Книга: Обеспечение информационной безопасности бизнеса

3.2.3. Мероприятия и выходные данные процесса оценки

3.2.3. Мероприятия и выходные данные процесса оценки

Сбор свидетельств оценки и проверка их достоверности. Назначение мероприятия: сбор свидетельств оценки с соблюдением условий обеспечения достоверной оценки ИБ.

Независимая оценка ИБ может быть осуществлена с помощью внутреннего и внешнего аудита ИБ. В [26] аудит ИБ определяется как систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению ИБ, установления степени выполнения в организации критериев ИБ, а также допускающий возможность формирования профессионального аудиторского суждения об информационной безопасности организации.

Необходимыми условиями обеспечения достоверной оценки ИБ при проведении аудита являются:

— использование доверенного процесса аудита и соблюдение основных принципов аудита;

— менеджмент программы аудита ИБ;

— использование наиболее достоверных источников свидетельств оценки;

— определение объема выборки с учетом заданной достоверности свидетельств оценки;

— учет факторов, влияющих на аудиторский риск, с целью снижения аудиторского риска.

Доверенный процесс аудита ИБ должен отвечать требованиям принятого в организации нормативного документа, описывающего процесс аудита ИБ, либо требованиям признаваемого сообществом международного (национального) нормативного документа (стандарта, рекомендации). Таким нормативным документом для банковской системы РФ является СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности», принятый и введенный в действие распоряжением Банка России от 28 апреля 2007 г. № Р-345. В стандарте изложены принципы проведения аудита ИБ организации, описана последовательность этапов проведения аудита ИБ, установлены требования к этапам проведения аудита ИБ организаций и к взаимоотношениям представителей аудиторской организации с представителями проверяемой организации.

В СТО БР ИББС-1.1-2007 изложено также содержание программы аудита ИБ, включающей деятельность, необходимую для планирования и организации определенного количества и вида аудитов и обеспечения их ресурсами, необходимыми для эффективного и результативного проведения аудитов в заданные сроки. В стандарте определены процедуры менеджмента программы аудита ИБ, направленные на контроль внедрения программы аудита ИБ, анализ достижения целей программы аудита ИБ и определение возможностей для ее совершенствования. Совершенствование программы аудита ИБ состоит в определении корректирующих и превентивных действий по совершенствованию программы аудита ИБ, включающих в себя пересмотр и корректировку сроков проведения аудитов ИБ и необходимых ресурсов, улучшение методов подготовки свидетельств аудита ИБ.

К основным принципам проведения аудита ИБ [27] относятся:

— независимость аудита ИБ: аудиторы (группа оценки) независимы в своей деятельности и не ответственны за деятельность, которая подвергается аудиту ИБ, независимость является основанием для беспристрастности при проведении аудита ИБ и объективности при формировании заключения по результатам аудита ИБ;

— полнота аудита ИБ: аудит ИБ должен охватывать все области аудита ИБ, соответствующие цели оценки, кроме того, полнота аудита ИБ определяется достаточностью затребованных и предоставленных материалов, документов и уровнем их соответствия поставленным задачам; полнота аудита ИБ является необходимым условием для формирования объективных заключений по результатам оценки ИБ;

— оценка на основе свидетельств аудита ИБ: при периодическом проведении аудита ИБ оценка на основе свидетельств аудита ИБ является единственным способом, позволяющим получить повторяемое заключение по результатам аудита ИБ, что повышает доверие к такому заключению, для повторяемости заключения свидетельства аудита ИБ должны быть проверяемыми;

— достоверность свидетельств аудита ИБ: оценщики должны быть уверены в достоверности свидетельств оценки ИБ, доверие к документальным свидетельствам оценки ИБ повышается при подтверждении их достоверности третьей стороной или руководством организации; доверие к фактам, полученным при опросе сотрудников объекта оценки, повышается при подтверждении данных фактов из различных источников, доверие к фактам, полученным при наблюдении за деятельностью в области ИБ объекта оценки, повышается, если они получены непосредственно при функционировании проверяемых процедур или процессов;

— компетентность и этичность поведения: доверие к процессу и результатам оценки ИБ зависит от компетентности тех, кто проводит аудит ИБ, и от этичности их поведения; компетентность базируется на способности аудитора применять знания и навыки; этичность поведения подразумевает ответственность, неподкупность, умение хранить тайну, беспристрастность.

Соблюдение принципов проведения аудита ИБ является предпосылкой для объективных заключений по результатам оценки.

Основными методами получения свидетельств оценки должны быть:

— проверка и анализ документов, относящихся к объекту оценки;

— наблюдение за процессами объекта оценки;

— опрос сотрудников объекта оценки и независимой (третьей) стороны.

Наряду с ручными способами сбора информации формирование свидетельств аудита может быть автоматическим или полуавтоматическим в результате применения какого-то инструментального средства или применения нескольких инструментальных средств.

При сборе данных оценщики должны исходить из того, что деятельность по обеспечению ИБ в области оценки осуществляется в соответствии с критериями оценки ИБ, если этому есть доказательства. Оценщики должны проявлять достаточную степень профессионального скептицизма в отношении собираемых свидетельств оценки, принимая во внимание возможность наличия нарушений ИБ.

Проверка и анализ документов позволяют оценщику получить свидетельства оценки, обладающие наибольшей полнотой и удобством восприятия и использования по сравнению с другими методами получения свидетельств аудита. Однако эти свидетельства аудита имеют различную степень достоверности в зависимости от их характера и источника, а также от эффективности контроля за процессом подготовки и обработки представленных документов.

Свидетельствами оценки ИБ, полученными в результате проверки и анализа документов, могут быть:

— наличие документа (документов) с релевантным содержанием;

— выдержки из документа (документов), подтверждающие реализацию деятельности по обеспечению ИБ, возложение ответственности и обязанностей на сотрудника (сотрудников) за реализацию деятельности по обеспечению ИБ;

— выдержки из документа (документов), содержащие описания реализованных ЗМ, процессов обеспечения ИБ.

Наблюдение представляет собой отслеживание оценщиком процедур или процессов обеспечения ИБ, выполняемых другими лицами (в том числе персоналом организации). Информация считается достоверной только в том случае, если получена непосредственно в момент функционирования проверяемых процедур или процессов.

Свидетельствами аудита, полученными с помощью наблюдения за деятельностью, могут быть записи, факты или другая информация, имеющие отношение к результатам автоматического контроля техническими средствами, зафиксированные оценщиками в ходе наблюдения.

Устный опрос проводят оценщики среди сотрудников (владельцев активов), утвержденных представителем объекта оценки для предоставления источников свидетельств и свидетельств оценки. Результаты устных опросов должны оформляться в виде протокола или краткого конспекта, в котором обязательно должны быть указаны фамилия, имя, отчество оценщика, проводившего опрос, фамилия, имя, отчество опрашиваемого лица, а также их подписи. Для проведения типовых опросов могут быть подготовлены бланки с перечнями интересующих вопросов. Результаты устного опроса следует проверять, так как опрашиваемый может выражать свое субъективное мнение.

Свидетельствами аудита, полученными при проведении опроса, могут быть описания и разъяснения опрашиваемых лиц по реализации процессов, процедур по обеспечению ИБ.

Для уверенности в достоверности оценки оценщики должны быть уверены в достоверности выявленных свидетельств аудита. Собранные свидетельства оценки, используемые для оценивания показателей, должны быть точным представлением оцениваемого объекта оценки. Для этого следует учитывать достоверность источников свидетельств аудита.

По степени достоверности (от наибольшей к наименьшей) источники свидетельств оценки делятся на:

— документальные источники свидетельств, полученные из различных источников третьей стороны (сведения об использовании лицензионных мер и средств обеспечения ИБ, договора по сопровождению мер и средств обеспечения ИБ и т. д.);

— документальные источники свидетельств, полученные на (от) объекте (та) оценки и подтвержденные третьей стороной (план мероприятий по результатам внешнего аудита ИБ, материалы ведомственных проверок ИБ и т. д.);

— источники свидетельств, полученные в ходе проведения аудиторских процедур, не предусматривающих периодическую документальную отчетность (результаты наблюдения за деятельностью, анализа данных системы мониторинга ИБ и т. д.);

— источники свидетельств, полученные в виде нормативных и распорядительных документов (политики, регламенты, отчеты о деятельности, приказы, распоряжения и т. д.), указывающих на надлежащее применение процессов и мер обеспечения ИБ на практике (наличие разрешительных записей уполномоченных лиц, данных контроля рисков и т. д.);

— свидетельства, полученные в результате устных и письменных опросов об объекте оценки, и наблюдение за применением мер и средств обеспечения ИБ, которые не оставляют документальных свидетельств (выявление ролей процессов, последовательности применения ЗМ и т. д.).

Наряду с достоверностью источников свидетельств следует учитывать временной период получения свидетельств и сочетание источников свидетельств оценки. Например, доверие к фактам, полученным при наблюдении за деятельностью, повышается, если они получены непосредственно при функционировании проверяемых процедур или процессов; доверие к фактам, полученным при опросе сотрудников, повышается при подтверждении данных фактов из различных источников.

Достоверность выявленных свидетельств оценки ИБ зависит также от объема выборки при формировании свидетельств оценки. Соответствующее использование объема выборки тесно связано с доверием, с которым относятся к заключениям по результатам аудита.

Некоторые свидетельства оценки основано на выборках релевантных данных. Например, свидетельства наличия ЗМ для всех систем, степени охвата персонала и сотрудников подразделения процессами обучения и осведомления ИБ и т. д. Выборка производится с целью измерения и оценивания менее чем 100 % объектов проверяемой совокупности. Задачей оценщика при проведении выборки является определение наиболее оптимального способа отбора элементов для формирования свидетельств оценки. При этом возможно:

— отобрать все элементы (сплошная проверка);

— отобрать специфические (определенные) элементы;

— отобрать отдельные элементы (сформировать аудиторскую выборку).

Сплошная проверка целесообразна, если:

— генеральная совокупность состоит из небольшого числа элементов большой стоимости;

— риск контроля является высоким, а другие средства не позволяют получить достаточные свидетельства оценки;

— повторяющийся характер расчетов или иных процессов делает сплошную проверку эффективной с точки зрения соотношения затрат и результатов.

Сплошная проверка редко применяется при проведении оценки ИБ.

Оценщик может решить отобрать специфические (определенные) элементы генеральной совокупности, основываясь на том, что они могут включать:

— элементы с высокой стоимостью или так называемые критические (ключевые) элементы выборки;

— элементы, стоимость которых превышает определенную величину;

— элементы для проверки процедур, позволяющие определить, выполняется ли организацией конкретная процедура.

Выводы по результатам измерения, применяемого к отобранным таким способом элементам, не могут быть распространены на всю генеральную совокупность. При использовании этого метода анализируется потребность в получении свидетельств оценки в отношении оставшейся части генеральной совокупности, если оставшаяся часть является существенной.

Оценщик с учетом имеющихся сведений может принять решение о проведении выборочной проверки путем отбора отдельных элементов, т. е. применить статистический подход. Общее требование в этом случае — репрезентативность, т. е. все элементы изучаемой генеральной совокупности должны иметь равную вероятность быть отобранными в выборку.

При применении методов, связанных со статистической выборкой, объем отобранной совокупности может определяться на основании теории вероятностей и математической статистики либо профессионального суждения аудитора.

Достоверность оценки во многом зависит от того, как будут оценщиками учтены факторы, влияющие на аудиторский риск, который включает:

— риск контроля;

— риск необнаружения.

Риск контроля представляет собой риск того, что внутренний контроль не предотвратит или не выявит существенных нарушений ИБ. Важным фактором для повышения достоверности оценок является оптимизация объема выборки в соответствии с предполагаемым риском контроля.

Риск необнаружения представляет собой риск того, что процедуры и методы аудита, применяемые оценщиками, не выявят существенных нарушений.

Важными факторами для снижения риска необнаружения и тем самым повышения достоверности оценок являются:

— увеличение времени проверки;

— проведение опросов, ориентированных на представителей третьих независимых лиц;

— увеличение объема выборки.

Измерение и оценивание атрибутов объекта оценки. Назначение мероприятия: измерение и оценивание атрибутов объекта оценки на основе свидетельств оценки ИБ с целью установления степени выполнения критериев оценки и формирования отчета по результатам оценки.

Атрибут представляет собой свойство или характеристику сущности, которые могут быть определены количественно или качественно ручными или автоматическими средствами.

Для рассмотрения процесса измерения и оценивания атрибутов объекта оценки ИБ воспользуемся моделью измерений, связанных с обеспечением ИБ, представленной на рис. 57.

Информационная потребность определяет, что требуется измерить для достижения целей оценки ИБ объекта оценки. Измерения, связанные с обеспечением ИБ, могут применяться к различным объектам в рамках контекста оценки. Для идентификации объектов измерения выделяются критические атрибуты процессов, процедур, защитных мер, которые могут предоставить данные, соответствующие информационной потребности.

