|К ВОПРОСУ О ПРОВЕДЕНИИИ ВНУТРЕННЕГО АУДИТА СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Агафонова Маргарита Евгеньевна, МИЭТ, г.Зеленоград,
Шахалов Игорь Юрьевич, МГТУ им.Н.Э.Баумана, Москва,
Рассмотрены проблемные вопросы проведения внутреннего аудита СМИБ. Проанализированы основные этапы аудита, такие как: анализ на соответствие требованиям документации, внедрения системы управления, планирования и подготовки, а также совершенствования. Показано, что на основе проведенного анализа этапов аудита СМИБ может быть разработана методика проведения комплексного аудита предприятия на соответствие выбранной группе требований.
Ключевые слова: информационная безопасность, система управления информационной безопасностью, внутренний аудит.
The problems of internal audit information security management system are considered. The main stages of the audit, such as analysis for compliance documentation management system implementation, planning, preparation and improvement are analyzed. It is shown that on the basis of the analysis of the stages of audit information security management system can be developed for a comprehensive audit methodology for compliance requirements of the selected group.
Keywords: information security, information security management system, internal audit.
В настоящее время вопросы проведения внутреннего аудита систем менеджмента информационной безопасности (СМИБ) становятся достаточно актуальными [5,6,11]. С ростом стоимости ресурсов компании и усложнением операций (целенаправленных процессов) требуется все большее количество затрат для построения комплексной (интегрированной) системы менеджмента. Данную систему необходимо подвергать аудиту на соответствие требованиям информационной безопасности. Опыт проведения внутреннего аудита СМИБ позволил выявить ряд практических приемов, которые будет приведены ниже по тексту.
GUIDELINES FOR THE INTERNAL AUDIT OF INFORMATION SECURITY MANAGEMENT SYSTEM
Margarita Agafonova, MIET, Zelenograd, [email protected] Igor Shakhalov, Bauman MSTU, Moscow,
Введение
К вопросу о проведениии внутреннего аудита...
Основы аудита информационной безопасности
Аудит СМИБ позволяет определить наиболее уязвимые места в защите компании, помогает оценить эффективность действующих организационно-технических мер по защите информационной системы организации. Уровень обеспечения информационной безопасности различается в зависимости от конкретно рассматриваемой компании, но должен соответствовать некоторому минимальному набору требований безопасности. Данные требования, вырабатывались в течение многих лет компаниями-разработчиками и исследовательскими институтами, а также профессионалами в области защиты информации объединяются в своды правил и стандартизируются на государственном уровне. Сегодня существует ряд стандартов в области информационной безопасности, наиболее известны - международный стандарт ISO/IEC 27001:2005, содержащий требования по созданию СМИБ компании, и «производные» от него [2,4,11].
Основной задачей аудита является подтверждение конфиденциальности, целостности и доступности информации, обрабатывающейся в корпоративной системе предприятия.
Аудит на соответствие требованиям информационной безопасности - это комплексный, циклический процесс, который состоит из следующих этапов:
- планирование аудита;
- планирование мероприятий по аудиту (разработка, согласование и утверждение планов мероприятий);
- проверка на соответствие группе требований (например, на соответствие стандарту ISO/IEC 27001:2005);
- систематизация результатов обследования и формирование отчетности.
Эти четыре этапа составляют жизненный цикл аудита. Рассмотрим их подробнее.
Жизненный цикл аудита информационной безопасности
Наиболее сложным этапом является практическое проведение аудита, так как российских стандартов в этой области нет, следовательно, законодательной базой, которая легла бы в основу методики поведения аудита СМИБ, могут стать стандарты серии ISO 270xx, часть из которых адаптирована в России. Рассмотрим более подробно указанный выше этап.
Непосредственно перед проведением аудита аудиторская группа должна иметь четко сформулированные задачи аудита и его область, критерии аудита, документы различных уровней (политики, процедуры, инструкции, стандарты организации и др.), перечень процессов и активов компании, подлежащих проверке, согласованную программу аудита от проверяемой организации, подтверждение проведения аудита.
Аудит начинается со вступительного совещания с представителями организации, на котором обсуждается повестка дня, программа аудита. После этого аудиторы начинают проверять организацию. Аудит документации является первым этапом проверки на соответствие требования. Вначале проверяются документы верхнего уровня: политика информационной безопасности или концепция информационной безопасности, частные политики, стандарты организации. Перечисленные документы должны отражать не только идеологию организации в целом в области информационной безопасности, но и отражать распределение ответственности между сотрудниками и руководством организации. Обязательно необходимо проверять осведомленность о содержании этих документов у сотрудников проверяемой организации и понимание целей, принципов и обязательства по защите акти-
УДК 621.322
вов организации, используемых конкретным подразделением компании. Проверку документов нижних уровней целесообразно проводить на месте, т.е. при проверке конкретных процессов или мер по обеспечению безопасности.
Аудитор должен поочередно пройти каждое заявленное в программе подразделение и проверить выполнение необходимых требований. В ходе проверки может быть использовано интервьюирование, частичная проверка процесса, проверка с помощью выборки (проверка выполнение в определенные промежутки времени), либо полная проверка всех составляющих процесса.
При рассмотрении стандарта ГОСТ Р ИСО/МЭК 27001-2006 - российского аналога 150/!БС 27001:2005 логичным будет анализ доменов, приведенных в стандарте:
- уязвимости политики безопасности;
- уязвимости организационных мер;
- уязвимости классификации и контроля ресурсов;
- уязвимости процедур, связанных с персоналом;
- уязвимости физической безопасности;
- уязвимости эксплуатации систем;
- уязвимости контроля доступа;
- уязвимости обслуживания и разработки систем;
- уязвимости обеспечения непрерывности бизнеса;
- уязвимости инцидентов информационной безопасности [1,3].
В процессе аудита важным фактором является сбор фактов и свидетельств для последующего анализа и отчета. Свидетельства всегда должны быть объективными, аудитор не должен использовать собственную фантазию для получения картины происходящего. Свидетельство может быть получено посредством наблюдения, измерения, испытания или любым другим разумным способом. Хорошей практикой является открытость аудитора и умение задавать правильные вопросы, которые мотивируют интервьюируемого рассказать о процессе либо пояснить требуемые детали.
Свидетельства аудита используются для описания несоответствий, формирования заключений и рекомендаций. Так как при проверке зачастую анализируются результаты предыдущих аудитов, то собранные свидетельства о несоответствиях должны быть прослеживаемыми и легко восстанавливаемыми для аудиторов в одной области.
В ходе аудита должен быть проведен анализ рисков организации. Может быть применен аналитический и инструментальный анализ локальной вычислительной сети и информационных ресурсов организации, с целью выявления угроз и уяз-вимостей защищаемых активов [8]. Проведение консультаций со специалистами организации и оценка соответствия фактического уровня безопасности. Расчет рисков, определение текущего и допустимого уровня риска для каждого конкретного актива. Ранжирование рисков, выбор комплексов мероприятий (контролей) по их снижению и расчет теоретической эффективности внедрения
После проверки всех бизнес-процессов, заявленных в программе аудита, составляется отчет по выявленным несоответствиям. В нем отражаются все несоответствия, какая-либо двусмысленность недопустима. Он детализирован: все собранные факты по каждому процессу или пункту стандарта полностью отражены. Отчет по несоответствиям должен быть тщательно проверен на наличии ошибок и неточностью и по возможности не иметь объемов, соизмеримых с научными энциклопедиями.
Далее составляется комплексный отчет по проведенному аудиту. Он может содержать рекомендации по устранению несоответствий и календарных план работ по улучшению СМИБ.
Завершить аудит рекомендуется заключительном совещанием, на котором подводятся итоги аудита, обсуждаются спорные вопросы, возникшие в ходе проведения проверки, согласовываются сроки устранения замечаний. Важно получить подтверждение понимания необходимости улучшения СМИБ и согласовать сроки начала и завершения работ по устранению несоответствий.
Аудит на соответствие требованиям информационной безопасности - важный процесс, так как помогает предотвратить возможное хищение или утерю информации или выявить уже имеющиеся каналы. Но для его успешного проведения необходимо тщательное планирование. Общий процесс планирования аудита будет рассмотрен ниже.
Выбор аудитора/группы аудиторов. Ключевым фактором при подборе экспертов для проведения внешнего аудита является то, что он должен быть независимым от проверяемой организации. В крупных организациях это могут быть специальные сотрудники, занимающиеся аудитом, либо консалтинговые организации, основная деятельность которых, является проведение аудита систем управления информационной безопасностью. В группу аудиторов могут приглашаться технические эксперты, которые будут проверять правильность настройки и функционирования конкретного оборудования и программного обеспечения [10].
При выборе аудиторов организация должна проверить, что они прошли соответствующую подготовку и имеют навыки, необходимые для проведения аудита. Основные темы, включенные в подготовку аудитора:
- знание и понимание требований информационной безопасности;
- знание методов исследования, опроса, оценивания и отчетности;
- знание методов проведения аудита информационной безопасности;
- дополнительные навыки управления аудитом, такие как планирование, организация, общение с высшим руководством.
Отправка «опросной» формы. Аудиторы должны до проведения предварительной встречи провести анкетный опрос организации. Данная анкета должна выявить основную информацию об организации.
Определение продолжительности и стоимости аудита. На основании результатов, полученных на предыдущем этапе, аудиторы оценивают продолжительность и стоимость аудита организации. Данные сведения учитываются при составлении договора на проведение аудита СМИБ.
Составление плана аудита. Методика составления такого плана состоит из двух шагов:
1. Создание плана аудита;
2. Утверждение плана аудита.
В план аудита включаются процессы и виды деятельности. Кроме того, определяются проверяемые отделы, персонал для проведения опроса.
Поскольку план аудита является важным компонентом, он должен быть составлен ответственным лицом и утвержден высшим руководством.
Совещание с высшим руководством. На данной встрече должны быть обсуждены и утверждены следующие вопросы:
- административные, включающие обсуждение и утверждение контактного лица от организации для связи с аудитором до, во время и после проверки. Кроме
УДК 621.322
этого должен быть определен комплект документов, который организация должна заранее направить аудиторской группе.
- аспекты, касающиеся непосредственно аудита. К ним относятся: область аудита; временные рамки аудита; участие сотрудников; план аудита; отчетность; меры, принимаемые по итогам аудита, согласование плана аудита.
Заключение
Для успешного управления информационной безопасностью в организации различных отраслей и масштабов необходимо построение комплексной системы, которая объединяет и направляет основные бизнес-процессы и информационные потоки. Для подтверждения корректности внедрения и эксплуатации указанных систем необходимо проводить периодический аудит на соответствие требованиям информационной безопасности [9].
Опыт показал, что лучшей основой для составления методики является ГОСТ ИСО/МЭК 27001, который посредством использования цикла Деминга позволяет выделить основные области и требования для проведения аудита.
Предложенные рекомендации легли в основу разработки магистерской программа подготовки «Аудит информационной безопасности автоматизированных систем» [7].
Литература
1. Барабанов А.В. Стандартизация процесса разработки безопасных программных средств // Вопросы кибербезопасности. 2013. № 1(1). С. 37-41.
2. Дорофеев А.В. Огатус CISSP: как получить и не потерять? // Вопросы кибербезопасности. 2013. № 1(1). С. 65-68.
3. Марков А.С., Фадин А.А. Организационно-технические проблемы защиты от целевых вредоносных программ типа Stuxnet // Вопросы кибербезопасности. 2013. № 1(1). С. 28-36.
4. Марков А.С., Цирлов В.Л.. Управление рисками - нормативный вакуум информационной безопасности // Открытые системы. СУБД. 2007. №8. С. 63-67.
5. Матвеев В.А., Цирлов В.Л. Состояние и перспективы развития индустрии информационной безопасности Российской Федерации в 2014 г. // Вопросы кибербезопасности. 2013. № 1(1). С. 61-64.
6. Найханова И.В. Аудит систем менеджмента качества и информационной безопасности // Вестник Московского государственного технического университета им. Н.Э. Баумана. Серия: Приборостроение. 2011. № SPEC. С. 152-156.
7. Хорев А.А. Магистерская программа подготовки «Аудит информационной безопасности автоматизированных систем» // Безопасность информационных технологий. 2011. № 3. С. 82-88.
8. Хорев А.А. Угрозы безопасности информации // Специальная техника. 2010. № 1. С. 50-63.
9. Чобанян В.А., Шахалов И.Ю. Анализ и синтез требований к системам безопасности объектов критической информационной инфраструктуры // Вопросы кибербезопасности. 2013. № 1(1). С. 17-27.
10. Шахалов И.Ю. Лицензирование деятельности по технической защите конфиденциальной информации // Вопросы кибербезопасности. 2013. № 1(1). С. 49-54.
11. Шахалов И.Ю., Дорофеев А.В. Основы управления информационной безопасностью современной организации // Правовая информатика. 2013. № 3. С. 4-14.
References
1. Barabanov A.V. Standartizatsiya protsessa razrabotki bezopasnykh programmnykh sredstv , Voprosy kiberbezopasnosti, 2013, N 1(1), pp.37-41.
2. Dorofeev A.V. Ctatus CISSP: kak poluchit' i ne poteryat'?, Voprosy kiberbezopasnosti, 2013, N 1(1), pp. 65-68.
3. Markov A.S., Fadin A.A. Organizatsionno-tekhnicheskie problemy zashchity ot tselevykh vredonosnykh programm tipa Stuxnet, Voprosy kiberbezopasnosti, 2013, N 1(1), pp. 28-36.
4. Markov A.S., Tsirlov V.L.. Upravlenie riskami - normativnyy vakuum informatsionnoy bezopasnosti, Otkrytye sistemy. SUBD. 2007. N 8, pp. 63-67.
5. Matveev V.A., Tsirlov V.L. Sostoyanie i perspektivy razvitiya industrii informatsionnoy bezopasnosti Rossiyskoy Federatsii v 2014 g, Voprosy kiberbezopasnosti, 2013, N 1(1), pp.61-64.
6. Naykhanova I.V. Audit sistem menedzhmenta kachestva i informatsionnoy bezopasnosti, Vestnik Moskovskogo gosudarstvennogo tekhnicheskogo universiteta im. N.E. Baumana. Seriya: Priborostroenie, 2011, Spec, pp. 152-156.
7. Khorev A.A. Magisterskaya programma podgotovki «Audit informatsionnoy bezopasnosti avtomatizirovannykh sistem», Bezopasnost' informatsionnykh tekhnologiy. 2011. N 3, pp. 82-88.
8. Khorev A.A. Ugrozy bezopasnosti informatsii, Spetsial'naya tekhnika. 2010. N 1, pp. 50-63.
9. Chobanyan V.A., Shakhalov I.Yu. Analiz i sintez trebovaniy k sistemam bezopasnosti ob''ektov kriticheskoy informatsionnoy infrastruktury , Voprosy kiberbezopasnosti, 2013, N 1(1), pp.17-27.
10. Shakhalov I.Yu. Litsenzirovanie deyatel'nosti po tekhnicheskoy zashchite konfidentsial'noy informatsii, Voprosy kiberbezopasnosti, 2013, N 1(1), pp.49-54.
11. Shakhalov I.Yu., Dorofeev A.V. Osnovy upravleniya informatsionnoy bezopasnost'yu sovremennoy organizatsii, Pravovaya informatika, 2013, N 3, pp. 4-14.