Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание




НазваниеАудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание
страница8/17
Дата30.01.2013
Размер2.05 Mb.
ТипУчебное пособие
1   ...   4   5   6   7   8   9   10   11   ...   17

3.2.5. Контроль и совершенствование программы аудита информационной безопасности

В организации должны проводиться контроль внедрения программы аудита ИБ, анализ достижения целей программы аудита ИБ и определение возможностей для ее совершенствования. О результатах анализа информируется руководство организации БС РФ.

Контроль и анализ программы аудита ИБ включают в себя:

  • проверку возможностей аудиторских групп, служб или лиц по реализации аудита ИБ и самооценки ИБ;

  • анализ действий аудиторских групп в сходных ситуациях;

  • анализ отчетов и заключений по результатам аудита ИБ и самооценки ИБ;

  • анализ достижения целей аудитов ИБ, самооценок ИБ и программы аудита ИБ в целом.

Проверка возможностей аудиторских групп, служб или лиц по реализации аудита ИБ и самооценки ИБ проводится в виде тестовых проверок, направленных на изучение правильности мероприятий по проведению аудита ИБ организации, полноты, достоверности и

своевременности подготовки свидетельств аудита ИБ.

Анализ действий аудиторских групп в сходных ситуациях проводится путем сравнения действий аудиторских групп, реализующих мероприятия по проведению аудита ИБ в различные периоды времени. Такое сравнение может быть полезно при определении квалификации аудиторов и выборе аудиторских групп для проведения аудита ИБ по графику программы аудита ИБ. Сравниваться могут, например, действия групп при обсуждении выводов аудита ИБ, действия групп по регулярности взаимодействия с представителями объекта аудита.

Анализ отчетов и заключений по результатам аудита ИБ и самооценки ИБ направлен на определение соответствия выводов по результатам проведения аудита ИБ и самооценки ИБ свидетельствам аудита ИБ, соответствия представления и интерпретации результатов аудита ИБ выводам и заключению по результатам аудита ИБ.

Анализ достижения целей аудита ИБ, самооценки ИБ и программы аудита ИБ в целом заключается в проверке соответствия действий по результатам аудита ИБ и самооценки ИБ заключениям аудита и самооценки, степени выполнения планируемых мер, их планируемой и

достигнутой эффективности.

Результаты анализа программы аудита могут привести к корректирующим и предупреждающим действиям и улучшению программы аудита.

Наряду с действиями по контролю и анализу программы аудита ИБ в целях обеспечения объективных, последовательных, достоверных и надежных результатов в программе аудита ИБ должна быть спланирована и реализована оценка аудиторов и руководителей аудиторских групп.

Оценка аудиторов происходит при:

  • начальном оценивании лиц, желающих стать аудиторами;

  • оценивании аудиторов как части процесса формирования аудиторской группы;

  • постоянном оценивании характеристик аудитора с целью определения потребностей, необходимых для поддержания и улучшения знаний и навыков.

Совершенствование программы аудита ИБ состоит в определении корректирующих и превентивных действий по совершенствованию программы аудита ИБ, включающих в себя пересмотр и корректировку сроков проведения аудитов ИБ и самооценки ИБ и необходимых ресурсов, улучшение методов подготовки свидетельств аудита ИБ и самооценки ИБ.

Причиной пересмотра и корректировки сроков проведения аудитов ИБ и самооценки ИБ могут быть опережающее выполнение или невыполнение целей программы аудита ИБ.

Для внутреннего аудита ИБ и самооценки ИБ корректирующие и предупреждающие действия в основном связаны с повышением компетентности аудиторов.

Постоянный рост профессионализма аудиторов необходим для поддержания и улучшения знаний, навыков и совершенствования личных качеств. Он может быть достигнут посредством дополнительного практического опыта, обучения, стажировок, самоподготовки, посещения совещаний, семинаров и конференций, посвященных проблемам ИБ и аудита ИБ. Деятельность по постоянному профессиональному росту должна учитывать изменения в личных потребностях аудиторов и организаций, в программе аудита ИБ, в практике проведения аудитов ИБ, изменения стандартов и других требований.

Меры, направленные на повышение компетентности аудиторов, должны привести к соответствию аудиторских групп следующим требованиям к уровню квалификации:

  • наличие базового образования. Базовым образованием для аудитора ИБ является высшее техническое образование по специальностям, связанным с информационной безопасностью, информационными технологиями, вычислительной техникой, или по другим специальностям, которые могут иметь отношение к рассматриваемой области.

  • образование должно быть получено в учебном учреждении Российской Федерации, имеющем государственную аккредитацию, либо в учебном учреждении иностранного государства, дипломы которого имеют юридическую силу в Российской Федерации;

  • наличие практического опыта. Практический опыт работы определяется стажем работы не менее трех из последних пяти лет в качестве:

  • руководителя, аудитора или специалиста аудиторской организации, оказывающей аудиторские услуги в области ИБ;

  • руководителя или сотрудника службы (или подразделения) организации, отвечающей за обеспечение ИБ;

  • научного работника или преподавателя по профилю, связанному с И Б;

  • наличие специального профессионального образования. Специальное профессиональное образование включает обучение с отрывом или без отрыва от производства в определенных

  • учебно-методических центрах и организациях по обучению и переподготовке аудиторов и стажировку в аудиторской организации;

  • знание законов, международных, национальных и отечественных стандартов и других нормативных актов, относящихся к ИБ. Среди них в настоящее время можно выделить:

      • международный стандарт IS0/IEC 27001-2005 Information technology. Security techniques. Information security management systems. Requirements;

      • международный стандарт ISO/IEC 13335 Information Technology. Security techniques. Management of information and communications technology security;

      • международный стандарт ISO/IEC 17799 Information technology — Code of practice for information security management;

      • ГОСТ Р ИС0/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности.

      • Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель;

      • ГОСТ Р ИСО/МЭК 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности;

      • ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности;

      • ГОСТ Р ИСО 19011—2003. Руководящие указания по аудиту систем менеджмента качества и(или) систем экологического менеджмента.

  • свободное владение деловым русским языком. Владение деловым русским языком включает наличие навыков владения русским языком в объеме, необходимом для изучения нормативных актов, проверки документации, ведения рабочей документации, делового общения с клиентами и составления аудиторского заключения и отчета по результатам проведения аудита И Б.

Аудиторы должны поддерживать и демонстрировать свою компетентность в проведении аудита ИБ путем постоянного участия в аудитах И Б.


3.3. Методы оценивания информационной безопасности

3.3.1. Оценивание информационной безопасности на основе показателей информационной безопасности

Определяющим элементом процесса проведения аудита ИБ организаций и систем (рис. 22) является модель оценки процессов обеспечения ИБ.





Модель оценки задает перечень и эталонную модель оцениваемых процессов объекта аудита ИБ, определяет критерии аудита ИБ и показатели ИБ, способ оценивания процессов с помощью показателей, способ отображения результатов оценивания.

Основу модели оценки составляют перечень и модель оцениваемых процессов и совокупность показателей, которые используются для сбора данных и определения степени достижения атрибутов процессов установленных критериев аудита ИБ.

Рассмотрим модель оценки в виде структуры, связывающей потребности в измерении ИБ, определенные целями аудита ИБ, с соответствующими процессами и представляющими интерес атрибутами (свойствами, характеристиками) процессов.

Модель оценки описывает, как количественно измеряются атрибуты и как они преобразуются в показатели, обеспечивающие основу для принятия решений о степени соответствия ИБ установленным критериям аудита ИБ, степени правильности процессов системы обеспечения ИБ организации.

В общем виде модель оценки процессов обеспечения ИБ

организации может быть представлена структурой, показанной на рисунке 23.




Метод измерения (оценивания) — это логическая последовательность операций, которая используется для измерения (оценивания) атрибутов относительно определенной шкалы. Операции могут включать такие мероприятия, как подсчет событий или наблюдение за течением времени. Один и тот же метод измерений может применяться ко многим атрибутам.

Вид метода измерений зависит от характера операций, используемых для измерения атрибута. Можно определить два вида:

  • субъективный -отличительное определение, включающее суждение человека;

  • объективный - количественное определение, основанное на вычислениях.

Возможные примеры методов измерений включают опрос, наблюдение, анкетирование, оценку знаний, тестирование, выборку данных.

Некоторые методы измерений могут быть реализованы многими способами. Используемые процедуры измерений отражают конкретную реализацию метода измерений в данной организации, в данной системе.

Метод измерений переводит величину измеренного атрибута в значение на шкале измерений. Вид шкалы зависит от характера взаимосвязи между значениями на шкале.

Примеры видов шкал:

  • номинальная: значения измерений являются категориальными. (Например, классификация дефектов по их типу не подразумевает наличие порядка среди категорий);

  • порядковая: значения измерений ранжированы. (Например, распределение дефектов по уровню серьезности является ранжированием);

  • интервальная: значения измерений имеют равные расстояния, соответствующие одинаковым величинам атрибута. Нулевое значение невозможно;

  • шкала отношений: значения измерений имеют равные расстояния, соответствующие одинаковым величинам атрибута, где нулевое значение соответствует нулевому атрибуту. (Например, размер программного компонента в терминах строк программы представляет

  • шкалу отношений, потому что нулевое значение соответствует отсутствию строк программы, а каждое дополнительное приращение представляет равные объемы программы).

Эти и другие виды шкал, которые могут использоваться для оценивания процессов системы обеспечения ИБ организации и систем.

Метод измерений обычно влияет на выбор вида шкалы, которая может быть надежным образом использована при измерении атрибутов процессов.

Показатель — это мера, обеспечивающая оценивание определенных атрибутов с помощью выбранных методов измерения. Показатели являются основой для анализа и принятия решений. Это то, что должно представляться пользователям измерений. Измерение всегда основано на несовершенной информации, так что определение неопределенности, точности или значимости показателей является важным компонентом представления фактического значения показателя.

Указывается на два вида показателей оценки процесса показатели, с помощью которых оценивается функционирование процесса, и показатели, с помощью которых оцениваются возможности процесса

  1. Модель оценки, построенная на основе показателей функционирования процесса, применяется для измерения правильности процессов системы обеспечения ИБ организации с целью оценки соответствия ИБ установленным критериям.

  2. Модель оценки, построенная на основе показателей возможности процесса, применяется для оценки зрелости процессов системы обеспечения ИБ организации.

Рассмотрим модель оценки на основе показателей функционирования процессов (показателей правильности процессов) системы обеспечения ИБ организации.

Показатель функционирования W процесса есть мера степени соответствия реального результата процесса требуемому.

Основным требованием при выборе показателя функционирования является соответствие показателя цели процесса, которая отображается требуемым результатом YTP.

Для описания соответствия реального результата У процесса требуемому формально определим числовую функцию на множестве результатов процесса:

P = p(Y,YTP), A)


которая является функцией соответствия, показывающей степень достижения цели процесса.

Таким образом, показатель функционирования процесса можно представить в виде:


W = p(Y,YTP).


Однако для того чтобы функция A) могла рассматриваться в качестве показателя функционирования, помимо требования соответствия цели процесса она должна удовлетворять следующим требованиям: содержательности, интерпретируемости и измеримости.

Содержательность означает, что при оценивании показателя учитываются все существенные характеристики и свойства (атрибуты) процесса.

Интерпретируемость необходима для понимания результатов оценивания.

Измеримость означает, что для показателя существует метод измерения, обеспечивающий достоверные данные и доверенный способ оценивания.

Если процесс оценивается по некоторому числу его атрибутов, то вводится векторный (обобщенный) показатель функционирования, объединяющий частные показатели:


W0 = {W,W^ WJ,


где W., i=l, m определяется по B) с постановкой вместо Y, YTP величин у^у™ частных характеристик (атрибутов) процесса, т.е. W = p.(yif y.TP), i = li~m.

Введение векторного показателя функционирования накладывает дополнительные требования: минимальности числа частных показателей и полноты. Требование минимальности числа частных

показателей связано со стремлением к снижению трудоемкости оценивания, однако при сохранении полноты охвата характеристик и свойств (атрибутов) процесса.

Обычно векторный показатель вводят в случаях, когда цель процесса достигается решением нескольких задач, эффективность решения каждой из которых оценивается соответствующим частным показателем Wjf i = 1, m. Размер векторного показателя определяется числом оцениваемых атрибутов процесса.

Частные показатели могут иметь различную размерность. Поэтому при формировании обобщенного показателя необходимо оперировать с нормированными значениями показателей, что требуется для их сопоставления. Значение частного показателя может быть представлено

в виде процентного отношения или долей.

Измерение ИБ может быть основано на несовершенной информации (например, полученной в результате интервьюирования персонала организации), поэтому определение точности или значимости показателей является важным компонентом представления фактического значения показателя. Точность показателей зависит от выбранного метода измерения, источника данных и достоверности предоставляемых данных.

Субъективные методы измерения (документальная проверка, опрос сотрудников) зависят от экспертной интерпретации атрибутов процессов. Точность оценок может быть повышена, если дополнительно или вместо них использовать численные значения параметров процессов обеспечения ИБ. Например, для оценивания частного показателя «Проводятся ли регулярно проверки профессиональных навыков и оценка профессиональной пригодности сотрудников, работающих с защищаемыми активами и операциями?» может быть применен способ расчета, заключающийся в определении доли сотрудников (например, в процентном выражении), оценка профессиональных навыков и оценка профессиональной пригодности которых проводится регулярно.

Частные показатели могут быть представлены в виде вопросов анкет, как это реализовано, например, в документе NIST Special Publication 800-26 «Security Self-Assessment Guide for Information Technology Systems» в BSI PAS 56. Фрагмент анкеты BSI PAS 56, содержащей обобщенный показатель и частные

показатели, представлен в таблице 3.




Другой подход к формированию частных показателей показан в на примере формирования метрик в соответствии со стандартом NIST Special Publication 800-55 Security Metrics Guide for Information Technology Systems. В этом случае частные показатели входят в состав метрик в контексте источников и свидетельств аудита И Б, способа расчета показателя и, например, могут быть представлены в виде таблицы (табл. 4).




Чем больше показателей, позволяющих с помощью вычислений оценить интересующие атрибуты процессов, тем выше может быть объективность оценивания процессов при субъективных методах

измерения.

С помощью частных показателей ИБ оцениваются атрибуты процессов системы обеспечения ИБ, а с помощью обобщенных показателей ИБ оцениваются процессы системы обеспечения ИБ.

Модель объединения частных показателей — это алгоритм или вычисление, соединяющие частные показатели по определенному правилу. Правило должно основываться на понимании или на предположениях об ожидаемой взаимосвязи между частными показателями.

Таким правилом может быть выделение значимых частных показателей с присвоением им коэффициентов значимости. Значимость частных показателей определяется по степени влияния атрибута процесса на результат процесса. В этом случае обобщенный показатель вычисляется следующим образом:

1   ...   4   5   6   7   8   9   10   11   ...   17

Похожие:

Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Издательство ТулГУ
Бродовская, Е. В. Переговоры: стратегии, тактики, техники: Учебное пособие [Текст] / Е. В. Бродовская, А. А. Лаврикова. – Тула: Изд-во...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconА. В. Непомнящий Рынок ценных бумаг Учебное пособие Москва 2008
Учебное пособие предназначено для студентов вузов специальностей «Менеджмент организаций», «Бухгалтерский учёт, анализ и аудит» и«Финансы...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебно-методическое пособие Для студентов, аспирантов Таганрог 2008
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие для студентов второго образовательного уровня Таганрог 2010
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconРеферат по дисциплине «Организация обеспечения информационной безопасности» на тему
«Концепция информационной безопасности, анализ безопасности информационных систем»
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность»
Учебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность», 090105 «Комплексное...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconКонтрольные вопросы по курсу «Технические средства предприятий сервиса» (сервиса электронных систем безопасности) Глава Сущность курса «Технические средства предприятий сервиса», оборудование и технические, средства предприятий и подразделений безопасности
«Технические средства предприятий сервиса» студентам специальности «Сервис» специализация «Сервис электронных систем безопасности...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Москва 2008 удк машкин М. Н. Информационные технологии: Учебное пособие. М.: Вгна, 2008. 200 с
Учебное пособие по курсу Информационные технологии содержит учебный материал для подготовки к зачету по указанной дисциплине
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие. Таганрог: Изд-во трту, 2003
Учебное пособие cодержит описание теоретических и практических подходов к разработке и отбору инвестиционных проектов в условиях...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconН. Л. Михайлов архитектура вычислительных систем учебное пособие
Михайлов Н. Л. Архитектура вычислительных систем: Учебное пособие. – Рыбинск, ргата, 2008. – 87 с
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница