Организация и проведение внутреннего аудита информационной безопасности

Федеральное государственное  бюджетное образовательное учреждение высшего профессионального образования  «Национальный исследовательский  университет «МЭИ» 

Институт информационной и экономической безопасности

 

 

 

 

 

 

 

РЕФЕРАТ

по дисциплине «Правовое обеспечение  экономической безопасности»

на тему: « Организация и проведение внутреннего аудита информационной безопасности»

 

 

 

 

 

 

 

 

 

 

 

 

          Работу выполнила: 

                                                студентка 5-го курса

               группы ИБ-01-09

                                                                                               Ахмадулина А.А.

     Работу проверил:

 Коваленко  Ю.И.

 

 

 

 

 

 

МОСКВА 2013

СОДЕРЖАНИЕ.

ВВЕДЕНИЕ___________________________________________________________________________3

1. ОСНОВНЫЕ ВИДЫ И СПОСОБЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ____________________________________________________________________6
2.        ОСНОВНЫЕ ПРИНЦИПЫ ИНФОРМАЦОННОЙ БЕЗОПАСНОСТИ______8
3.      КРИТЕРИИ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ________10
4.      ЭТАПЫ ПРОВЕДЕНИЯ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ______________________________________________________________12
1. ЭТАП ОРГАНИЗАЦИИ ПРОВЕДЕНИЯ АУДИТА_________________________12
2. ЭТАП АНАЛИЗА ДОКУМЕНТОВ__________________________________________13
3. ЭТАП ПОДГОТОВКИ К АУДИТУ ИБ НА МЕСТЕ ЕГО ПРОВЕДЕНИЯ_14
4. ЭТАП ПРОВЕДЕНИЯ ИБ  НА МЕСТЕ_____________________________________16
5. ЭТАП ПОДГОТОВКИ, УТВЕРЖДЕНИЯ И РАССЫЛКИ ОТЧЕТА ПО АУДИТУ ИБ_________________________________________________________________17
6. ЭТАП ЗАВЕРШЕНИЯ АУДИТА ИБ________________________________________18
7. ЭТАП ВЫПОЛНЕНИЯ ДЕЙСТВИЙ ПО РЕЗУЛЬТАТАМ АУДИТА ИБ__19

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ_________________________________20

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ВВЕДЕНИЕ

На данный момент в Российской Федерации отсутствуют документально  оформленные взгляды на пути совершенствования  правового обеспечения аудита ИБ организаций и СИТ как в  стране в целом, так и в различных  ведомствах, что затрудняет правовое регулирование отношений между заказчиком и аудитором, между государственными органами аттестации и компаниями, фирмами или частными организациями. Проведение аудита в области ИБ является высокоинтеллектуальным видом деятельности, имеющим прямое отношение к национальной безопасности, в силу чего аудиторская деятельность в области ИБ является особым видом услуг, на которые не должны распространяться положения действующих в настоящее время правовых документов, регулирующих порядок предоставления услуг в Российской Федерации.

На сегодняшний день в  Российской Федерации действует  ряд документов, регулирующих аудиторскую деятельность, которая преимущественно направлена на оценку достоверности финансовой отчетности или же на проведение сертификационного аудита по стандартам менеджмента качества (ИСО 9000) и охраны окружающей среды (ИСО 14000). К таким документам относятся:

• Федеральный закон «Об аудиторской деятельности» от 07 августа. 2001 года .№ 119-ФЗ (14 декабря 2001 года вступил в силу Федеральный закон «О внесении изменений и дополнений в Федеральный Закон «Об аудиторской деятельности»» № 164-ФЗ);
• Федеральные правила (стандарты) аудиторской деятельности, утвержденные постановлением Правительства Российской Федерации от 23 сентября 2002 года № 696;
• Стандарты аудита Российской Коллегии аудиторов (РКА);
• ГОСТ Р ИСО 19011-2003 Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента, утвержденный постановлением Госстандарта Российской Федерации и введенный в действие с 1 апреля 2004 года.

Касаясь возможного отношения  действующих в России документов в области аудита к аудиторской  деятельности в области ИБ необходимо отметить следующее.

Федеральный закон «Об  аудиторской деятельности», Федеральные  правила (стандарты) аудиторской деятельности, а также Стандарты аудита РКА  определяют положения процедурного плана, профессиональной этики и  принципов деятельности в области аудита. В данных документах содержатся положения и требования, которые регламентируют следующие области, относящиеся к аудиту:

• основные принципы аудита;
• этапы проведения аудита;
• взаимоотношения аудиторов с представителями проверяемой организации;
• формы представления результатов аудита.

Данные документы ориентированы  на оценку финансовой отчетности и  не содержат критериев для аудита ИБ, в то же время их положения процедурного характера могут быть взяты в качестве основы для формирования подходов по аудиту ИБ, но требуется разработка (принятие) критериев (требований), используемых в аудиторской деятельности по оценке соответствия в области ИБ;

Руководящие указания по проведению внутренних и внешних аудитов  систем менеджмента качества и/или  экологического менеджмента, определяемые ГОСТ Р ИСО 19011, так же могут быть использованы при разработке процедурных положений по проведению аудита ИБ. В то же время определенная стандартом модель проведения аудита должна быть адаптирована для области аудита ИБ.

В настоящее время и  в Российской Федерации и за рубежом  отсутствует единый и общепринятый стандарт в области аудита информационной безопасности.

Сложившаяся ситуация диктует  необходимость разработки и введения в действие национальных стандартов аудита в области ИБ, базирующихся на признаваемых в международном сообществе решениях и учитывающих специфику и особенности аудиторской деятельности в области ИБ в Российской Федерации, включая решение задач процедурного плана.

Суть, назначение, цели, результаты и процессы проведения аудита ИБ определяются типом организации, видом и принадлежностью обрабатываемой конфиденциальной информации и ролью организации в общих процессах обеспечения безопасности государства в информационной сфере. С учетом этого аудит ИБ должен рассматриваться для трех типов организаций:

• организаций любой формы собственности, эксплуатирующих объекты ключевых систем информационной инфраструктуры;
• организаций любой формы собственности, использующих в своей деятельности конфиденциальную информацию являющуюся собственностью государства, и имеющих необходимые для такого вида деятельности;
• негосударственных организаций, использующих в своей деятельности конфиденциальную информацию, не являющуюся собственностью государства.

 

 

 

 

 

 

1. Основные виды и способы  аудита информационной безопасности

Аудит ИБ организации определяется как систематический, независимый  и документированный процесс для получения свидетельств аудита ИБ и объективного их оценивания с целью установления степени выполнения критериев аудита ИБ. Аудит ИБ не подменяет государственного контроля состояния ИБ ключевых объектов информационной и телекоммуникационной инфраструктуры Российской Федерации и организаций любой формы собственности, являющихся собственником или пользователем конфиденциальной информации, требующей защиты в соответствии с законодательством Российской Федерации.

По содержанию аудит ИБ разделяется на следующие виды:

• аудит ИБ СИТ, эксплуатирующихся в организации;
• аудит ИБ организации.

Задачей аудита ИБ СИТ, эксплуатирующихся в организации, является проверка состояния защищенности конфиденциальной информации в организации от внутренних и внешних угроз, а также программного и аппаратного обеспечения, от которого зависит бесперебойное функционирование  СИТ. Данный вид подразумевает, как документальный, так и инструментальный аудит состояния защищенности информации при ее сборе, обработке, хранении с использованием различных СИТ.

Задачей аудита ИБ организации  является проверка состояния защищенности интересов (целей) организации в  процессе их реализации в условиях внутренних и внешних угроз, а  также предотвращение утечки защищаемой конфиденциальной информации, возможных  несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Аудит ИБ СИТ, эксплуатирующихся в организации, может проводиться как самостоятельный вид аудита, а также являться частью аудита ИБ организации. При этом он может проводиться во время проведения аудита ИБ организации или же при проведении аудита ИБ организации могут использоваться результаты ранее проведенного аудита ИБ СИТ, эксплуатирующихся в организации.

По форме аудит ИБ может  быть внутренним и внешним.

Внутренний аудит ИБ проводится самой организацией или от ее имени  для внутренних целей и может  служить основанием для принятия декларации о соответствии требованиям стандартов или нормативных документов по защите информации и обеспечению информационной безопасности.

Внешний аудит ИБ проводится внешними независимыми коммерческими  организациями, имеющими лицензии на осуществление аудиторской деятельности в области ИБ.

Внешний аудит ИБ обязателен для всех государственных или  негосударственных организаций, являющихся собственником или пользователем конфиденциальной информации, требующей защиты в соответствии с законодательством Российской Федерации, а также для всех организаций, эксплуатирующих объекты ключевых систем информационной и телекоммуникационной инфраструктуры Российской Федерации.

 

 

 

 

 

 

 

 

 

 

 

 

2. Основные принципы аудита информационной безопасности

Проведение аудита ИБ основывается на ряде принципов, следование которым  является предпосылкой для обеспечения  объективных заключений по результатам  аудита ИБ. Эти принципы должны быть признаны и соблюдены всеми сторонами, участвующими в аудите ИБ. Выполнение принципов способствует повышению  безопасности организации и СИТ.

Принципы, относящиеся к  аудиту ИБ:

• независимость аудита ИБ. Аудит ИБ должен проводиться независимыми организациями или независимыми аудиторами. Независимость является основанием для беспристрастности при проведении аудита ИБ и объективности при формировании заключения по результатам аудита ИБ;
• полнота аудита ИБ. Аудит ИБ должен охватывать все области ИБ и защитные меры, указанные в договоре на проведение аудита ИБ. Кроме того, полнота аудита ИБ определяется достаточностью предоставленных материалов, документов и уровнем их релевантности. Полнота аудита ИБ является необходимым условием для формирования объективных заключений по результатам аудита ИБ;
• оценка на основе свидетельств аудита ИБ. Оценка на основе свидетельств является единственным способом, позволяющим получить повторяемое заключение по результатам аудита, что повышает к нему доверие. Для повторяемости заключения свидетельства аудита ИБ должны быть воспроизводимыми;
• необходимость понимания аудитором деятельности проверяемой организации. При проведении аудита аудитор должен понимать деятельность проверяемой организации в достаточной степени, чтобы идентифицировать и правильно оценивать события, процессы, относящиеся к области ИБ, с учетом возможностей применения методов и способов оценки рисков, которые могут оказывать существенное влияние на достоверность проверяемых данных, на ход проведения проверки или на выводы, содержащиеся в аудиторском заключении. До проведения проверки аудиторская организация должна получить первоначальные знания особенностей отрасли, права собственности, управления и деятельности организации, подлежащей аудиту, и оценить их достаточность для проведения аудита;
• компетентность и этичность. Доверие процессу аудита зависит от компетентности тех, кто проводит аудит, и от этичности их поведения. Компетентность базируется на личных качествах аудитора и способности применять знания и навыки. Этичность поведения подразумевает ответственность, неподкупность, умение хранить тайну, беспристрастность.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3. Критерии аудита информационной безопасности

В общем случае под критериями аудита ИБ понимается совокупность политик  ИБ, процедур или требований, установленных  Федеральными стандартами и нормативами, с которыми сравнивается свидетельство аудита ИБ.

Для проведения аудита ИБ должна быть заранее определена система  критериев, отраженная в нормативных документах (регламентах и/или стандартах) и действующая в отношении аудируемой организации. Организации, на которые не распространяются обязательные требования, сформулированные в этих документах, должны признать и руководствоваться в своей деятельности каким-либо из существующих стандартов в области ИБ.

 

Выбор критериев аудита ИБ с учетом обеспечения полноты  аудита ИБ и в зависимости от типа аудируемой организации, а также определение методологии оценки как составной части процесса аудита ИБ, должно проводиться на основе постоянного и непрерывного накопления и обобщения соответствующего мирового опыта и лучших практик отечественных аудиторских организаций.

Состав критериев для  организаций и СИТ, подвергаемых аудиту ИБ, рекомендуется определять следующим образом:

• для организаций любой формы собственности, эксплуатирующих объекты ключевых систем информационной инфраструктуры и (или) обрабатывающих конфиденциальную информацию, являющуюся собственностью государства, на основе положений международного стандарта ИСО/МЭК 17799 и стандарта Великобритании BS 7799-2 (в части, ориентированной на политики ИБ и персонал) с учетом  принятых и действующих руководящих документов и положений Гостехкомиссии России по аттестации объектов информатизации и АС, сертификации по РД и ИСО/МЭК 15408 СЗИ и продуктов ИТ в составе АС.:
• для негосударственных организаций, обрабатывающих конфиденциальную информацию, не являющуюся собственностью государства, на основе положений международного стандарта ИСО/МЭК 17799 и стандарта Великобритании BS 7799-2 (в полной мере) и с учетом  принятых и действующих руководящих документов и положений Гостехкомиссии России по сертификации по РД и ИСО/МЭК 15408 СЗИ и продуктов ИТ в составе АС.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4. Этапы проведения аудита информационной безопасности

Частью программы аудита ИБ являются указания по планированию и проведению аудитов ИБ. Степень распространения данных требований зависит от области применения, сложности конкретного аудита ИБ и предполагаемого использования заключений по результатам аудита ИБ.