Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Проведение аудита ИБ на месте




Последовательность этапов проведения аудита:

1. Проведение предварительного совещания

2. Выполнение анализа документов во время проведения аудита

3. Обмен информации во время аудита

4. Формирование выводов аудита

5. Подготовка заключений по результатам аудита

6. Проведение заключительного совещания

Предварительное совещание проводится в проверяемой организации, организует совещание, на совещании присутствует представители организации с руководством. В ходе данного совещания обсуждаются вопросы по передаче информации и различные моменты по поводу контактов.

Цели:

1. Подтверждение плана аудита (согласование)

2. Представление аудиторов и работников организации

3. Обеспечение уверенности в том, что все запланированные мероприятия аудита будут выполнены (обе стороны обсуждают проведение аудита, т.е. различные нюансы проведения аудита)

 

Выполнение анализа документов во время проведения аудита

Анализ документации проводится с тем, чтобы определить соответствие системы, насколько это отображено, собрать информацию для содействия организации намеченной проверкой аудита.

Сбор документации может осуществляться в определенные сроки. Если документ критичный необходимо принять решение, если смысл проводить аудит.

 

Обмен информацией во время проведения аудита

Аудиторы запрашивают информацию необходимую для проверки. Так же во время проверок возникают дополнительные вопросы, вследствие чего необходимо обеспечить защищенный канал для обмена запрашиваемой информации. Обмен информации так же происходит в обратном направлении, руководство интересуется работой аудиторов, а те делятся проделанной работой и возникшими сложностями. Сопровождающие лица обеспечивают доступ и соблюдение требований проверяемой организации. Руководство проверяемой организации могут выполнять роль представителей организации, а так же предоставляют помощь при сборе информации.

 

Сбор и верификация информации

Основная цель аудиторов собрать, проверить для дальнейшего анализа. Процесс сбора информации аудита информационной безопасности, является наиболее сложным и длительным, это связанно в основном с большим объемом работ, возможным отсутствием нужной информации и необходимости плотного взаимодействия с должностными лицами организации.

На этапе сбора информации деятельность осуществляется по 3 основным направлениям:

1. Организационные меры в области ИБ

2. Программно-технические средства защиты информации

3. Обеспечение физической безопасности

 

Анализируются следующие характеристики информационной системы:

1. Организационные характеристики (актуальность, полнота документов; списки по доступу работников к сетевым устройствам и серверам; планы поддержки сотрудников)

2. Организационно-технические характеристики (использование уязвимостей, управление инцидентами ИБ, контроль защищенности, реализация доступа, восстановлении после сбоев)

3. Технические характеристики (топология и логическая сетевой инфраструктуры, системы защиты периметра, контроль доступа)

4. Технические характеристики, связанные с конфигурацией сетевых устройств и серверов (права доступа, настройки, конфигурации)

5. Технические характеристики, связанные встроенных механизмов информационной безопасности (вопросы использования криптографии, антивируса, разграничения доступа)

 

Методы сбора информации включают:

1. Опросы (устная деятельность, переносимая на бумагу, т.е. опросная бумага/лист)

2. Наблюдение за деятельностью (проверка в рабочей обстановке, разные проверки соблюдения безопасности)

3. Анализ документов, включая записи (анализируются на основе стандартов)

 

Блок-схема процесса, начиная со сбора информации заканчивая до получения заключения, выглядит след образом:

1. Источники информации

2. Сбор выборочных данных

3. Свидетельства аудита

4. Оценка по критериям аудита

5. Выводы аудита

6. Анализ

7. Заключение по результатам аудита

 

Анализ данных аудита

Используемые методы и каналы аудиторами определяется методологией аудита. На сегодняшний день используются 3 подхода:

1) Базируется на оценке рисков (опираясь на анализ оценки рисков, аудитор определяет для исследуемой информационной системы индивидуальный набор требований безопасности в наибольшей степени, учитывающий среду ее функционирования и существующие в данной среде угрозы) – данный подход наиболее трудоемкий и требует наивысший пилотаж в знаниях и опыте.

2) Опирается на использовании стандартов ИБ (стандарты определяют базовый набор требований ИБ для широкого класса систем, который формируется в результате обобщения мировой практики, стандарты могут определять разные требования ИБ в зависимости защищенности ИС и её принадлежности, а так же назначения ИС) – определяется набор стандартов в соответствии, с которыми требуется обеспечить защиту для данной системы.

3) Предполагает комбинацию 1-2 подхода (базовые требования определяются стандартам, а дополнительные требования определяются в соответствии с особенности функционирования системы и формируется на основе оценки рисков) – большая часть требований выдается стандартом и данный метод позволяет учитывать особенности системы.

 

Использование подходов на основе анализе рисков ИБ

Если мы выбрали подход на анализе рисков, то мы должны выполнить след группу задач:

1. Анализ ресурсов ИС (программные и технические средства, а так же людские)

2. Анализ задач решаемых информационной системой и бизнес процессов

3. Построение неформальной модели ресурсов (определяющие технические, информационные связи и способы взаимодействия между ними)

4. Оценки критичности информационных ресурсов, а так же программных и технических средств

5. Определение наиболее опасных угроз в направлении информационных безопасности ресурсов и осуществление этих угроз и уязвимости защиты делающих возможным эти угрозы.

6. Оценка вероятности угроз, величина потерь при реализации угрозы

7. Определение величины рисков для каждой тройки:

1) Угроза

2) Группа ресурсов

3) Уязвимости

 

Формирования выводов на основе аудита ИБ

Для получения выводов аудита, свидетельство аудита должны быть сопоставлены и оценены на соответствии критерия аудита. В рамках формирования выводов все свидетельства аудита должны быть записаны, несоответствия должны быть классифицированы (ранжированы). Любое несоответствие должно быть проверено совместно с проверяемой организацией для подтверждения объективности аудита, что выявлении несоответствия правильно понимаются. Следует принять все необходимые меры по разрешению любых разногласий по свидетельствам и другим непонятным ситуациям.

 

Подготовка заключений по результатам аудита

Группе по аудиту ИБ, следует выполнить:

1. Проанализировать выводы аудита и любую информацию, собранную в результате аудита на соответствии целям аудита

2. Подготовить и согласовать заключение аудита с учетом неопределенности присущей процессу аудита

3. Подготовить рекомендации, если это предусмотрено целями аудита

4. Обсудить действия по результатам аудита, если это требуется

Заключения аудита могут содержать след информацию, касающуюся:

1. Степень соответствия критериям аудита ИБ и основательности СМИБ, включая эффективность системы менеджмента в достижения целей

2. Эффективность внедрения, поддержания и улучшения системы менеджмента информационной безопасности

3. Возможности процесса анализа для обеспечения адекватность и успешности улучшения СМИБ

4. Достижение целей аудита, степени охвата области аудита и выполнения критериев аудита

5. Причин выявленных фактов несоответствий, если это предусмотрено планом аудита

6. Сопоставление и обобщение аналогичных фактов при аудите, для определения их тенденции

 

Рекомендации, выдаваемые аудиторами по результатам, определяется используемым подходом, особенностями ИС, состоянием дел ИБ и степенью детализации при проведении аудита. В любом случае рекомендация аудитора должны быть конкретными и применимыми в данной ИС, экономически обоснованными, аргументированными и ранжированными по степени важности.

Обычно рекомендации делят на 2 группы:

1. Организационные – обычно более просто реализуются, и как правило, имеют повышенный приоритет в связи с малыми затратами;

2. Программно-технические мероприятия – затратные, как по времени, так и по деньгам

 

Проведение заключительного совещания

Проведение заключительного совещания организуется руководителем по аудиту, на нем доводятся основные выводы и заключения, таким образом, чтобы они были понятные и признаны проверяемой организацией. Участие в заключительном совещании стоит привлекать руководителей, а так же работников проверяемых в ходе аудит, а так же заказчика аудита. Кроме этого руководитель группы доносит до сведений организации след:

1. Что собранные во время аудита данные, материалы проводились в определенный срок, точная дата

2. Метод протоколирования, составления отчета, включая любую документацию

3. Процесс обработки и трактовки выводов аудита и возможные последствия, связанные с принятием решений по выявленным фактам

4. Выводы аудита таким образом, чтобы они были понятны и признаны проверяемой организацией

5. Любые последующие действия по результатам аудита, корректирующие и тд.

 

Подготовка и рассылка отчета по аудиту ИБ

Аудиторский отчет является основным документом, в котором зафиксированы результаты. Качество отчета характеризуется работой аудиторов. Он должен содержать цели аудита, характеристику ИС, границу аудита (области аудита), используемые методы, результаты анализов, выводы, заключения и рекомендации аудита.

Общая структура отчета включается 3 фрагмента:

1. Оценка текущего состояния уровня защищенности системы

2. Рекомендации по технической защищенности

3. Рекомендации по организационной защищенности

Ответственность за подготовку и готовность отчета несет руководитель аудита.

Область аудита – кто заказчик аудита, кто проводит аудит, кто участвовал в предоставлении материалов, дата и указание место проведения.

Рассылка отчета по аудиту – должен быть согласован и утвержден, должен быть оправлен получателям, которые определены процедурам аудита.

 

Структура отчета ç посмотреть примеры

 

Способы оценивание информационной безопасности

Используются 3 направления:

1. Оценка по эталону (по какому-либо стандарту)

2. Оценка, ориентируемая на риски

3. Оценка по экономическим показателям (очень редко)

 

При оценке ИБ могут использоваться два основных видов моделей оценки.

1. Модель оценки, построенная на основе функционировании процесса, и применяется для измерения правильности процессов СОИБ, в соответствии установленным критерием

2. Модель оценки, построенная на основе показателей возможности процесса, применяется для оценки зрелости процесса в СОИБ организации

 

Функция соответствия должна удовлетворять след требованиям:

1. Содержательность (учитываются все существенные свойства, атрибуты процесса)

2. Интерпретируемость (необходима для понимания)

3. Измеримость (должен существовать метод измерения)

 

34 групповых показателя

1 группа (1-17)

2 группа(17-28)

3 группа(28-34)

 

[A- атрибут] è метод оценкиè[частный показатель]è

[A- атрибут] è метод оценкиè[частный показатель]è

[A- атрибут] è метод оценкиè[частный показатель]è

ð Групповым показателем.

[групповой показатель]è

[групповой показатель]è

[групповой показатель]è

ð Обобщенный показатель

[обобщенный показатель]è... è…

 

 

Стандарт банка России «Аудит ИБ»

Основная цель стандарта это описания взаимодействия между аудиторами и проверяемыми.

4 раздел приводится концептуальная схема аудита ИБ организации банковской системы

5 раздел «принципы аудита»

6 раздел «менеджмент аудита»

7 раздел «проведение аудита ИБ»

 

Аудиторская организация несет ответственность за:

1. Достоверность

2. Соблюдение конфиденциальности

 

По степени достоверности аудита:

1. Свидетельство, полученное от 3 стороны в письменно виде

2. Свидетельство, полученное от проверяемой организации и подтвержденное 3 стороной

3. Свидетельство получено от проверки

4. Свидетельство, полученное в виде документов

5. Свидетельство, полученное в устной форме

 

Аудит управления непрерывностью бизнеса

27002 (14 раздел) <== прочитать (пример)

Основная цель, как быстро, мы сможем восстановить непрерывность бизнеса.

 

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...