Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание




НазваниеАудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание
страница5/17
Дата30.01.2013
Размер2.05 Mb.
ТипУчебное пособие
1   2   3   4   5   6   7   8   9   ...   17

3.2. Осознание м менеджмент аудита информационной безопасности

Система обеспечения информационной безопасности — совокупность процессов

осознания и менеджмента информационной безопасности

Являясь вспомогательной деятельностью в организации, обеспечение информационной безопасности включает реализацию и поддержку процессов осознания ИБ и процессов менеджмента ИБ. Стратегия обеспечения ИБ организации заключается в развертывании, эксплуатации и совершенствовании системы менеджмента ИБ (СМИБ) организации, включающей процессы менеджмента ИБ и стимулируемой и управляемой процессами осознания ИБ.

Осознание ИБ организации — это понимание организацией необходимости самостоятельно на основе принятых в ней ценностей и накопленных знаний формировать и учитывать в рамках основной деятельности (бизнеса) прогноз результатов от деятельности по обеспечению ИБ, а также поддерживать эту деятельность адекватно прогнозу. Осознание ИБ является внутренним побудительным мотивом организации инициировать и поддерживать деятельность по менеджменту ИБ.

Процессы осознания ИБ заключаются в анализе проблем ИБ, влияющих на достижение целей бизнеса (деятельности) организации, и определении потребности организации в ИБ с целью принятия решений по инициированию и поддержке процессов менеджмента ИБ.

Значение осознания и участия высшего руководства в решении проблем безопасности информационных технологий подчеркивается в докладе The White House The National Strategy to Secure Cyberspace B003г.), где среди пяти важнейших приоритетов для безопасности киберпространства определена национальная программа обучения и повышения осознания безопасности киберпространства.

Базельский комитет по банковскому надзору выпустил принципы под названием Risk Management Principles for Electronic Banking1. Хотя семь из четырнадцати описанных в документе принципов и практических приемов относятся к средствам управления безопасностью.

Базельские принципы выделяются тем, что они подчеркивают важность участия руководства организации в решении проблем безопасности. Например, первые три принципа возлагают ответственность за осуществление активного надзора за менеджментом безопасности непосредственно на совет директоров и высшее руководство организации.

Принцип 1. Совету директоров и старшему менеджменту следует устанавливать эффективный надзор за менеджментом всех рисков, связанных с деятельностями электронных банковских услуг, включая установление специальной учетности, политик и средств управления для менеджмента этих рисков.

Принцип 2. Совету директоров и старшему менеджменту следует пересматривать и одобрять ключевые аспекты процесса управления безопасностью банка.

Принцип 3. Совету директоров и старшему менеджменту следует устанавливать всесторонний и действующий процесс должного выполнения и надзора для менеджмента аутсорсинговых отношений банка и других зависимостей третьей стороны, поддерживающих электронные банковские услуги.

В документе Главного контрольно-финансового управления США Information Security Management. Learning From Leading Organizations.

Executive Guide выделено пять принципов менеджмента риска, одним из которых является «стимулирование осознания». Многие практические приемы реализации представленных принципов связаны с непосредственным осознанным участием руководства организации в менеджменте ИБ. В документе подчеркивается, что осознание высшим руководством рисков информационной безопасности является наиболее важным фактором в стимулировании разработки программ менеджмента ИБ. Эта заинтересованность высшего руководства помогает обеспечивать серьезное отношение к информационной безопасности и на более низких уровнях организации, а также ресурсы, необходимые для реализации эффективной программы безопасности. В документе показывается, как меняется отношение в организации к ИБ при осознании проблем ИБ руководством организации. Приводится при- мер, как крупная производственная компания реорганизовала и усилила деятельность по обеспечению ИБ. До реорганизации группа безопасности, состоящая из четырех человек, сосредоточивалась в основном на администрировании безопасности и практически не взаимодействовала с остальной компанией. После реорганизации группа расширилась до 12 человек, осуществляющих менеджмент безопасности основных сетей компании, децентрализованных компьютерных операций, использования Интернета. Кроме того, группа участвует в осуществлении стратегического планирования компании и принимает участие на ранних стадиях проектов разработки программных средств, чтобы обеспечить принятие во внимание связанных с безопасностью последствий этих усилий. В этом отношении она служит каналом связи между руководством и персоналом информационных систем, который проектирует, создает и внедряет новые приложения. Наряду с необходимостью осознания ИБ руководством организации осознание ИБ пользователями необходимо для успешного осуществления политик информационной безопасности и обеспечения того, чтобы средства управления И Б работали должным образом. Трудно рассчитывать, что пользователи компьютеров и другие лица, имеющие доступ к информационным активам, будут подчиняться политикам, если они не осведомлены о них или их не понимают. Кроме того, если они не осознают риски, связанные с информационными активами организации, они могут не понимать потребность в политиках, предназначенных для снижения риска, и не поддерживать их соблюдение.

СМИБ является частью общей системы менеджмента организации и предназначена для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения ИБ с учетом всех рисков организации. СМИБ включает организационную структуру, политики, деятельности по планированию, обязанности, практики, процедуры, процессы и ресурсы. Процессы СМИБ организации функционируют в соответствии с циклической моделью «Plan—Do—Check—Act» (PDCA) — «Планирование—осуществление—проверка—совершенствование» согласно спецификации международного стандарта IS0/IEC 27001 и включают процессы создания СМИБ, процессы внедрения и эксплуатации СМИБ, процессы мониторинга и контрольного анализа СМИБ и процессы поддержки и совершенствования СМИБ организации (рис. 17).



Однако даже самые развитые СМИБ нуждаются в дополнительной координации и управлении со стороны руководства организации, эффективность СМИБ во многом зависит от соблюдения и выполнения правил политик ИБ сотрудниками организации. Действия руководства

связаны с изменением видов и целей бизнеса, среды организации, бизнес-процессов и направлены на распределение и перераспределение кадровых, финансовых и инфраструктурных ресурсов, на поддержку процессов менеджмента ролей, активов, инцидентов ИБ и других процессов СМИБ и процессов, связанных с СМИБ. Поэтому развитие и эффективность СМИБ организации прежде всего зависит от осознания проблем ИБ в организации. Модель системы обеспечения ИБ организации представим (рис. 18) в виде циклической модели процессов СМИБ с центральным координирующим фокусом деятельности по обеспечению ИБ, содержащим процессы осознания ИБ организации.



Такая модель отражает взаимосвязь процессов СМИБ и осознания ИБ, а также их взаимное влияние.

К процессам осознания ИБ организации относятся:

• анализ проблем ИБ и определение потребности организации в обеспечении ИБ;

• поддержка деятельности по планированию СМИБ;

• поддержка деятельности по реализации и эксплуатации СМИБ;

• поддержка деятельности по проверке СМИБ;

• поддержка деятельности по совершенствованию СМИБ.

При планировании СМИБ организация должна осуществить следующее:

  • определить область применения СМИБ на основе характеристик бизнеса, организации, ее расположения; активов и технологий, включая детали и обоснование любых исключений из области;

  • определить политику СМИБ на основе характеристик бизнеса, организации, ее расположения, активов и технологий;

  • определить (сформулировать) подход к оценке риска в организации;

  • идентифицировать риски;

  • проанализировать и оценить риски;

  • определить и оценить различные варианты обработки рисков;

  • выбрать цели и меры (средства) управления для обработки рисков;

  • получить одобрение руководства в отношении предлагаемых остаточных рисков;

  • получить разрешение руководства на внедрение и эксплуатацию СМИБ;

  • подготовить «Положение о применимости средств управления ИБ».

