Предисловие (стр. 97 )

Комплект документации, подготовленный к проведению в организации аудита, должен содержать:

описание политики безопасности;

формальное определение границ защищаемой ИС;

методику поучения и рассчитанные значения оценок информационных рисков;

описание механизмов и инструментов управления информационной безопасностью ИС;

«Ведомость соответствия» – документ, в котором представлены результаты анализа на соответствие требованиям стандарта поставленных перед организацией целей в области информационной безопасности и средства их достижения.

В качестве предварительного или подготовительного этапа к проведению аудита информационной безопасности ИС обычно проводится внутренняя проверка соответствия системы управления информационной безопасностью ИС требованиям стандарта. Для каждого положения стандарта должен быть дан конкретный ответ на вопрос о выполнении соответствующего требования. Обычно осуществляется выбор одного из возможных ответов:

требование полностью выполняется;

требование выполняется частично, некоторые положения выполняются, но этого недостаточно для положительного ответа;

требование не выполняется, либо к данной ИС требование не применимо.

Если требование не выполняется или выполняется частично, необходимо точно указать причину сложившейся ситуации. Обычно причины относятся к одной из следующих категорий:

данное требование ранее не учитывалось или считалось несущественным;

требование не может быть удовлетворено из-за финансовых ограничений;

НЕ нашли? Не то? Что вы ищете?

удовлетворению требования препятствуют внешние факторы (отсутствие места для размещения соответствующей аппаратуры, ограничения, связанные с электропитанием, или экологическими условиями и т. д.);

выполнению требований препятствуют социологические или этнические факторы (специфика коллектива, особенности сектора рынка);

временный характер ограничений на выполнение требований (впоследствии по мере развития организации и совершенствования инфраструктуры требования будут выполнены);

отсутствие подходящих инструментов и/или методов для реализации сформулированных требований.

На основе полученных в ходе внутренней проверки результатов составляется ведомость соответствия. Основная цель этого документа – дать аргументированное обоснование имеющих место отклонений от требований стандарта.

После завершения внутренней проверки уполномоченные представители высшего звена руководства организации принимают решение об устранении выявленных несоответствий, либо решение о нецелесообразности использования ресурсов организации на устранение некоторых отклонений от требований стандарта.

Возможны два варианта проведения сертификации:

сертификация организации в целом;

сертификация только ИС организации.

При проведении подготовительного этапа, необходимого для сертификации организации в целом необходимо на основе анализа документов, бесед с экспертами и проверок реальной деятельности подразделений выявить и документировать:

наличие организационной инфраструктуры обеспечения безопасности в подразделениях организации, в частности, закрепление в должностных обязанностях сотрудников функций обеспечения информационной безопасности;

наличие документированной политики безопасности для организации в целом, и в частности документированной стратегии и общих положений подхода к оцениванию и управлению рисками;

наличие документированных и утвержденных руководством методик оценивания и управления рисками и процедур, гарантирующих использование утвержденных методик в практике деятельности организации;

обоснование рациональности выбора средств защиты для рассматриваемой ИС организации;

документированных процессов обслуживания и администрирования ИС организации, в частности, процедур создания резервных копий и восстановления системы;

документов, определяющих регламент проведения периодических или выборочных проверок с целью получения оценок и управления рисками;

документацию по системе управления информационной безопасностью и регистрацию необходимых средств обеспечения информационной безопасности в документе «Ведомость соответствия».

При подготовке к сертификации необходимо выполнить выборочные проверки выводов, сделанных при оценивании информационных рисков организации. Для каждого случая необходимо формально проверить и документально подтвердить:

факты, связанные с реализацией политики безопасности и подвергавшееся выборочной проверке;

научную обоснованность методик, использовавшихся для оценивания рисков;

достоверность представленных оценок;

соответствие выбранных средств обеспечения безопасности ИС рассмотренным рискам;

качество применяемых средств обеспечения ИБ и правильность их применения;

знание сотрудниками политики безопасности организации и системы управления информационной безопасностью организации в необходимом объеме

готовность документа «Ведомость соответствия».

Все заключения и выводы, сделанные по проведенным проверкам предварительного анализа должны быть стандартным образом оформлены.

При проведении сертификации только ИС организации необходимо проверить и документально зафиксировать:

наличие документации по итогам проведения периодических проверок системы управления информационной безопасностью ИС;

наличие научно обоснованных оценок рисков ИС;

достоверность полученных оценок рисков;

корректность установки и правильность использования необходимых средств обеспечения информационной безопасности ИС.

Все заключения по проведенным проверкам должны быть стандартным образом оформлены и утверждены руководством организации.

Основным этапом сертификации ИС является проведение аудита подсистемы информационной безопасности на соответствие стандартам BS7799 (ISO 17799). Аудиторы должны проанализировать все существенные элементы системы обеспечения информационной безопасности с учетом особенностей проверяемой организации и специфики ее деятельности. Необходимо сформулировать подход к оценке ценности информации, подлежащей защите. Отметим, что с учетом плохой формализуемости поставленной задачи, опыт и компетентность аудитора являются существенными факторами, оказывающими влияние на итоговый результат. В результате проведения аудита создается список выявленных несоответствий требованиям стандартов, а также рекомендаций по их исправлению.

Аудиторы обязаны гарантировать выполнение всех требований процедуры сертификации. И аудиторам, и проверяемой организации необходимо иметь четкое представление о степени серьезности обнаруженных недостатков, их категориях и способах исправления.

Используются следующие категории несоответствия.

Существенное несоответствие.

Не выполняется одно или несколько базовых требований стандартов, либо установлено, что используются неадекватные меры защиты конфиденциальности, целостности или доступности критически важной информации.

Несущественное несоответствие. Не выполняются некоторые второстепенные требования, что влечет за собой некоторое повышение информационных рисков или снижение эффективности защитных мер.

Каждое несоответствие должно иметь ссылку на соответствующее требование стандартов. В случае если выявлено значительное количество несущественных несоответствий, аудитор должен рассмотреть вопрос о возможном появлении по их совокупности существенного несоответствия.

После выявления несоответствий, аудитор и представители организации должны определить способы их устранения.

Организация аудита включает этапы подготовки и планирования проведения аудита и проверки документации.

Процедура проведения аудита планируется заранее. План должен быть подготовлен для всех первоначальных проверок и для всех контрольных проверок, продолжающихся более одного дня. Аудиторы должны быть ознакомлены с законодательными и нормативными требованиями, используемыми в проверяемой организации.

Процесс сертификации организации или ИС начинается с анализа аудитором документов, определяющие содержание, структуру и процедуры, определяющие функционирование подсистемы информационной безопасности:

концепцию информационной безопасности организации, политики безопасности, границы применимости политик безопасности, документы, определяющие построение оценок рисков;

«Руководство по реализации политики безопасности», содержащее общую схему подсистемы ИБ и документированные процедуры обеспечения ИБ;

«Ведомость соответствия» – документ, составленный аудитором при предыдущей проверке.

По окончании проверки аудитор представляет отчет, в котором должны быть представлены обоснованные выводы по темам:

степень достижимости декларируемых целей организации в области информационной безопасности;

соответствие представленных и полученных в ходе проверки данных об организации стандартам в области информационной безопасности и декларированной политике безопасности организации.

План проведения аудита должен определять подлежащие проверке сферы деятельности организации. Этот план вместе со всеми изменениями, внесенными в процессе выполнения аудита, прикладывается к отчету о проведении аудита. План составляется на основе «Руководства по реализации политики безопасности» и «Ведомости соответствия».

Заказчик должен представить необходимые сведения о целевом назначении и структуре организации, технологии информационного обеспечения управления организацией. Как правило, предоставляется описание используемых информационных технологий, включающее схему информационной инфраструктуры и перечень системного и прикладного программного обеспечения.

Процедура проведения аудита должна начинаться с официального собрания, на котором руководству среднего и верхнего звена и сотрудникам, занимающимся вопросами безопасности, должны быть разъяснены следующие вопросы:

перечень систем, подвергающихся аудиту;

объяснение методов оценки;

определение несоответствий и действий по их устранению;

замечания и возможная реакция на них;

план проведения аудита;

доступность документации для проверки;

возможные трудности, которые могут возникнуть в процессе работы и способы их преодоления;

организация работы с конфиденциальными сведениями, необходимыми для проведения аудита.

После завершения процедуры аудита с руководством высшего звена проводится итоговое совещание, на котором рассматриваются следующие вопросы:

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99

Правила пользования Сайтом
Правила публикации материалов
Политика конфиденциальности и обработки персональных данных

При перепечатке материалов ссылка на pandia.org обязательна.
Минимальная ширина экрана монитора для комфортного просмотра сайта: 1200 пикселей.
Сайт не содержит автоматически сгенерированных данных и не принимает подобные материалы.

Мы признательны за найденные неточности в материалах, опечатки, некорректное отображение элементов на странице - отправляйте на [email protected]

Домашний очаг

Справочная информация

Техника

Общество

Образование и наука

Мир

Бизнес и финансы