Метод измерения используется для количественного измерения объекта измерения посредством преобразования атрибутов в основную меру. Основная мера — мера, определенная в терминах атрибута и метода его количественного определения (мера — это переменная, которой присваивается значение). Основная мера функционально независима от других мер. Основная мера собирает информацию о единственном атрибуте.

Метод измерения количественно измеряет атрибуты посредством применения соответствующей шкалы.

Методы измерения могут быть субъективными или объективными. Субъективные методы полагаются на количественное измерение, включающее мнение человека, тогда как объективные методы используют количественное определение, основанное на числовых правилах, которые могут быть реализованы с помощью ручных или автоматических средств.

Функция измерения определяет, как основные меры объединяются в производную меру. Производная мера — способ объединения двух или более основных мер.

Функции измерения могут включать разнообразные приемы, такие как усреднение всех основных мер, применение весовых коэффициентов к основным мерам или присвоение качественных значений основным мерам перед их объединением в производные меры.

Для каждой меры должна быть определена аналитическая модель с целью преобразования одной или более производных мер в показатель. Показатель — это результат применения аналитической модели к одной или более мерам по отношению к критериям принятия решений или информационной потребности.

Показатели будут формироваться путем объединения производных мер и интерпретации их на основе критериев принятия решений.

Для каждого показателя должны быть идентифицированы и задокументированы основанные на целях информационной безопасности критерии принятия решений, которые устанавливают максимальное значение показателя, и предоставляют руководство для интерпретации текущего значения показателя.

В таблицах 3–6 показаны примеры проведения измерения и оценивания атрибута.

Таблица 3

Таблица 4

Таблица 5

Окончание табл. 5

Таблица 6

Сообщение результатов оценки может проходить неформально при внутренней оценке или происходить в форме подробного отчета при независимой внешней оценке. Кроме того, для представления результатов оценки могут быть подготовлены и другие выводы и предлагаемые планы действий, рекомендации, в зависимости от назначения оценки. Результаты могут быть представлены в абсолютных выражениях или в относительных выражениях в сравнении с результатами предыдущих оценок, контрольными данными, в сравнении с деловыми потребностями и т. д. Результаты оценки ИБ обычно используются в качестве основы для определения рисков ИБ и разработки плана совершенствования СОИБ.

Выходные данные оценки включают дату проведения оценки, входные данные оценки, собранные свидетельства оценки, описание используемого процесса измерения и оценивания. Зарегистрированные выходные данные оценки могут сохраняться в различной форме — бумажной или электронной — в зависимости от обстоятельств и инструментов, использованных для проведения и поддержки оценки.

На основе любого соглашения об обеспечении конфиденциальности или ограничений доступа зарегистрированные данные могут сохраняться организатором оценки или руководством объекта оценки.

Важные факторы достижения цели оценки ИБ следующие:

— осознание и мотивация руководства организации;

— конфиденциальность;

— доверие.

Позиция руководства организации оказывает существенное влияние на процесс оценки. Поэтому руководство организации должно побуждать участников оценки к открытости и конструктивности. Оценка объекта сосредотачивается на оценке процессов, процедур, защитных мер, а не на функционировании персонала объекта оценки. Смысл оценки состоит в том, чтобы сделать объект оценки более эффективными в достижении целей бизнеса, а не в том, чтобы возложить вину на отдельных лиц.

Обеспечение обратной связи и поддержка атмосферы, поощряющей открытое обсуждение предварительных выводов во время оценивания, содействуют обеспечению того, чтобы выходные данные оценки были значимыми для объекта оценки. Руководителям организации и персоналу объекта оценки необходимо осознавать, что участники оценки являются основным источником знаний и опыта, связанных с процессом, и что руководители и персонал имеют хорошую возможность для идентификации потенциальных слабых мест.

Уважение к конфиденциальности источников информации и документации, собранной во время оценивания, необходимо для обеспечения безопасности этой информации. В тех случаях, когда используются опросы или обсуждения, следует обратить внимание на обеспечение того, чтобы их участники не ощущали угрозы или не испытывали какого-либо беспокойства в отношении конфиденциальности. Некоторая из предоставленной информации может составлять собственность организации, поэтому важно наличие адекватных средств контроля для обращения с такой информацией.

Организатор оценки, руководство и персонал объекта оценки должны верить в то, что оценка принесет результат, являющийся объективным для объекта оценки. Важно, чтобы все стороны могли быть уверены в том, что специалисты по оценке обладают адекватными знаниями и опытом для проведения оценки, беспристрастны и обладают адекватным пониманием объекта оценки и его бизнеса для проведения оценки.

Оглавление книги