Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание




НазваниеАудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание
страница2/17
Дата30.01.2013
Размер2.05 Mb.
ТипУчебное пособие
1   2   3   4   5   6   7   8   9   ...   17

1.2. Национальные стандарты и руководства по основам аудита информационной безопасности

Среди национальных стандартов и руководств по основам аудита ИБ и самооценки соответствия ИБ установленным требованиям выделим для рассмотрения следующие документы ввиду их практической направленности:

  • GA0/AIMD-12.19.6 «Руководство по аудиту средств управления федеральных информационных систем» (Federal information system controls audit manual FISCAM);

  • NIST 800-26 «Руководство по самооценке безопасности для систем информационной технологии» (Security Self-Assessment Guide for Information Technology Systems);

  • NIST 800-55 «Руководство по метрикам безопасности для систем информационной технологии» (Security Metrics Guide for Information Technology Systems).


GAO/AIMD-12.19.6 «Руководство по аудиту средств управления федеральных информационных систем»

Документ GAO/AIMD-12.19.6 - «Руководство по аудиту средств управления информационных систем» (Federal information system controls audit федеральных manual FISCAM) является составной частью схемы формирования и предоставления отчетности Контрольно-ревизионным управлением (GA0) Конгрессу США о состоянии дел в сфере обеспечения ИБ федеральных агентств. Руководство FISCAM используется аудиторами GA0 и ревизорами в качестве методологической основы для проведения аудита средств обеспечения ИБ агентств.

Руководство предназначено для использования при проведении внешних аудитов двух типов:

  • финансового аудита (аудита финансовой отчетности федеральных агентств США);

  • аудита безопасности ИС федеральных агентств США.

При проведении ежегодного финансового аудита федеральных агентств аудиторы могут использовать методологию FISCAM для оценки достоверности данных, которые обрабатываются в ИС агентств и на основе которых формируются финансовые отчеты организаций или которые используются для анализа затрат и результатов реализации программ федеральными агентствами.

При проведении аудита безопасности ИС аудиторы могут использовать методологию FISCAM для оценки адекватности средств управления (защитных мер) в ИС агентств. В данном случае основная задача аудита этого типа — оказать федеральным агентствам помощь в работе по снижению рисков вероятных потерь, происходящих вследствие ошибок, мошенничества или иных незаконных действий, а также вследствие стихийных бедствий или других инцидентов, приводящих к недоступности ИС агентств.

Данный документ предназначен как для аудиторов ИС, так и для финансовых аудиторов, подтвердивших, что они обладают необходимыми знаниями, навыками и способностями для выполнения процедур аудита в компьютерной среде.

Руководство FISCAM рассматривает цели управления (безопасностью), реализацию которых должны проверять аудиторы при оценке компьютерных средств управления, и предоставляет примеры методов и средств управления (обеспечения ИБ), обычно используемых в федеральных агентствах, а также процедуры их аудита.

В Руководстве приводятся конкретные методы и средства управления и связанные с ними предлагаемые процедуры аудита. Однако предлагаемые процедуры аудита излагаются на высоком уровне и предполагают наличие определенного мастерства в данном вопросе для эффективного выполнения. В результате более детальные шаги аудита обычно должны разрабатываться аудитором ИС на основе конкретного программного средств управления, используемых проверяемой организацией, после консультации с финансовым аудитором о целях аудита и важных расчетах.

Методология, которая должна использоваться для оценки компьютерных средств управления, включает оценку:

  • общих средств управления на уровне организации или системы;

  • общих средств управления, относящихся к изучаемому приложению (приложениям), такому, как система платежных ведомостей или система учета кредитов;

  • прикладных средств управления, являющихся средствами управления ввода, обработки и вывода данных, связанных с индивидуальными приложениями.

Общие средства управления представляют собой политики и процедуры, относящиеся ко всем или к большей части ИС организации и помогающие обеспечивать их надлежащую деятельность.

Целями общих средств управления являются:

  • обеспечение защиты данных;

  • защита прикладного программного обеспечения;

  • предупреждение несанкционированного доступа к системному программному обеспечению;

  • обеспечение бесперебойности работы ИС в случае неожиданных нарушений.

Эффективность общих средств управления является важным фактором в определении эффективности прикладных средств управления. В данном документе рассматриваются процедуры оценки и тестирования именно общих средств управления.

При проверке компьютерных средств управления для аудита финансовой отчетности требуют решения и являются составными частями методологии следующие задачи:

  1. Определение характера и объема процедур аудита. Характер и объем процедур аудита, необходимых для оценки компьютерных средств управления, меняется в зависимости от целей аудита и ряда других факторов. К таким факторам относятся характер и

  • сложность ИС организации, среда средств управления организации и конкретные расчеты и приложения, которые важны для финансовой отчетности. Аудитор ИС и финансовый аудитор должны действовать согласованно для определения того, какая проверка необходима;

б. обеспечения и методов проверка компьютерных средств управления в аудитах финансовой отчетности.

Компьютерные средства управления должны рассматриваться на каждой из четырех стадий аудита: планирование, внутренний контроль, тестирование и составление отчета.

На каждой стадии аудита финансовой отчетности проводятся следующие

мероприятия:

стадия планирования. На стадии планирования аудитор достигает понимания компьютерных операций и средств управления организации, и соответствующих рисков;

стадия внутреннего контроля. На стадии внутреннего контроля аудиторы получают подробную информацию о политике, процедурах и целях управления и осуществляют тестирование мероприятий по управлению с целью определения эффективности действия средств управления.

Вначале аудитор тестирует общие средства управления в масштабе организации или системы путем наблюдения, наведения справок и обследования. Если данные средства управления действуют эффективно, аудитор должен протестировать и оценить эффективность общих средств управления для приложений, которые важны для аудита;

стадия тестирования. На стадии тестирования аудиторы сосредоточиваются в основном на тестировании по существу. Тесты обычно включают изучение исходной документации, поддерживающей транзакции, чтобы определить, были ли их фиксирование, обработка и сообщение надлежащими и полными. Аудитор ИС может помогать финансовым аудиторам в идентификации и выборе компьютерных транзакций для тестирования, возможно, используя аудиторское программное обеспечение;

стадия составления отчета. На стадии составления отчета аудитор делает заключения и составляет отчет в соответствии с предписаниями и законами.

Планирование является основой качественного аудита, а связанная с ИС часть — важной частью общего процесса. Планирование позволяет аудитору и руководству аудиторской группы определять эффективные и продуктивные методы получения данных, необходимых для оценки компьютерных средств управления организации. Хотя планирование относится к началу аудита, оно представляет собой итеративный процесс, выполняемый фактически на всем протяжении аудита. Это обусловлено тем, что результаты предварительных оценок являются основанием для определения объема и вида последующего тестирования.

Например, если аудиторы получают данные о том, что конкретные процедуры управления неэффективны, они могут заново оценить свои предыдущие выводы и плановые решения, принятые на основе этих выводов.

На стадии планирования аудитор:

  • достигает понимания операций организации и идентифицирует компьютерные операции, являющиеся важными для аудита;

  • оценивает свойственный риск и риск контроля;

  • выполняет предварительную оценку возможной эффективности общих средств управления;

  • идентифицирует подлежащие тестированию общие средства контроля.

На рисунках 9 и 10 изложены этапы оценки средств управления ИС при выполнении аудита финансовой отчетности агентств.








Аудиторы должны получить представление об операциях организации и идентифицировать основные операции, осущетвляемые при помощи вычислительных систем. Для облегчения работы на данной стадии и в дополнение к ней аудиторам рекомендуется пользоваться

информацией, полученной через вопросники. Руководство FISCAM содержит вопросник по исходной информации, который заполняется руководителями организации, и вопросник для пользователей, который может быть использован для получения пользовательских оценок конкретных компьютерных продуктов.

Далее аудитор оценивает свойственный риск и риск контроля, которые имеют решающее значение при определении риска аудита.

Риск аудита ИС можно представить в терминах трех компонентов риска:

    1. свойственный риск — это риск того, что информационные ресурсы или ресурсы, контролируемые ИС, могут подвергаться хищению, разрушению, раскрытию, несанкционированной модификации или другим повреждениям, предполагая, что связанные с ними средства внутреннего контроля отсутствуют;

    2. риск контроля — это риск того, что некая существенная неправильная запись в данных организации не будет предотвращена или обнаружена и своевременно исправлена внутренним контролем организации;

    3. риск необнаружения - риск того, что аудитор не обнаружит существенную неправильную запись в финансовой отчетности.

На основе уровня риска аудита и оценки свойственных рисков и рисков контроля организации аудитор определяет характер, сроки и объем основных процедур аудита, необходимых для достижения результирующего риска необнаружения. Например, в ответ на высокий уровень свойственных рисков и рисков контроля аудитор должен выполнить дополнительные процедуры аудита или более обширное тестирование по существу.

Аудитор должен:

A) идентифицировать условия, которые существенно увеличивают свойственные риски и риски контроля;

B) сделать выводы о том, не мешают ли они эффективности конкретных методов и средств управления в важных приложениях.

В связи с тем что оценка риска требует принятия важного аудиторского решения, она должна выполняться квалифицированным персоналом аудиторской группы.

Аудитор должен сделать предварительную оценку вероятной эффективности компьютерных средств управления.

Эта оценка рассматривается как часть оценки риска контроля и основывается главным образом на опросах персонала организации, включая руководителей программных менеджеров, системных администраторов, менеджеров информационных ресурсов и руководителей, отвечающих за безопасность ИС, а также на наблюдении за компьютерными операциями и на проверках документированных политик и процедур.

На основе оценок свойственных рисков и рисков контроля, включая предварительную оценку компьютерных средств управления, аудитор идентифицирует методы и средства общего управления, которые должны быть протестированы для определения их действительной эффективности.

Таким образом, планирование аудита позволяет выстроить эффективную стратегию аудита, помогает аудиторам заранее определить сильные и слабые стороны общих средств управления организации, определить объем аудита и сроки его проведения и сконцентрировать свою деятельность на важных для организации средствах управления.

Руководство FISCAM определяет шесть основных категорий общих средств управления, которые аудитор должен оценить и протестировать. К ним относятся: планирование и менеджмент программы обеспечения безопасности в масштабах организации. Эти средства управления обеспечивают структуру и постоянный цикл мероприятий для менеджмента риска, разработки политик безопасности, назначения обязанностей и мониторинга адекватности компьютерных средств управления организации; управление доступом. Эти средства управления ограничивают доступ к компьютерным ресурсам, например данным, программам, оборудованию и аппаратуре, или обнаруживают доступ к ним, защищая таким образом эти ресурсы от несанкционированной модификации, потери или раскрытия; средства управления разработкой и изменением прикладного программного обеспечения. Данные средства предотвращают использование неразрешенного ПО или несанкционированное внесение изменений в существующее ПС- системное программное обеспечение. Эти средства ограничивают доступ и осуществляют мониторинг доступа к мощным программам и чувствительным файлам, которые, во-первых, управляют аппаратными средствами компьютеров и, во-вторых, обеспечивают защиту приложений, поддерживаемых системой; разделение обязанностей.

К числу таких средств относятся политики, процедуры и организационная структура, которые обеспечивают невозможность контроля ключевых аспектов компьютерных операций одним специалистом. Следовательно, обеспечивается невозможность проведения несанкционированной деятельности или получения несанкционированного доступа к активам или записям; непрерывность обслуживания. Данные средства предназначены для обеспечения непрерывного выполнения или быстрого возобновления критических операций в случае непредвиденных событий и для защиты критичных и чувствительных данных в экстренных ситуациях. Для каждой из шести категорий общих средств управления в FISCAM определяются несколько критических элементов, представляющих собой задачи по созданию адекватных средств управления в организации.

Для каждого критического элемента приводятся соответствующие цели, риски и необходимые мероприятия, а также соответствующие методы управления и вопросы, касающиеся аудита.

Для каждого критического элемента аудитор должен сделать суммарное определение в отношении эффективности соответствующих средств управления организации. Если средства управления для одного или более критических элементов каждой категории неэффективны, то средства управления для всей категории вряд ли будут эффективными. Аудитор должен использовать профессиональное суждение, принимая такие решения.

Подробное изложение методологии процедур аудита, представленной в табличной форме, пригодно к использованию как для предварительной, так и для более детальной основной оценки общих средств управления данной категории. Для каждого критического элемента приводится таблица, в которую сведены мероприятия по управлению, соответствующие определенному критическому элементу, методы управления (защитные меры) и процедуры их аудита.

Предлагаемый подход значительно облегчает процесс оценки, но требует от аудитора соответствующей квалификации и четкого понимания поставленных задач. В FISCAM приводится перечень знаний, навыков и способностей, которые необходимы аудитору для эффективного выполнения процедур аудита в компьютерной среде для аудита финансовой отчетности. Отмечается, что не требуется, чтобы каждый член аудиторской группы обладал всеми перечисленными знаниями, навыками и способностями. Однако в целом аудиторская группа обязана иметь указанные знания, навыки и способности, чтобы адекватно планировать аудит, проводить оценку компьютерных средств управления, тестировать средства управления, определять их влияние на общий план аудита, вырабатывать выводы и рекомендации и отражать их в отчете.

После окончания процедуры аудита финансовый аудитор делает заключение и составляет отчет относительно финансового отчета проверяемой организации, относительно заявлений руководства организации по внутренним средствам управления и относительно соответствия организации действующим законам и регламентам. Что касается внутренних средств управления, аудитор делает заключение о соответствующих заявлениях руководства организации, в котором он определяет степень достаточности реализованных средств управления в организации в контексте достижения следующих целей управления (безопасности):

  • активы должны быть защищены от потерь, которые могут возникнуть из-за их несанкционированного владения, использования или размещения;

  • транзакции должны выполняться в соответствии с предписаниями бюджетного органа, а также законами и регламентами, проверенными аудитором;

  • транзакции должны надлежащим образом регистрироваться, обрабатываться и суммироваться с целью обеспечения возможности подготовки финансовой отчетности и поддержки ответственности за активы.

На основе оценок внутренних средств управления аудитор формирует заключение об эффективности средств управления организации в отношении ИБ. Следует обратить внимание на то, что финансовые аудиторы должны тесно работать с аудиторами ИС при оценке результатов аудита и выработке заключения относительно заявлений руководства организации. Это позволит адекватно интерпретировать и отразить в отчете результаты оценки средств управления вычислительных систем организации.

На каждой стадии аудита аудитором могут быть идентифицированы недостатки. Аудитор должен определить степень существенности недостатков и указать причины, вызывающие недостатки, и корректирующие меры. Сведения о недостатках и других подлежащих сообщению обстоятельствах документируются аудитором в отчете по аудиту и передаются высшему руководству организации.

По результатам рассмотрения данного документа можно сделать вывод, что методология, методы и средства управления, а также процедуры их аудита, предлагаемые в FISCAM, могут быть полезными источниками при разработке нормативных и методических документов, касающихся проведения аудита ИБ в организациях банковской системы Российской Федерации.

1   2   3   4   5   6   7   8   9   ...   17

Похожие:

Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Издательство ТулГУ
Бродовская, Е. В. Переговоры: стратегии, тактики, техники: Учебное пособие [Текст] / Е. В. Бродовская, А. А. Лаврикова. – Тула: Изд-во...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconА. В. Непомнящий Рынок ценных бумаг Учебное пособие Москва 2008
Учебное пособие предназначено для студентов вузов специальностей «Менеджмент организаций», «Бухгалтерский учёт, анализ и аудит» и«Финансы...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебно-методическое пособие Для студентов, аспирантов Таганрог 2008
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие для студентов второго образовательного уровня Таганрог 2010
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconРеферат по дисциплине «Организация обеспечения информационной безопасности» на тему
«Концепция информационной безопасности, анализ безопасности информационных систем»
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность»
Учебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность», 090105 «Комплексное...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconКонтрольные вопросы по курсу «Технические средства предприятий сервиса» (сервиса электронных систем безопасности) Глава Сущность курса «Технические средства предприятий сервиса», оборудование и технические, средства предприятий и подразделений безопасности
«Технические средства предприятий сервиса» студентам специальности «Сервис» специализация «Сервис электронных систем безопасности...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Москва 2008 удк машкин М. Н. Информационные технологии: Учебное пособие. М.: Вгна, 2008. 200 с
Учебное пособие по курсу Информационные технологии содержит учебный материал для подготовки к зачету по указанной дисциплине
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие. Таганрог: Изд-во трту, 2003
Учебное пособие cодержит описание теоретических и практических подходов к разработке и отбору инвестиционных проектов в условиях...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconН. Л. Михайлов архитектура вычислительных систем учебное пособие
Михайлов Н. Л. Архитектура вычислительных систем: Учебное пособие. – Рыбинск, ргата, 2008. – 87 с
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница