Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание




НазваниеАудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание
страница7/17
Дата30.01.2013
Размер2.05 Mb.
ТипУчебное пособие
1   2   3   4   5   6   7   8   9   10   ...   17

3.2.4. Реализация программы аудита информационной безопасности

3.2.4.1. Основные элементы процесса проведения аудита информационной безопасности

Наряду с перечнем проверок ИБ, графиком их выполнения программа аудита ИБ содержит указания по проведению аудитов И Б. воспользовавшись схемой процесса оценки (рис. 8), и, где необходимо, отметим особенности внутреннего и внешнего аудита И Б.

Процесс проведения аудита ИБ включает следующие аспекты:

  • определение входных данных для аудита, таких, как назначение, область аудита, ограничения и особенности и др.;

  • определение основных ролей и ресурсов для проведения аудита;

  • предоставление: программы аудита ИБ; руководства для планирования, сбора данных, проверки достоверности данных и сообщения результатов аудита;

  • руководства для оценивания атрибутов процессов и степени выполнения требований ИБ;

  • мероприятия по проведению аудита ИБ;

  • фиксирование выходных данных аудита ИБ.

Основные элементы процесса проведения аудита ИБ представлены

на рисунке 22.





3.2.4.2. Определение входных данных, ролей ресурсов и управления процессом

Входные данные процесса аудита ИБ, должны быть определены, согласованы и задокументированы до начала процесса аудита. В случае внутреннего аудита И Б, когда аудит проводится силами самой организации, такой документ согласуется заказчиком аудита ИБ с уполномоченным представителем объекта аудита. Когда внутренний аудит ИБ проводится от имени организации и в случае внешнего аудита ИБ, согласование входных данных аудита осуществляется с помощью договора между внешней аудиторской организацией и объектом аудита И Б.

Входные данные процесса аудита включают:

  • назначение и область аудита ИБ;

  • особенности и ограничения при проведении аудита ИБ;

  • идентификацию критериев аудита ИБ;

  • критерии компетентности аудиторов;

  • лицо или организацию, выполняющую роль заказчика аудита ИБ, и взаимосвязь заказчика с объектом аудита ИБ;

  • представителей и вспомогательный персонал объекта аудита ИБ с конкретными обязанностями для проведения аудита.

Назначение аудита ИБ может различаться в зависимости от целей заказчика. Такими целями могут быть проверка соответствия ИБ объекта аудита установленным критериям, улучшение системы менеджмента ИБ и др.

Область аудита включает местонахождение, организационную структуру, виды деятельности и процессов объекта аудита, а также охватываемый период времени.

К ограничениям при проведении аудита ИБ относятся:

  • недоступность проверяемых активов,

  • недостаточный временной интервал,

  • ресурсы, выделенные для проведения аудита ИБ.

Область и критерии аудита ИБ определяют заказчик аудита и руководитель аудиторской группы в соответствии с процедурами программы аудита ИБ.

К критериям компетентности аудитора относятся:

  • знание процессов, критериев аудита ИБ,

  • навыки в сфере оценки процессов и применения инструментария для поддержки оценивания, личные качества,

  • способность применить знания и навыки, приобретенные во время учебы, работы, стажировки, и опыт при проведении аудита ИБ.

К ролям процесса аудита ИБ относятся:

  • роль заказчика аудита ИБ,

  • роль руководителя группы аудиторов,

  • роль аудитора ИБ.

Заказчик аудита ИБ при внутреннем аудите может быть лицом, относящимся к данной организации, но не обязательно к объекту оценки. При внешнем аудите заказчик аудита ИБ является юридическим лицом, внешним по отношению к объекту оценки. Для проведения аудита ИБ формируется аудиторская группа. При определении размера и состава аудиторской группы прежде всего учитывается компетентность аудиторской группы, в основе которой лежит уровень квалификации ее участников.

Если аудиторы в аудиторской группе не обладают необходимыми знаниями и опытом по

специальным вопросам, в группу включают технических экспертов. Технические эксперты должны работать под руководством аудиторов. В аудиторскую группу обычно входят и представители объекта аудита. Их участие в проведении оценивания дает возможность учесть

особенности процессов, обеспечить достоверность результатов оценивания.

Формирование аудиторской группы начинается с назначения руководителя аудиторской группы. Руководитель аудиторской группы отвечает за достижение целей аудита ИБ и за соответствие процесса проведения аудита ИБ требованиям установленной модели (руководства) проведения аудита ИБ и за соответствие процесса оценивания модели оценки.

Руководитель группы распределяет ответственность между членами группы за оценивание конкретных процессов, подразделений, областей или видов деятельности объекта аудита. Такое распределение должно учитывать потребность в независимости, компетентности аудиторов и эффективном использовании ресурсов.

Для проведения аудита ИБ необходимы модель проведения аудита ИБ и модель оценки ИБ организации. В качестве модели проведения аудита ИБ могут использоваться стандарты, руководства по проведению аудита ИБ, которые определяют требования к планированию (организации) проведения аудита ИБ, выполнению анализа документов, проведению аудита на месте, подготовке отчета и завершению аудита И Б.

Модель оценки задает перечень оцениваемых процессов объекта аудита ИБ, определяет критерии аудита ИБ и показатели ИБ, способ оценивания процессов с помощью показателей, способ отображения результатов оценивания. Критерии аудита ИБ используются в виде основы для сравнения, по которой определяют соответствие.

Критерии могут включать политику, процессы, процедуры, стандарты, законы, нормы, регламенты, требования к системе обеспечения ИБ организации. В качестве модели оценки ИБ организации может использоваться, например, методика оценки соответствия ИБ организации установленным критериям, признанная заказчиком аудита ИБ.

Модель оценки, используемая при внешнем аудите ИБ, может отличаться от модели оценки для внутреннего аудита ИБ и по оцениваемым процессам объекта аудита ИБ, и по критериям аудита ИБ, а также по показателям ИБ и способам их оценивания. Это зависит прежде всего от различия целей внутреннего и внешнего аудита ИБ.

Модель оценки, используемая при самооценке ИБ, может отличаться от моделей оценки для внутреннего и внешнего аудита ИБ по оцениваемым процессам объекта аудита ИБ, показателям ИБ и способам их оценивания. Критерии аудита ИБ для самооценки используются такие же, как для внутреннего и внешнего аудита ИБ. Это объясняется тем, что целью самооценки наряду с проверкой отдельных областей ИБ или критичных процессов обеспечения ИБ, как правило, является подготовка к тому или иному аудиту ИБ.


3.2.4.3. Мероприятия и выходные данные процесса проведения аудита информационной безопасности

К мероприятиям процесса проведения аудита ИБ относятся планирование процесса, выполнение анализа документов, проведение аудита на месте, подготовка отчета, завершение аудита ИБ. Выходными данными процесса является отчет по результатам проведения аудита И Б организации.

При планировании процесса аудита ИБ определяются необходимые входные данные, мероприятия, которые осуществляются при проведении аудита ИБ, ресурсы и график для этих мероприятий, персонификация ролей для участников аудита, выходные данные

аудита И Б.

До проведения аудита ИБ на месте аудиторской группой должен быть проведен анализ документации проверяемой организации для определения соответствия положений, отраженных в документации, критериям аудита ИБ. Если документация будет признана неадекватной, то руководитель аудиторской группы должен сообщить об этом заказчику аудита ИБ и проверяемой организации. Аудиторской группой должно быть принято решение, может ли аудит И Б быть продолжен или его необходимо приостановить до момента решения всех вопросов по документации. Если аудиторской группой принято решение о продолжении аудита ИБ, то руководитель аудиторской группы должен подготовить план аудита ИБ на месте и согласовать его с заказчиком аудита и проверяемой организацией.

План аудита И Б на месте, как правило, включает:

  • цель аудита ИБ;

  • критерии аудита ИБ и ссылочные документы;

  • область аудита И Б;

  • дату и продолжительность проведения аудита ИБ на месте;

  • роли членов аудиторской группы и сопровождающих лиц со

  • стороны проверяемой организации;

  • результаты анализа документов, предоставленных проверяемой

  • организацией для проведения аудита ИБ, и оценку свидетельств

  • аудита ИБ;

  • описание деятельности и мероприятий по проведению аудита И Б на месте.

Проведение аудита ИБ на месте начинается со вступительного совещания, на котором излагаются источники, методы получения, обсуждаются вопросы достоверности свидетельств аудита ИБ, определяются способы обмена информацией между аудиторской группой и представителями объекта аудита. Председательствует на совещании руководитель аудиторской группы.

Далее осуществляются следующие работы:

  • сбор дополнительных свидетельств аудита ИБ;

  • оценка свидетельств аудита ИБ;

  • проведение заключительного совещания.

Для сбора и оценивания свидетельств аудита ИБ аудиторской группой определяются инструментальные средства. Основными источниками свидетельств аудита ИБ являются документы объекта аудита ИБ и третьих лиц, относящиеся к обеспечению ИБ организации, устные

высказывания сотрудников объекта аудита ИБ в процессе проводимых опросов и результаты наблюдений аудиторов за деятельностью организации в области ИБ.

Основными методами получения свидетельств аудита ИБ являются:

  • проверка и анализ документов, касающихся обеспечения ИБ организации;

  • наблюдение за деятельностью организации в области ИБ;

  • устный опрос сотрудников проверяемой организации и независимой (третьей) стороны.

По степени достоверности (от наибольшей к наименьшей) свидетельства аудита ИБ делятся следующим образом:

  • свидетельства, полученные от третьей стороны в письменном виде;

  • свидетельства, полученные от проверяемой организации и подтвержденные третьей стороной в письменном виде;

  • свидетельства, полученные в ходе проведения аудиторских процедур (наблюдения за деятельностью, анализ данных системы мониторинга ИБ и т.д.);

  • свидетельства, полученные в форме документов;

  • свидетельства, полученные в устной форме.

Проверка и анализ документов позволяют аудитору получить свидетельства аудита ИБ, обладающие наибольшей полнотой и удобством восприятия и использования по сравнению с другими методами получения свидетельств аудита И Б. Однако эти свидетельства аудита И Б имеют различную степень достоверности в зависимости от их организации за процессом подготовки и обработки представленных документов.

Устный опрос может проводиться на всех этапах аудиторской проверки. Результаты устных опросов оформляются в виде протокола или краткого конспекта, в котором обязательно должны быть указаны фамилия, имя, отчество сотрудника аудиторской организации, проводившего опрос, фамилия, имя, отчество опрашиваемого лица, а также их подписи. Для проведения типовых опросов могут быть подготовлены бланки с перечнями интересующих вопросов.

Письменная информация по итогам устных опросов должна приобщаться аудиторской группой к другим рабочим документам аудиторской проверки. Однако результаты устного опроса следует проверять, т.к. опрашиваемый может выражать свое субъективное мнение. Хорошей практикой является проведение перекрестных опросов сотрудников организации (т.е. опрос различных лиц).

Опросы проводятся с учетом ситуации и опрашиваемого лица.

При этом аудитор должен принимать во внимание следующее:

  • опросы проводят в подразделениях с лицами, выполняющими работы или решающими задачи в пределах области аудита И Б;

  • опрос сотрудников проводят в обычное рабочее время и, где это возможно, на рабочем месте;

  • опрашиваемое лицо должно быть психологически подготовлено к опросу, опрос следует вести доброжелательно;

  • необходимо объяснить причину опроса и осуществляемые записи;

  • опрос можно начинать с просьбы рассказать о своей работе;

  • необходимо избегать наводящих вопросов;

  • результаты опроса должны быть обобщены и проанализированы вместе с опрашиваемым лицом;

  • необходимо поблагодарить опрашиваемое лицо за сотрудничество.

Наблюдение представляет собой отслеживание аудитором процедур или процессов в проверяемой организации, выполняемых другими лицами (в том числе персоналом организации). Информация

считается достоверной только в том случае, если она получена непосредственно в момент функционирования проверяемых процедур или процессов.

Оценивание свидетельств аудита ИБ осуществляется на основе критериев аудита, задаваемых моделью оценки. Результаты оценивания используются для формирования выводов аудита ИБ.

Выводы аудита ИБ указывают либо на соответствие, либо на несоответствие критериям аудита ИБ. Модель оценки задает совокупность оцениваемых процессов и требований ИБ, показателей ИБ, способ отображения оценки.

Выводы аудита ИБ о несоответствии критериям аудита ИБ и подтверждающие их свидетельства аудита ИБ должны быть рассмотрены и проанализированы аудиторами совместно с представителем объекта аудита для получения подтверждения того, что свидетельства аудита ИБ верны и несоответствия понятны.

Нерешенные вопросы должны быть зарегистрированы в протоколах совещаний и отражены в отчете по аудиту И Б.

По окончании аудита ИБ на месте должно быть проведено заключительное совещание с участием представителей аудиторской организации, проверяемой организации и заказчика аудита ИБ под

председательством руководителя аудиторской группы.

На совещании представляются выводы аудита ИБ и заключение по результатам аудита ИБ таким образом, чтобы они были понятны и признаны проверяемой организацией. Любые разногласия по выводам и(или) заключению по результатам аудита ИБ между аудиторской группой и проверяемой организацией должны быть обсуждены и по возможности разрешены. Если стороны не пришли к единому мнению, то должно быть зарегистрировано.

По результатам проведения аудита ИБ аудиторская группа должна подготовить отчет. Руководитель аудиторской группы отвечает за подготовку и содержание отчета по результатам проведения аудита ИБ.

Отчет по результатам проведения аудита ИБ, как правило, включает ответы на следующие вопросы:

  • цели аудита И Б;

  • область аудита ИБ, в частности идентификация проверенных организационных и функциональных подразделений или процессов и охватываемый период времени;

  • идентификация заказчика аудита ИБ;

  • идентификация руководителя и членов аудиторской группы;

  • даты и места проведения аудита ИБ на месте;

  • критерии аудита И Б;

  • выводы аудита И Б;

  • заключения по результатам аудита ИБ.

Отчет по результатам проведения аудита И Б должен быть выпущен в согласованные сроки, утвержден руководителем аудиторской организации и разослан получателям, определенным заказчиком аудита ИБ.

Отчет по результатам проведения аудита ИБ является собственностью заказчика аудита ИБ. Члены аудиторской группы и все получатели отчета должны обеспечивать конфиденциальность содержания отчета, за исключением случаев, прямо предусмотренных действующим законодательством Российской Федерации.

Аудит ИБ считается завершенным, если все процедуры, предусмотренные планом аудита ИБ на месте, выполнены и утвержденный отчет по аудиту разослан.

Документирование результатов проведения аудита ИБ является основным средством внутреннего контроля качества аудита. Наличие плана аудита ИБ, выполненные процедуры, полученные свидетельства аудита ИБ, сформулированные выводы и аудиторское заключение позволяют анализировать действия аудиторов, оценивать их правильность и эффективность.

Отсутствие оформленных соответствующим образом рабочих документов трактуется как нарушение правил аудиторской деятельности и, следовательно, как некачественное проведение аудита ИБ.

Документы, имеющие отношение к аудиту ИБ, следует хранить или уничтожать на основании соглашения между участвующими сторонами в соответствии с процедурами программы аудита ИБ, соглашением между сторонами и в соответствии с действующим законодательством Российской Федерации, нормативными требованиями и требованиями контрактов. Если это не предусмотрено законом, аудиторская группа и ответственные за управление программой аудита не должны раскрывать содержимого документов и другой информации, полученной во время

аудита ИБ, или отчетов по аудиту любой другой стороне без ясного разрешения заказчика аудита и, где это требуется, разрешения проверяемой организации. Если необходимо раскрыть содержание документов аудита ИБ, заказчик аудита и проверяемая организация должны быть об этом проинформированы. Заключения по результатам аудита ИБ могут указывать на необходимость корректирующих действий, действий по улучшению системы обеспечения ИБ организации. Такие действия не рассматриваются как часть аудита ИБ, и. решение о проведении действий по корректировке и улучшению системы обеспечения ИБ принимает проверяемая организация, которая должна информировать заказчика аудита о состоянии выполнения этих действий.

Программа аудита ИБ может предусматривать выполнение подобных действий после завершения аудита ИБ членами аудиторской группы, что может добавить ценность аудиту, учитывая опыт аудиторов.

В таких случаях следует позаботиться об обеспечении независимости проверки при проведении последующих аудитов. Хорошей практикой является разработка в рамках программы аудита ИБ процедур рассмотрения фактического несоответствия (несоответствий) и принятия корректирующих и предупредительных мер.

Процедуры должны определять требования для:

  • изучения несоответствия (несоответствий), определения их причины (причин) и принятия мер, чтобы избежать их повторения;

  • фиксирования результатов предпринятых корректирующих и предупредительных мер;

  • проверки эффективности предпринятых корректирующих и предупредительных мер.

1   2   3   4   5   6   7   8   9   10   ...   17

Похожие:

Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Издательство ТулГУ
Бродовская, Е. В. Переговоры: стратегии, тактики, техники: Учебное пособие [Текст] / Е. В. Бродовская, А. А. Лаврикова. – Тула: Изд-во...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconА. В. Непомнящий Рынок ценных бумаг Учебное пособие Москва 2008
Учебное пособие предназначено для студентов вузов специальностей «Менеджмент организаций», «Бухгалтерский учёт, анализ и аудит» и«Финансы...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебно-методическое пособие Для студентов, аспирантов Таганрог 2008
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие для студентов второго образовательного уровня Таганрог 2010
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconРеферат по дисциплине «Организация обеспечения информационной безопасности» на тему
«Концепция информационной безопасности, анализ безопасности информационных систем»
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность»
Учебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность», 090105 «Комплексное...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconКонтрольные вопросы по курсу «Технические средства предприятий сервиса» (сервиса электронных систем безопасности) Глава Сущность курса «Технические средства предприятий сервиса», оборудование и технические, средства предприятий и подразделений безопасности
«Технические средства предприятий сервиса» студентам специальности «Сервис» специализация «Сервис электронных систем безопасности...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Москва 2008 удк машкин М. Н. Информационные технологии: Учебное пособие. М.: Вгна, 2008. 200 с
Учебное пособие по курсу Информационные технологии содержит учебный материал для подготовки к зачету по указанной дисциплине
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие. Таганрог: Изд-во трту, 2003
Учебное пособие cодержит описание теоретических и практических подходов к разработке и отбору инвестиционных проектов в условиях...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconН. Л. Михайлов архитектура вычислительных систем учебное пособие
Михайлов Н. Л. Архитектура вычислительных систем: Учебное пособие. – Рыбинск, ргата, 2008. – 87 с
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница