КонцепциЯ аудита информационной безопасности систем информационных технологий и организаций
(проект)
Содержание
6 Взаимоотношение аудиторов с представителями проверяемой организации 27
7 Управление программой аудита информационной безопасности 30
8 Этапы проведения аудита информационной безопасности 34
Нормативные ссылки
В настоящем проекте концепции использованы ссылки на следующие стандарты:
ГОСТ 1.1 2002 Межгосударственная система стандартизации. Термины и определения
ГОСТ Р 50922 96 Защита информации. Основные термины и определения
ГОСТ Р 51000.1-95 Система аккредитации органов по сертификации, испытательных и измерительных лабораторий. Общие требования.
ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения
ГОСТ Р 40.002 2000 Система сертификации ГОСТ Р. Регистр систем качества. Основные положения
ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты
ГОСТ Р ИСО 9000-2001 Системы менеджмента качества. Основные положения и словарь
ГОСТ Р ИСО/МЭК 12207-99 Информационная технология. Процессы жизненного цикла программных средств
ГОСТ Р ИСО/МЭК 15408 2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий
ГОСТ Р ИСО 19011—2003 Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента
Введение
Настоящий документ излагает систему взглядов, основных принципов, которые закладываются в основу решения задачи аудита информационной безопасности организаций и системы информационных технологий, являющейся частью общей задачи обеспечения национальной безопасности.
Основу национальной безопасности определяет уровень экономического развития страны и в этом контексте основой развития национальной экономики является развитие бизнеса российскими организациями, который невозможен без обеспечения взаимных гарантий и доверия участвующих сторон. Доверие может развиться только в том случае, когда участники сделки ощущают надежность и безопасность, государство, в свою очередь, должно оказывать содействие бизнесу, включая содействие в поддержании должного уровня безопасности организаций. Обеспечение безопасности организации является сложной и комплексной задачей. Одним из компонентов безопасности является информационная безопасность организации и информационных систем, реализующих современные технологии обработки информации (далее систем информационных технологий). Информационная безопасность не может быть целью деятельности организации, а потому не имеет самостоятельного значения, но она является одним из мощнейших инструментов, который при правильном использовании может оказывать существенную поддержку бизнесу или деятельности организации.
Широкое внедрение систем информационных технологий, являющихся одним из компонентов, поддерживающих цели деятельности организаций, обеспечивая их эффективное и бесперебойное функционирование, также привело к необходимости реализации решений по обеспечению информационной безопасности. Осознание этой необходимости обусловило развитие теоретических и практических основ для создания систем информационной безопасности организаций и системы информационных технологий. Однако, современные требования бизнеса, предъявляемые к определению уровня обеспечения информационной безопасности, и существенный рост рисков потерь (материальных, финансовых, моральных, информационных) от нарушения информационной безопасности во всех сферах жизнедеятельности общества и государства, диктуют настоятельную необходимость использовать в своей работе обоснованные технико-экономические методы и средства, позволяющие количественно и качественно измерять уровень защищенности организаций и систем информационной технологий, а также оценивать экономическую эффективность затрат на информационную безопасность. Особенно остро стоят вопросы защиты так называемых ключевых объектов информационной и телекоммуникационной инфраструктуры Российской Федерации. Одним из направлений, позволяющих оценить уровень обеспечения информационной безопасности, является аудит информационной безопасности.
Вместе с тем, в стране отсутствует единая система взглядов на государственное регулирование процессов аудита информационной безопасности организаций и систем информационных технологий. На национальном рынке услуг, отвечая потребностям рынка, различными частными фирмами предлагаются услуги по проведению аудита информационной безопасности организаций и их систем информационных технологий. В то же время в отсутствии необходимых национальных регуляторов такая деятельность может нанести непоправимый вред организациям.
В настоящее время в Российской Федерации существует целый ряд ведомств, ответственных за безопасность, в том числе за информационную безопасность. Они действуют на основании своих нормативных документов и руководств. В настоящей Концепции рассматриваются вопросы аудита информационной безопасности организаций и систем информационных технологий применительно к сфере компетенции Федеральной службы по техническому и экспортному контролю Российской Федерации.
Концепция предназначена для Федеральных органов и организаций, ответственных за безопасность ключевых систем, для собственников и пользователей конфиденциальной информации, требующей защиты в соответствии с законодательством Российской Федерации, для организаций любой формы собственности, обрабатывающих конфиденциальную информацию, не являющуюся собственностью государства, разработчиков средств и систем защиты конфиденциальной информации, для организацией и лиц, организующих и выполняющих аудит информационной безопасности.
Концепция является методологической основой для разработки нормативно-распорядительных и методических документов, направленных на решение следующих задач:
определение основ аудита информационной безопасности организаций различных форм собственности и их систем информационных технологий;
разработка методик по проведению аудита информационной безопасности организаций и их систем информационных технологий;
определение основ аккредитации и лицензирования (регистрации) деятельности физических и юридических лиц по аудиту информационной безопасности организаций и их систем информационных технологий;
сертификация программно-аппаратных средств инструментальной поддержки основных процессов аудита информационной безопасности организаций и их систем информационных технологий.
ОпределенияВ настоящем документе применяют следующие термины с соответствующими определениями.
Аккредитация: официальное признание органом по аккредитации компетентности физического или юридического лица выполнять работы в определенной области оценки соответствия [0]
|
Аккредитация предприятия в качестве органа по сертификации средств защиты информации по требованиям безопасности информации: официальное признание технической компетентности предприятия и его независимости от разработчиков, изготовителей (поставщиков) и заказчиков (потребителей) испытываемых средств защиты информации для организации и проведения испытаний в соответствии с требованиями стандартов или иных нормативных документов [0]
|
Аттестация (программно-аппаратных средств): подтверждение экспертизой и представлением объективных доказательств того, что конкретные требования к конкретным объектам полностью реализованы (ГОСТ Р ИСО/МЭК 12207)
Аттестация (организации): проверка организации с целью определения ее соответствия установленным требованиям (критериям) аккредитации (ГОСТ Р 51000.1)
Аттестация объектов информатизации: комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России [0]
|
Аудит: систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита
|
Аудит информационной безопасности системы информационных технологий: аудит с целью установления степени выполнения требований по обеспечению состояния защищенности системы информационных технологий
|
Аудит информационной безопасности организации: Периодический, независимый от объекта аудита и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организациях установленных требований по обеспечению информационной безопасности.
|
Аудитор: лицо, обладающее компетентностью для проведения аудита (ГОСТ Р ИСО 19011)
|
Аудитор: физическое лицо, отвечающее квалификационным требованиям, установленным уполномоченным федеральным органом, и имеющее квалификационный аттестат аудитора [0]
|
Безопасность информации: состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз [0]
Безопасность организации: состояние защищенности интересов (целей) организации в процессе их реализации в условиях внутренних и внешних угроз
|
Выводы аудита: результаты оценивания свидетельств аудита относительно критериев аудита
Примечание - Выводы аудита могут указывать на соответствие или несоответствие критериям аудита или указывать на возможности улучшения (ГОСТ Р ИСО 19011)
|
Группа по аудиту: один или несколько аудиторов, проводящих аудит, которых, при необходимости, поддерживают технические эксперты (ГОСТ Р ИСО 19011)
|
Заказчик аудита: организация или лицо, заказавшее аудит
Примечание - Заказчиком аудита может быть проверяемая организация или любая другая организация, имеющая право заказывать аудит в соответствии с законом или договором (ГОСТ Р ИСО 19011)
|
Заключение по результатам аудита: итоги аудита, подготовленные группой по аудиту после анализа целей аудита и всех выводов аудита (ГОСТ Р ИСО 19011)
|
Защитная мера: мера, используемая для уменьшения риска (ГОСТ Р 51898)
Защита информации: деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию (ГОСТ Р 50922)
|
Информационная безопасность организации: состояние защищенности интересов (целей) организации в информационной сфере в условиях внутренних и внешних угроз
Примечание - Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений.
|
Информационная технология: приемы, способы и методы применения технических и программных средств при выполнении функций обработки информации (ГОСТ Р 51275)
Ключевые системы: системы информационной и телекоммуникационной инфраструктуры, оказывающие существенное влияние на безопасность государства в информационной сфере [0]
|
Инцидент информационной безопасности: действительное, предпринимаемое или вероятное нарушение безопасности, вызванное либо ошибкой людей, либо неправильным функционированием, либо природными факторами (например, пожар или наводнение), либо преднамеренными злоумышленными действиями, либо нарушением конфиденциальности, целостности, доступности, учетности или бесспорности, влияющие на систему, сервис и/или сеть и их составные части [0]
|
Компетентность: доказанные личные свойства и доказанная способность применять знания и навыки (ГОСТ Р ИСО 19011)
|
Критерии аудита: совокупность политик, процедур или требований
Примечание - Критерии аудита выступают в качестве эталона, с которым сравнивается свидетельство аудита (ГОСТ Р ИСО 19011)
Лицензирование в области защиты информации: деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации [0]
|
Международный стандарт: стандарт, принятый международной организацией [0]
Национальный стандарт: стандарт, утвержденный национальным органом Российской Федерации по стандартизации [0]
|
Область действия аудита: объем и границы аудита
Примечание - Область действия аудита обычно описывает охваченные аудитом фактические месторасположения, организационные единицы, деятельности и процессы, а также период времени (ГОСТ Р ИСО 19011)
|
Наблюдения аудита: результаты оценивания собранного свидетельства аудита относительно критериев аудита
Примечание – Наблюдения аудита могут указывать на соответствие или несоответствие критериев аудита или на возможности улучшения.(ГОСТ Р ИСО 19011)
|
Организация: Юридическое лицо, которое имеет в собственности, хозяйственном ведении или оперативном управлении обособленное имущество и отвечает по своим обязательствам этим имуществом, может от своего имени приобретать и осуществлять имущественные и личные неимущественные права, нести обязанности, быть истцом и ответчиком в суде (ГОСТ Р 40.002 2000).
Примеры: - Компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие розничной торговли, ассоциация, а также их подразделения или комбинация из них.
|
План аудита: описание мероприятий по проведению аудита [0]
|
Правила (стандарты) аудиторской деятельности: единые требования к порядку осуществления аудиторской деятельности, оформлению и оценке качества аудита и сопутствующих ему услуг, а также к порядку подготовки аудиторов и оценке их квалификации [0]
|
Программа аудита: серия из одного или нескольких аудитов, запланированная на определенный период времени и направленная на достижение конкретной цели
Примечание - Программа аудита содержит все виды работ, которые необходимы для планирования, организации и проведения аудита (ГОСТ Р ИСО 19011)
|
Свидетельство аудита: записи, отчеты о событии или иная информация, которая соотносится с критериями аудита и которую можно проверить
Примечание - Свидетельство аудита может быть качественным или количественным (ГОСТ Р ИСО 19011)
Сертификация: форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров [0]
Сертификация средств защиты информации по требованиям безопасности информации: деятельность по подтверждению характеристик средств защиты информации требованиям государственных стандартов или иных
нормативных документов по защите информации, утвержденных Государственной технической комиссией при Президенте Российской Федерации [0]
|
Система: совокупность взаимосвязанных и взаимодействующих элементов (ГОСТ Р ИСО 9000)
Система информационной технологии – система, в которой реализована информационная технология
|
Система менеджмента: система для разработки политики и целей и достижения этих целей
Примечание – Система менеджмента организации может включать различные системы менеджмента, такие, как система менеджмента качества, система менеджмента финансовой деятельности или система менеджмента охраны окружающей среды (ГОСТ Р ИСО 9000).
|
Стандарт: документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения [0]
|
Стандартизация: деятельность, направленная на достижение оптимальной степени упорядочения в определенной области посредством установления положений для всеобщего и многократного использования в отношении реально существующих или потенциальных задач (ГОСТ 1.1)
|
Технический эксперт: лицо, предоставляющее специальные знания или опыт группе по аудиту
Примечание - Технический эксперт не имеет полномочий аудитора в группе по аудиту [0].
|
Эффективность: связь между достигнутым результатом и использованными ресурсами (ГОСТ Р ИСО 9000)
| Обозначения и сокращения
BS
|
-
|
British Standards (стандарт Великобритании)
|
BSI
|
-
|
British Standards Institution (Институт стандартов Великобритании);
|
CobiT
|
-
|
Control Objectives for Information and related Technology (Цели контроля (управления) для информационных и смежных технологий)
|
АС
|
-
|
автоматизированная система;
|
ИБ
|
-
|
информационная безопасность;
|
СИТ
|
-
|
системы информационной технологии;
|
РД
|
-
|
руководящий документ;
|
РКА
|
-
|
Российская коллегия аудиторов
|
СЗИ
|
-
|
средство защиты информации;
|
СМИБ
|
-
|
Система менеджмента информационной безопасности
|
СТР-К
|
-
|
специальные требования и рекомендации по технической защите конфиденциальной информации.
|
ФСТЭК
|
-
|
Федеральная служба по техническому и экспортному контролю
| |