При реализации и эксплуатации СМИБ организация должна осуществить следующее:

  • сформулировать план обработки риска, определяющий соответствующие действия руководства, ресурсы, распределение ответственности и приоритеты в отношении менеджмента рисков ИБ;

  • внедрить план обработки риска для достижения идентифицированных целей управления, включающий вопросы финансирования, а также распределение ролей и ответственности;

  • внедрить меры (средства) управления, выбранные при создании СМИБ, для достижения целей управления;

  • определить, как измерять эффективность выбранных мер (средств) управления и как использовать эти измерения для оценки эффективности управления, чтобы получить сравнимые и воспроизводимые результаты;

  • внедрить программы по обучению и повышению осведомленности сотрудников;

  • управлять работой СМИБ;

  • управлять ресурсами;

  • внедрить процедуры и другие меры управления, обеспечивающие оперативное обнаружение и реагирование на инциденты, связанные с безопасностью.

При проверке СМИБ организация должна осуществлять следующее:

a) выполнять процедуры мониторинга и контрольного анализа, а также использовать другие меры управления, для того чтобы:

  • оперативно обнаруживать ошибки в результатах обработки;

  • оперативно выявлять удавшиеся и неудавшиеся попытки

  • нарушения и инциденты безопасности;

  • предоставлять руководству возможность определить, работают ли меры по обеспечению безопасности, как переданные уполномоченным лицам, так и реализованные в информационных технологиях, как ожидалось;

  • обнаруживать события безопасности, используя идентификаторы в целях предотвращения инцидентов безопасности;

  • определять, являются ли эффективными действия, предпринимаемые для устранения нарушения безопасности;

b) проводить регулярный анализ эффективности СМИБ (включая проверку ее соответствия политике и целям СМИБ и анализ мер управления безопасности) с учетом результатов аудиторских проверок безопасности, инцидентов, измерении эффективности, а также предложений и пожеланий всех заинтересованных сторон;

c) измерять эффективность средств управления для проверки удовлетворения требований безопасности;

d) пересматривать оценки рисков через запланированные промежутки времени и анализировать уровень остаточного и приемлемого риска, учитывая изменения в:

  • организации;

  • технологиях;

  • бизнес-целях и процессах;

  • выявленных угрозах;

  • эффективности реализованных средств контроля;

  • внешних событиях, например изменения требований законодательства или регулирующих органов, изменения в контрактных обязательствах, а также изменения в социальной среде;

e) проводить внутренние аудиторские проверки СМИБ через запланированные интервалы времени;

f) проводить на регулярной основе контрольный анализ СМИБ со стороны руководства для подтверждения адекватности области применения СМИБ и для выявления направлений

совершенствования процессов СМИБ;

д) обновлять планы безопасности с учетом результатов мониторинга и контрольных анализов;

h) регистрировать действия и события, которые могли бы оказать воздействие на эффективность или работу СМИБ.

При совершенствовании СМИБ организация должна осуществлять следующее:

a) внедрять выявленные возможности для совершенствования в СМИБ;

b) предпринимать необходимые корректирующие и превентивные действия. Применять на практике опыт в области безопасности, полученный как в собственной организации, так и в других организациях;

c) обмениваться информацией о результатах и проведенных мероприятиях со всеми заинтересованными сторонами на уровне подробностей, подходящем для создавшихся обстоятельств, и согласовать дальнейшие действия, если нужно;

d) обеспечить, чтобы внедряемые усовершенствования достигали ожидаемых целей.

Процессы проверки СМИБ организации позволяют проверить и оценить результаты процессов планирования СМИБ, а также процессов реализации и эксплуатации СМИБ. Кроме того, результаты процессов проверки СМИБ являются входными данными для процессов совершенствования СМИБ. Все это указывает на значимость процессов проверки СМИБ.

Важность процесса аудита ИБ декларируется, например, в, где указывается, что при несоответствии процесса аудита информационной безопасности установленным критериям нельзя быть уверенным в целостности систем информационных технологий и при оценивании ИБ рейтинг аудита ИБ должен учитываться как наиболее значимый.


