Введение в Республике Беларусь аудита безопасности

МИНИСТЕРСТВО ОБРАЗОВАНИЯ РЕСПУБЛИКИ БЕЛАРУСЬ

БЕЛОРУССКИЙ ГОСУДАРСТВЕННЫЙ ЭКОНОМИЧЕСКИЙ УНИВЕРСИТЕТ

 

 

Кафедра важнейших отраслей промышленности

 

Реферат на тему:

Введение в Республике Беларусь аудита безопасности

 

 

 

 

 

 

 

 

 

Выполнила студентка 1 курса группы РФФ-2

 факультет финансов и банковского  дела 

Недвецкая Людмила Анатольевна

 

Проверил доцент

Какошко Елена Станислововна

 

 

 

МИНСК 2013

Что такое „аудит безопасности”?

   Фраза «проверка безопасности» употребляется взаимозаменяемо с фразой «аудит компьютерной безопасности», хотя эти понятия отличаются. Проверка безопасности (pen-test) - это узко направленная проверка наличия брешей в критических ресурсах, таких как межсетевая защита или Web сервер. Проверяющие безопасность могут рассматривать лишь один сервис на сетевом ресурсе. Они обычно работают извне с минимальной информацией о данной сети для того, чтобы как можно более реалистично симулировать возможную атаку хакера.

   С другой стороны, аудит компьютерной безопасности – это систематическая оценка того, как устроена политика безопасности данной организации. Аудиторы компьютерной безопасности работают с полным владением информацией об организации, ее внутренней структуре, для того, чтобы исследовать ресурсы, которые должны состоять под аудитом.

   Аудит безопасности является частью процесса определения и управления эффективными политиками безопасности, и это не просто разговоры и конференции. Аудит безопасности касается каждого, кто использует ресурсы внутри организации. Он предоставляет все возможности для проверки безопасности вашей фирмы.

   Аудиторы компьютерной безопасности осуществляют проверку посредством личных опросов, сканирований на наличие уязвимостей, проверки настройки операционной системы, анализа открытых сетевых ресурсов, истории данных. Они в первую очередь исследуют использование политик безопасности – основу любой эффективной стратегии безопасности организации. Далее следуют вопросы, на которые аудит безопасности должен найти ответ:

   Насколько сложно подобрать пароль?

   Используется ли ACLs на сетевых ресурсах для контроля доступа к данным?

   Ведется ли аудит доступа к данным?

   Просматриваются ли логи аудита?

   Соответствуют ли настройки безопасности операционной системы общепринятой практике безопасности

   Устранены ли все ненужные приложения и сервисы на каждой системе?

   Как хранятся копии данных, кто имеет к ним доступ, проводится ли сохранение данных регулярно?

   Разработан ли план восстановления данных в случае инцидента?      

   Проводились ли тренировки по восстановлению данных?

   Есть ли в наличии криптографические утилиты для шифрования данных и настроены ли они должным образом?

   Были ли написаны используемые программы с учетом безопасности?

   Каким образом проводилось тестирование этих программ на предмет наличия брешей в их безопасности?

   Каким образом ведется аудит изменений кода и конфигураций на каждом уровне? Как просматриваются эти записи и кто ответственный за проведение их просмотра?

   Это лишь несколько вопросов, на которые следует обратить внимание при проведении аудита безопасности. Отвечая честно и точно на эти вопросы, организация может представить реальную картину безопасности своей жизненно важной информации.  Проведение аудитов функционирования системы управления охраной труда является новым элементом, введение которого наряду с другими новыми элементами дает предпосылки для повышения эффективности управления охраной труда.

   В действовавших ранее системах управления охраной труда такая форма проверочной работы, как аудит, не практиковалась. В связи с этим глубокое понимание ее содержания, преобразование сложившихся форм проверочной работы, установление четкого разграничения между ними имеют важное практическое значение.

   Особенностью аудита, отличающей его от других мероприятий проверочного характера, является то, что при проведении аудита осуществляется проверка функционирования системы, а не работы структурных подразделений, служб или отдельных работников организации. Недостатки, неэффективность функционирования системы управления охраной труда, выявляемые в результате проведения аудита, не должны служить основанием для привлечения работников к ответственности.

 

Цели проведения аудита

   Исходя из смысла регламентаций СТБ 18001-2009 «Системы управления охраной труда. Требования» (далее - Стандарт) аудиты проводятся в целях:

   - определить соответствие или несоответствие действующей в организации системы управления охраной труда требованиям стандарта (аудит адекватности, аудит документации или настольный аудит);

   - определить, насколько в практической деятельности организации выполняются требования действующей в организации системы управления охраной труда (аудит соответствия или аудит внедрения);

   - определить эффективность системы управления для реализации политики, достижения поставленных целей, выполнения программ управления охраной труда;

   - определить потенциал для дальнейшего совершенствования системы управления охраной труда;

   - обеспечить выполнение требований законодательства;

   - сертификации системы управления охраной труда на ее соответствие требованиям стандарта.

   Аналогичные регламентации содержаться и в OHSAS 18001:2007.

 

Виды аудита

   В зависимости от того, кем проводятся аудиты, по каким критериям и в чьих интересах, аудиты подразделяются, в частности, на внутренние и внешние, аудиты первой, второй и третьей стороны и др.

   Внутренние аудиты (аудиты первой стороны, или самоаудиты) проводятся организацией самостоятельно в собственных интересах. Следует отметить, что для более углубленного и независимого проведения такого аудита организация может на договорных условиях пригласить соответствующих специалистов из других организаций.

   Аудиты второй стороны проводятся в собственных интересах организации в другой организации (поставщик, подрядчик). Такой аудит может проводить либо сама заинтересованная организация, либо он может быть осуществлен по договору третьим юридическим или физическим лицом, имеющим соответствующую квалификацию.

   Следует отметить, что проведение таких аудитов приносит пользу не только организации, по инициативе которой проводится аудит, но и проверяемой организации.

   Аудиты третьей стороны осуществляются независимой организацией, не имеющей заинтересованности в его результатах. Такие аудиты проводятся преимущественно для целей сертификации системы управления охраной труда на ее соответствие требованиям стандарта. По сложившейся в Республике Беларусь практике, такие же аудиты проводятся для решения вопроса о присуждении премии Правительства РБ в области качества. Могут они проводиться и для других аналогичных целей.

   Внутренние аудиты в зависимости от того, что и где проверяется, подразделяются на:

   - вертикальные, при которых структурные подразделения, функциональные службы, филиалы организации поверяются по всем пунктам стандарта, по всем аспектам управления охраной труда;

   - горизонтальные, при которых во всех структурных подразделениях, функциональных службах, филиалах организации проверяется выполнение того или иного структурного элемента стандарта либо аспекта управления охраной труда.

   Для проведения аудитов должны быть разработаны программы аудитов, а их проведение должно осуществляться в соответствии с утвержденными графиками.

   Работа аудитора отличается от работы специалистов других служб, в чьи функции входит осуществление контроля за состоянием охраны труда. Аудиторы не вправе применять меры по пресечению несоответствий, давать рекомендации, тем более указания относительно способов обеспечения охраны труда.

   Следует отметить, что в Стандарте не применяется словосочетание «нарушение требований охраны труда», а используется слово «несоответствие». Понятие «несоответствие» более широкое, чем понятие «нарушение», поскольку оно включает не только невыполнение требований законодательства, но и невыполнение требований самой организации, установленных ею в процедурах, рабочих инструкциях, других документах, а также отступление от положений политики организации в области охраны труда. Иными словами, не всякое несоответствие является нарушением требований законодательства, однако любое нарушение требований по охране труда является несоответствием.

 

Требования к аудитору

   Работа аудитора заключается в определении того, насколько эффективно функционирует система управления охраной труда, а не в определении того, как подразделения, службы и филиалы организации выполняют установленные для них требования по охране здоровья работников и безопасности их труда. Между выполнением работниками своих обязанностей по охране труда и функционированием системы управления охраной труда существует непосредственная связь. Если в системе управления охраной труда имеются какие-то «пороки», несовершенства, то и при самом добросовестном выполнении работниками своих обязанностей управление охраной труда будет неэффективным.

   Успешное выполнение аудитором своей работы в значительной степени зависит и от того, насколько руководство правильно понимает роль аудитора и не использует в своей деятельности результаты аудиторских проверок в качестве оснований для принятия мер дисциплинарной и иной ответственности к работникам.

   Правильное понимание функций аудитора позволит работникам свободно, не беспокоясь о последствиях, излагать свои взгляды по вопросам, относящимся к эффективности функционирования системы управления охраной труда. Данное обстоятельство позволяет также аудитору в более короткие сроки выяснить интересующие его вопросы без ущерба для объективности и качества проверки.

   Аудитор не вправе вмешиваться в деятельность проверяемого подразделения, службы, филиала, давать какие-либо указания или рекомендации. Необходимость для аудитора воздерживаться от рекомендаций по осуществлению корректирующих и предупреждающих действий обусловлена также и тем, что в противном случае аудитор, являясь соучастником в инициировании указанных действий, лишает себя права проведения аудитов в дальнейшем, ибо он оказывается в положении лица, проверяющего свою собственную работу, что недопустимо для аудитора. В связи с этим представляются некорректными содержащиеся в некоторых публикациях рекомендации о согласовании с аудитором корректирующих действий по результатам его аудита.

   В то же время оперативное определение и осуществление соответствующих корректирующих действий является важным средством по устранению причин (а не только последствий!) выявленного несоответствия. Только после их устранения и личной проверки данного факта аудитором его работа может считаться выполненной.

   Аудитор должен быть компетентен в решении возложенных на него задач. От него требуется основательное знание содержания законодательных и иных нормативных правовых актов, технических нормативных правовых актов, техники и технологии, экономики и организации производства, на соответствие которых исследуется соответствующая деятельность.

   В дополнение к техническим и правовым знаниям аудитор должен хорошо знать вопросы психологии, касающиеся работы с людьми.

   Успех в работе аудитора определяется наряду с наличием у него соответствующих знаний и навыков умением работать и общаться с людьми, а также набором таких качеств, как:

   - открытость - способность воспринимать альтернативные идеи или точки зрения;

   - дипломатичность - умение тактично взаимодействовать с людьми;

   - проницательность - способность интуитивно оценивать ситуацию, быстро схватывать суть проблемы и при этом не делать поспешных выводов;

   - настойчивость - способность преодолевать трудности и, несмотря на препятствия, добиваться поставленной цели;

   - гибкость мышления - способность рассматривать явления с разных точек зрения, приспосабливаться к различным обстоятельствам;

   - организованность - умение построить свою работу, способность подходить к проблеме логически и системно, определять границы ответственности за область исследования;

   - самостоятельность - способность действовать и выполнять возложенные функции независимо, в то же время результативно сотрудничать с другими людьми;

   - решительность - способность своевременно принимать решения;

   - социальные навыки - способность общаться и работать с людьми всех уровней: от рядового работника до руководителя, сохранять самоконтроль во время многочисленных интервью;

   - уметь представить результаты исследования - способность выражать мысли, идеи и предложения четко и ясно как в письменной, так и в устной форме;

   - технические навыки - способность исследовать и определять степень соответствия исследуемой деятельности системе управления и стандарту на всех этапах производства.

   Аудитор должен также обладать личными качествами, которые необходимы для общения с людьми, сбора, анализа и обобщения информации.