михайлов Н. Л. Архитектура вычислительных систем: Учебное пособие. – Рыбинск, ргата, 2008. – 87 с
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница