Организация и проведение внутреннего аудита информационной безопасности

Размещено на http://www.allbest.ru/

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

«Национальный исследовательский университет «МЭИ»

Институт информационной и экономической безопасности

РЕФЕРАТ

по дисциплине «Правовое обеспечение экономической безопасности»

на тему: «Организация и проведение внутреннего аудита информационной безопасности»

Работу выполнила:

студентка 5-го курса группы ИБ-01-09

Ахмадулина А.А.

Работу проверил:

Коваленко Ю.И.

МОСКВА 2013



Введение

На данный момент в Российской Федерации отсутствуют документально оформленные взгляды на пути совершенствования правового обеспечения аудита ИБ организаций и СИТ как в стране в целом, так и в различных ведомствах, что затрудняет правовое регулирование отношений между заказчиком и аудитором, между государственными органами аттестации и компаниями, фирмами или частными организациями. Проведение аудита в области ИБ является высокоинтеллектуальным видом деятельности, имеющим прямое отношение к национальной безопасности, в силу чего аудиторская деятельность в области ИБ является особым видом услуг, на которые не должны распространяться положения действующих в настоящее время правовых документов, регулирующих порядок предоставления услуг в Российской Федерации.

На сегодняшний день в Российской Федерации действует ряд документов, регулирующих аудиторскую деятельность, которая преимущественно направлена на оценку достоверности финансовой отчетности или же на проведение сертификационного аудита по стандартам менеджмента качества (ИСО 9000) и охраны окружающей среды (ИСО 14000). К таким документам относятся:

Федеральный закон «Об аудиторской деятельности» от 07 августа. 2001 года .№ 119-ФЗ (14 декабря 2001 года вступил в силу Федеральный закон «О внесении изменений и дополнений в Федеральный Закон «Об аудиторской деятельности»» № 164-ФЗ);

Федеральные правила (стандарты) аудиторской деятельности, утвержденные постановлением Правительства Российской Федерации от 23 сентября 2002 года № 696;

Стандарты аудита Российской Коллегии аудиторов (РКА);

ГОСТ Р ИСО 19011_2003 Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента, утвержденный постановлением Госстандарта Российской Федерации и введенный в действие с 1 апреля 2004 года.

Касаясь возможного отношения действующих в России документов в области аудита к аудиторской деятельности в области ИБ необходимо отметить следующее.

Федеральный закон «Об аудиторской деятельности», Федеральные правила (стандарты) аудиторской деятельности, а также Стандарты аудита РКА определяют положения процедурного плана, профессиональной этики и принципов деятельности в области аудита. В данных документах содержатся положения и требования, которые регламентируют следующие области, относящиеся к аудиту:

основные принципы аудита;

этапы проведения аудита;

взаимоотношения аудиторов с представителями проверяемой организации;

формы представления результатов аудита.

Данные документы ориентированы на оценку финансовой отчетности и не содержат критериев для аудита ИБ, в то же время их положения процедурного характера могут быть взяты в качестве основы для формирования подходов по аудиту ИБ, но требуется разработка (принятие) критериев (требований), используемых в аудиторской деятельности по оценке соответствия в области ИБ;

Руководящие указания по проведению внутренних и внешних аудитов систем менеджмента качества и/или экологического менеджмента, определяемые ГОСТ Р ИСО 19011, так же могут быть использованы при разработке процедурных положений по проведению аудита ИБ. В то же время определенная стандартом модель проведения аудита должна быть адаптирована для области аудита ИБ.

В настоящее время и в Российской Федерации и за рубежом отсутствует единый и общепринятый стандарт в области аудита информационной безопасности.

Сложившаяся ситуация диктует необходимость разработки и введения в действие национальных стандартов аудита в области ИБ, базирующихся на признаваемых в международном сообществе решениях и учитывающих специфику и особенности аудиторской деятельности в области ИБ в Российской Федерации, включая решение задач процедурного плана.

Суть, назначение, цели, результаты и процессы проведения аудита ИБ определяются типом организации, видом и принадлежностью обрабатываемой конфиденциальной информации и ролью организации в общих процессах обеспечения безопасности государства в информационной сфере. С учетом этого аудит ИБ должен рассматриваться для трех типов организаций:

организаций любой формы собственности, эксплуатирующих объекты ключевых систем информационной инфраструктуры;

организаций любой формы собственности, использующих в своей деятельности конфиденциальную информацию являющуюся собственностью государства, и имеющих необходимые для такого вида деятельности;

негосударственных организаций, использующих в своей деятельности конфиденциальную информацию, не являющуюся собственностью государства.

аудит информационный документ



1. Основные виды и способы аудита информационной безопасности

Аудит ИБ организации определяется как систематический, независимый и документированный процесс для получения свидетельств аудита ИБ и объективного их оценивания с целью установления степени выполнения критериев аудита ИБ. Аудит ИБ не подменяет государственного контроля состояния ИБ ключевых объектов информационной и телекоммуникационной инфраструктуры Российской Федерации и организаций любой формы собственности, являющихся собственником или пользователем конфиденциальной информации, требующей защиты в соответствии с законодательством Российской Федерации.

По содержанию аудит ИБ разделяется на следующие виды:

аудит ИБ СИТ, эксплуатирующихся в организации;

аудит ИБ организации.

Задачей аудита ИБ СИТ, эксплуатирующихся в организации, является проверка состояния защищенности конфиденциальной информации в организации от внутренних и внешних угроз, а также программного и аппаратного обеспечения, от которого зависит бесперебойное функционирование СИТ. Данный вид подразумевает, как документальный, так и инструментальный аудит состояния защищенности информации при ее сборе, обработке, хранении с использованием различных СИТ.

Задачей аудита ИБ организации является проверка состояния защищенности интересов (целей) организации в процессе их реализации в условиях внутренних и внешних угроз, а также предотвращение утечки защищаемой конфиденциальной информации, возможных несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Аудит ИБ СИТ, эксплуатирующихся в организации, может проводиться как самостоятельный вид аудита, а также являться частью аудита ИБ организации. При этом он может проводиться во время проведения аудита ИБ организации или же при проведении аудита ИБ организации могут использоваться результаты ранее проведенного аудита ИБ СИТ, эксплуатирующихся в организации.

По форме аудит ИБ может быть внутренним и внешним.

Внутренний аудит ИБ проводится самой организацией или от ее имени для внутренних целей и может служить основанием для принятия декларации о соответствии требованиям стандартов или нормативных документов по защите информации и обеспечению информационной безопасности.

Внешний аудит ИБ проводится внешними независимыми коммерческими организациями, имеющими лицензии на осуществление аудиторской деятельности в области ИБ.

Внешний аудит ИБ обязателен для всех государственных или негосударственных организаций, являющихся собственником или пользователем конфиденциальной информации, требующей защиты в соответствии с законодательством Российской Федерации, а также для всех организаций, эксплуатирующих объекты ключевых систем информационной и телекоммуникационной инфраструктуры Российской Федерации.

2. Основные принципы аудита информационной безопасности

Проведение аудита ИБ основывается на ряде принципов, следование которым является предпосылкой для обеспечения объективных заключений по результатам аудита ИБ. Эти принципы должны быть признаны и соблюдены всеми сторонами, участвующими в аудите ИБ. Выполнение принципов способствует повышению безопасности организации и СИТ.

Принципы, относящиеся к аудиту ИБ:

независимость аудита ИБ. Аудит ИБ должен проводиться независимыми организациями или независимыми аудиторами. Независимость является основанием для беспристрастности при проведении аудита ИБ и объективности при формировании заключения по результатам аудита ИБ;

полнота аудита ИБ. Аудит ИБ должен охватывать все области ИБ и защитные меры, указанные в договоре на проведение аудита ИБ. Кроме того, полнота аудита ИБ определяется достаточностью предоставленных материалов, документов и уровнем их релевантности. Полнота аудита ИБ является необходимым условием для формирования объективных заключений по результатам аудита ИБ;

оценка на основе свидетельств аудита ИБ. Оценка на основе свидетельств является единственным способом, позволяющим получить повторяемое заключение по результатам аудита, что повышает к нему доверие. Для повторяемости заключения свидетельства аудита ИБ должны быть воспроизводимыми;

необходимость понимания аудитором деятельности проверяемой организации. При проведении аудита аудитор должен понимать деятельность проверяемой организации в достаточной степени, чтобы идентифицировать и правильно оценивать события, процессы, относящиеся к области ИБ, с учетом возможностей применения методов и способов оценки рисков, которые могут оказывать существенное влияние на достоверность проверяемых данных, на ход проведения проверки или на выводы, содержащиеся в аудиторском заключении. До проведения проверки аудиторская организация должна получить первоначальные знания особенностей отрасли, права собственности, управления и деятельности организации, подлежащей аудиту, и оценить их достаточность для проведения аудита;

компетентность и этичность. Доверие процессу аудита зависит от компетентности тех, кто проводит аудит, и от этичности их поведения. Компетентность базируется на личных качествах аудитора и способности применять знания и навыки.

Этичность поведения подразумевает ответственность, неподкупность, умение хранить тайну, беспристрастность.

3. Критерии аудита информационной безопасности

В общем случае под критериями аудита ИБ понимается совокупность политик ИБ, процедур или требований, установленных Федеральными стандартами и нормативами, с которыми сравнивается свидетельство аудита ИБ.

Для проведения аудита ИБ должна быть заранее определена система критериев, отраженная в нормативных документах (регламентах и/или стандартах) и действующая в отношении аудируемой организации. Организации, на которые не распространяются обязательные требования, сформулированные в этих документах, должны признать и руководствоваться в своей деятельности каким-либо из существующих стандартов в области ИБ.

Выбор критериев аудита ИБ с учетом обеспечения полноты аудита ИБ и в зависимости от типа аудируемой организации, а также определение методологии оценки как составной части процесса аудита ИБ, должно проводиться на основе постоянного и непрерывного накопления и обобщения соответствующего мирового опыта и лучших практик отечественных аудиторских организаций.

Состав критериев для организаций и СИТ, подвергаемых аудиту ИБ, рекомендуется определять следующим образом:

для организаций любой формы собственности, эксплуатирующих объекты ключевых систем информационной инфраструктуры и (или) обрабатывающих конфиденциальную информацию, являющуюся собственностью государства, на основе положений международного стандарта ИСО/МЭК 17799 и стандарта Великобритании BS 7799_2 (в части, ориентированной на политики ИБ и персонал) с учетом принятых и действующих руководящих документов и положений Гостехкомиссии России по аттестации объектов информатизации и АС, сертификации по РД и ИСО/МЭК 15408 СЗИ и продуктов ИТ в составе АС.:

для негосударственных организаций, обрабатывающих конфиденциальную информацию, не являющуюся собственностью государства, на основе положений международного стандарта ИСО/МЭК 17799 и стандарта Великобритании BS 7799_2 (в полной мере) и с учетом принятых и действующих руководящих документов и положений Гостехкомиссии России по сертификации по РД и ИСО/МЭК 15408 СЗИ и продуктов ИТ в составе АС.

4. Этапы проведения аудита информационной безопасности

Частью программы аудита ИБ являются указания по планированию и проведению аудитов ИБ. Степень распространения данных требований зависит от области применения, сложности конкретного аудита ИБ и предполагаемого использования заключений по результатам аудита ИБ.

Проведение аудита ИБ состоит из следующих этапов:

организация проведения аудита ИБ;

анализ документов;

подготовка к аудиту ИБ на месте его проведения;

проведение аудита ИБ на месте;

подготовка, утверждение и рассылка отчета по аудиту ИБ;

завершение аудита ИБ;

выполнение действий по результатам аудита ИБ.

Этап организации проведения аудита ИБ включает:

назначение руководителя аудиторской группы;

определение целей, области и критериев аудита ИБ

определение возможности аудита ИБ

выбор аудиторской группы

установление начального контакта с проверяемой организацией.

При определении размера и состава аудиторской группы должны учитываться:

цели, область аудита ИБ, критерии аудита и его ориентировочная продолжительность;

общая компетентность и уровень квалификации аудиторской группы;

необходимость исполнения принципов проведения аудита ИБ;

законодательные, регламентирующие, контрактные требования и требования органов аккредитации/сертификации, если применимо;

способность членов аудиторской группы к совместной работе и к эффективному взаимодействию с проверяемой организацией;

понимание социальных и культурных особенностей проверяемой организации (это может быть достигнуто либо собственным опытом аудитора, либо с помощью эксперта).

Если в определенной области (по определенному вопросу) знаний аудиторской группы недостаточно, то недостающие знания и умения могут быть восполнены включением в группу экспертов. Эксперты должны работать под руководством аудитора.

Для взаимодействия с аудиторской группой руководством проверяемой организации должны быть назначены лица, на которых возлагается ответственность за своевременность, достоверность и полноту предоставления запрошенной аудиторами информации в объеме, не выходящем за пределы их полномочий и условий, определенных договором.

Этап анализа документов проверяемой организации проводится аудиторской группой для определения соответствия положений, отраженных в документации организации, критериям аудита ИБ. Документация может содержать:

информацию, касающуюся организационно-правовой формы и организационной структуры проверяемой организации;

выдержки или копии необходимых юридических документов, соглашений и протоколов;

политики, действующие в организации;

информацию о процессах организации;

информацию о применяемых в организации средствах, в том числе это может быть:

аппаратные диаграммы, чертежи и модели;

программная документация;

спецификации интерфейсов;

рабочие инструкции;

учебники для тренировки персонала;

описание процедур сопровождения;

вопросы снятия с эксплуатации;

отчеты по предыдущим аудитам ИБ;

любая другая документация, в которой отражаются вопросы, регламентируемые положениями действующих стандартов и нормативов в области ИБ.

Анализ должен учитывать размер, тип и сложность организации, а также цели и область аудита ИБ. Если документация будет признана неадекватной, то руководитель аудиторской группы должен сообщить об этом заказчику аудита ИБ и проверяемой организации. Аудиторской группой должно быть принято решение, может ли аудит ИБ быть продолжен или приостановлен до момента решения всех вопросов по документации.

Этап подготовки к аудиту ИБ на месте его проведения включает в себя распределение работ в аудиторской группе и подготовку рабочей документации.

Руководитель аудиторской группы должен подготовить план аудита ИБ, который облегчит составление графика и координацию действий при проведении аудита ИБ.

План аудита ИБ должен включать следующее:

цель аудита;

критерии аудита;

область аудита, включая идентификацию организационных и функциональных единиц и процессов, подлежащих проверке;

дату и место, где должны осуществляться действия по аудиту на месте;

ожидаемое время и продолжительность действий по аудиту на месте, включая совещания с руководством проверяемой организации и совещания аудиторской группы;

роли и обязанности членов аудиторской группы и сопровождающих лиц.

При необходимости, план аудита ИБ может включать следующее:

перечень представителей проверяемой организации, которые будут сопровождать аудиторскую группу;

разделы отчета;

техническое обеспечение (поездки, оборудование на месте и т. д.);

рассмотрение вопросов конфиденциальности;

сроки и цели последующих аудитов ИБ.

План должен быть проанализирован и представлен проверяемой организации до начала проведения аудита ИБ на месте.

Любые возражения со стороны проверяемой организации должны быть разрешены совместно руководителем аудиторской группы, проверяемой организацией и заказчиком аудита ИБ. Любой пересмотренный план аудита ИБ должен быть согласован вовлеченными сторонами до продолжения аудита.

Члены аудиторской группы должны проанализировать информацию, относящуюся к распределению обязанностей при проведении аудита ИБ, и подготовить документы, необходимые для регистрации результатов.

Такие документы могут включать:

контрольные листы и планы выборки для аудита ИБ;

формы для регистрации данных, таких как подтверждающие свидетельства, выводы аудита ИБ и протоколы совещаний.

Вышеперечисленные документы войдут в состав рабочей документации. Рабочая документация может быть создана самой аудиторской организацией либо получена от проверяемой организации или от других лиц. Рабочие документы могут быть собраны в виде данных, записанных на бумаге, электронных носителях, путем микрофильмирования или другими способами.

Документы должны быть составлены и систематизированы таким образом, чтобы отвечать обстоятельствам каждой конкретной аудиторской проверки и потребностям аудитора в ходе ее проведения.

Этап проведения аудита ИБ на месте включает:

проведение предварительного совещания;

обмен информацией во время аудита ИБ;

назначение ролей и обязанностей сопровождающих и наблюдателей;

сбор свидетельств аудита ИБ;

оценка свидетельств аудита ИБ;

проведение заключительного совещания.

Перед началом проведения аудита ИБ на месте должно быть проведено вступительное совещание с участием аудиторской группы и лиц, ответственных за функции или процессы, подлежащие проверке.

Цели совещания следующие:

подтверждение плана аудита ИБ;

краткое изложение действий по аудиту;

подтверждение каналов обмена информацией между аудиторской группой и представителями проверяемой организации.

В случаях внутреннего аудита организации, вступительное совещание может просто состоять из сообщения, что будет проводиться аудит ИБ, и разъяснения характера аудита ИБ.

Аудиторскую группу могут сопровождать сопровождающие и наблюдатели, но они не являются ее членами. Они не должны влиять или вмешиваться в проведение аудита ИБ.

Если сопровождающие были назначены проверяемой организацией, то они должны помогать аудиторской группе и действовать по просьбе руководителя аудиторской группы. В их обязанности может входить следующее:

установление контактов и времени для опроса;

организация посещений конкретных мест в организации;

обеспечение ознакомления и соблюдения членами аудиторской группы правил, касающихся техники безопасности на месте и охранных процедур;

выступление в качестве свидетеля по поручению проверяемой организации;

разъяснение или помощь в сборе информации.

Этап подготовки, утверждения и рассылки отчета по аудиту ИБ. По завершении проверки аудиторская группа должна предоставить установленным получателям отчет по результатам проведения аудита ИБ. Руководитель аудиторской группы должен нести ответственность за подготовку и содержание отчета.

Отчет должен предоставлять полные, точные, четкие и достаточные записи по аудиту ИБ и должен включать следующее:

сведения об аудиторской организации;

сведения о проверяемой организации;

сведения о заказчике аудита ИБ;

дату и место, где проводился аудит ИБ;

идентификацию руководителя и членов аудиторской группы;

цель аудита ИБ;

область аудита ИБ, в частности, идентификацию проверенных организационных и функциональных единиц или процессов и охваченный период времени;

критерии и выводы аудита ИБ;

заключения по результатам аудита ИБ;

выводы по результатам аудита ИБ и рекомендации по улучшению ИБ организации;

лист рассылки отчета по результатам аудита ИБ.

Также отчет может содержать следующее:

план аудита ИБ;

перечень представителей со стороны проверяемой организации, которые сопровождали аудиторскую группу при проведении аудита;

краткое изложение процесса аудита ИБ, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам аудита;

подтверждение, что цель аудита ИБ достигнута в области аудита в соответствии с планом аудита;

любые неохваченные области, входящие в область аудита ИБ;

любые неразрешенные разногласия между аудиторской группой и проверяемой организацией;

при необходимости, согласованные планы последующих аудитов;

заявление о конфиденциальном характере содержания отчета.

Отчет по результатам проведения аудита ИБ должен быть выпущен в согласованные сроки. Если это невозможно, то причины задержки должны быть доведены до сведения заказчика аудита ИБ, и должна быть согласована новая дата выпуска.

Далее утвержденный отчет подлежит рассылке получателям, определенным заказчиком аудита ИБ.

Отчет по результатам проведения аудита ИБ является собственностью заказчика аудита. Члены аудиторской группы, и все получатели отчета должны учитывать и обеспечивать конфиденциальность содержания отчета.

Этап завершения аудита ИБ.

Аудит ИБ считается завершенным, если все процедуры, предусмотренные планом аудита ИБ, выполнены, и утвержденный отчет разослан заинтересованным сторонам.

Этап выполнения действий по результатам аудита ИБ.

В заключении по результатам аудита ИБ может быть указано на необходимость корректирующих, предупреждающих действий или действий по улучшению в случае необходимости. Такие действия обычно разрабатываются и проводятся проверяемой организацией в течение согласованного срока и не рассматриваются как часть аудита. Проверяемая организация должна информировать заказчика аудита о статусе таких действий.

Должны проверяться выполнение и результативность корректирующего действия. Данная проверка может быть частью очередного аудита ИБ.



Список использованных источников

1. Федеральный закон от 27 декабря 2002 г. №184_ФЗ О техническом регулировании

2. Положение по аттестации объектов информатизации по требованиям безопасности информации. Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.

3. Федеральный закон «Об аудиторской деятельности» №119-ФЗ от 7 августа 2001 г.

4. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Утверждено решением председателя Гостехкомиссии России от 30.03.1992 г

5. Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента РФ от 16 августа 2004 г. N 1085

6. ISO/IEC WD 18044 - Информационная технология - методы Безопасности - Управление Инцидентом Информационной Безопасности

7. Положение о государственном лицензировании деятельности в области защиты информации. Утверждено Решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 27 апреля 1994 г. №10 (с изменениями и дополнениями от 24.06.1997 г. №60)

8. Положение о сертификации средств защиты информации по требованиям безопасности информации. Утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 27.10.95 № 199

Размещено на Allbest.ru