Осознание аудита информационной безопасности

Под аудитом информационной безопасности организации будем понимать систематический, независимый и документируемый процесс получения свидетельств аудита ИБ и объективного их оценивания с целью установления степени соответствия ИБ организации установленным критериям аудита ИБ.

Аудит может быть внутренним и внешним. Внутренние аудиты проводятся самой организацией или от ее имени для различных внутренних целей, например для оценки соответствия системы обеспечения ИБ установленным требованиям. Внешние аудиты проводятся

сторонами, заинтересованными в деятельности организации, например потребителями или другими лицами от их имени или внешними независимыми организациями.

При всей своей важности для обеспечения ИБ аудит ИБ далеко не во всех организациях признается необходимым процессом менеджмента ИБ. Осознание необходимости аудита ИБ формируется в результате анализа проблем ИБ организации и дальнейшего определения потребностей организации в оценке соответствия политик, процессов, процедур обеспечения ИБ организации установленным критериям ИБ.

Основные элементы процесса осознания аудита ИБ представлены на рисунке 19.



Для процесса осознания аудита ИБ входными данными являются:

  • виды бизнеса (деятельности), продукты и услуги организации;

  • описание бизнес-процессов;

  • информация о внутренней и внешней среде организации;

  • информация о текущем состоянии процессов СМИБ.

Описание видов бизнеса, продуктов и услуг организации и описание бизнес-процессов, реализующих цели бизнеса, должно выделять критичные с точки зрения ИБ продукты, услуги и

соответствующие бизнес-процессы, определять их значение для достижения целей бизнеса.

Информация о внутренней и внешней среде организации должна содержать сведения о всех угрозах и рисках целям бизнеса или их изменениях, связанных с ИБ.

Информация о текущем состоянии процессов СМИБ должна показывать соответствие процессов целям ИБ организации, их результативность.

Участниками процесса осознания ИБ являются руководители организации, принимающие решения и влияющие на решения по поддержке и развитию СМИБ организации.

Основой накопления опыта и знаний являются в первую очередь собственный уникальный опыт организации, а также известные факты и информация, полученные из таких источников, как Интернет, книги, стандарты, справочники, публикации и т.п. Источником собственного опыта являются прошлая деятельность по обеспечению ИБ организации, а также анализ угроз и уязвимостеи для организации в условиях ее бизнеса.

К мероприятиям процесса осознания аудита ИБ относятся:

  • формирование потребности в разработке и менеджменте программы аудита

  • ИБ,

  • формирование требований к программе аудита ИБ,

  • определение ролей для разработки и менеджмента программы аудита ИБ,

  • определение и выделение финансовых, кадровых и инфраструктурных ресурсов для разработки и менеджмента программы аудита И Б.

Под программой аудита ИБ понимается совокупность нескольких аудитов ИБ и других проверок ИБ (например, самооценок ИБ), запланированных на конкретный период времени и направленных на достижение конкретной цели.

Потребность в разработке и менеджменте программы аудита ИБ организации формируется исходя из целей измерений И Б, относящихся к аудиту ИБ. Цели аудита ИБ определяются руководством организации на основе бизнес-целей и результатов деятельности организации, а также на основе информации о внутренней и внешней среде организации, учитывающей оценку рисков ИБ.

Такими целями могут быть:

  • идентификация уязвимостеи системы обеспечения ИБ организации,

  • оценка соответствия ИБ организации установленным критериям ИБ,

  • повышение доверия к организации.

При формировании решений о программе аудита ИБ анализируются стоимость программы аудита ИБ и выгоды от ее реализации. Потребность в разработке и менеджменте программы аудита ИБ документируется в виде решения руководства организации и утверждается им.

Требования к программе аудита должны содержать требования к объему программы аудита ИБ, методологии проведения аудита, компетентности аудиторов, осведомленности сотрудников организации о программе аудита ИБ и требования к пересмотру и корректировке программы аудита ИБ.

Требования к программе аудита ИБ могут указывать на необходимость периодического проведения самооценок ИБ. Самооценка ИБ является хорошей практикой проверки ИБ и подготовки к аудиту ИБ организации. С помощью самооценки ИБ организация может оценить соответствие ИБ установленным требованиям и самостоятельно провести анализ недостатков системы обеспечения ИБ.

Результаты самооценки ИБ могут служить основанием для устранения выявленных недостатков системы обеспечения ИБ до проведения аудита ИБ в организации. Однако результаты самооценки ИБ не могут служить декларацией о соответствии ИБ организации установленным требованиям. Самооценка ИБ проводится сотрудниками организации, принимающими непосредственное участие в деятельности по обеспечению ИБ. Как правило, таковыми являются сотрудники службы ИБ организации.

Результатом определения ролей для разработки и менеджмента программы аудита ИБ должно быть выделение ролей разработчиков и ответственных за программу аудита ИБ с соответствующими обязанностями.

Финансовые, кадровые и инфраструктурные (физические и инструментальные) ресурсы определяются в зависимости от объема программы аудита ИБ. Обязанность руководства состоит в

предоставлении этих ресурсов, чтобы обеспечить надлежащую реализацию программы аудита ИБ.

К выходным данным процесса осознания аудита ИБ относятся:

  • решения о разработке программы аудита ИБ,

  • требования к программе аудита ИБ,

  • роли и ресурсы для программы.

Такие результаты процесса осознания аудита ИБ приведут к установке, реализации и поддержке в организации программы аудита ИБ и обеспечат, чтобы запланированные аудиты ИБ и самооценки ИБ проводились в намеченные интервалы времени и позволили:

a) определять, отвечает или нет система обеспечения ИБ организации установленным требованиям;

b) проверять результаты предыдущих аудитов и самооценок и меры, предпринятые для исправления несоответствий;

c) предоставлять информацию о результатах аудитов руководству организации;

d) подтверждать, что средства обеспечения ИБ и персонал используются надлежащим образом.

1   2   3   4   5   6   7   8   9   ...   17

Похожие:

Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Издательство ТулГУ
Бродовская, Е. В. Переговоры: стратегии, тактики, техники: Учебное пособие [Текст] / Е. В. Бродовская, А. А. Лаврикова. – Тула: Изд-во...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconА. В. Непомнящий Рынок ценных бумаг Учебное пособие Москва 2008
Учебное пособие предназначено для студентов вузов специальностей «Менеджмент организаций», «Бухгалтерский учёт, анализ и аудит» и«Финансы...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебно-методическое пособие Для студентов, аспирантов Таганрог 2008
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие для студентов второго образовательного уровня Таганрог 2010
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconРеферат по дисциплине «Организация обеспечения информационной безопасности» на тему
«Концепция информационной безопасности, анализ безопасности информационных систем»
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность»
Учебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность», 090105 «Комплексное...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconКонтрольные вопросы по курсу «Технические средства предприятий сервиса» (сервиса электронных систем безопасности) Глава Сущность курса «Технические средства предприятий сервиса», оборудование и технические, средства предприятий и подразделений безопасности
«Технические средства предприятий сервиса» студентам специальности «Сервис» специализация «Сервис электронных систем безопасности...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Москва 2008 удк машкин М. Н. Информационные технологии: Учебное пособие. М.: Вгна, 2008. 200 с
Учебное пособие по курсу Информационные технологии содержит учебный материал для подготовки к зачету по указанной дисциплине
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие. Таганрог: Изд-во трту, 2003
Учебное пособие cодержит описание теоретических и практических подходов к разработке и отбору инвестиционных проектов в условиях...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconН. Л. Михайлов архитектура вычислительных систем учебное пособие
Михайлов Н. Л. Архитектура вычислительных систем: Учебное пособие. – Рыбинск, ргата, 2008. – 87 с
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница