Основные два этапа аудита суиб

Назначение стандарта

В стандарте ISO/IEC 27001 (ISO 27001) собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).

Цель стандарта

Цель СМИБ - выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Основные понятия

Информационная безопасность - сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.

• Конфиденциальность - обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).
• Целостность - обеспечение точности и полноты информации, а также методов её обработки.
• Доступность - обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Само понятие «защиты информации» трактуется международным стандартом как обеспечение конфиденциальности, целостности и доступности информации. Основа стандарта ИСО 27001 — система управления рисками, связанными с информацией. Система управления рисками позволяет получать ответы на следующие вопросы:

• на каком направлении информационной безопасности требуется сосредоточить внимание;
• сколько времени и средств можно потратить на данное техническое решение для защиты информации.

 

 

Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех стадий:

• стадия 1 — изучение аудитором ключевых документов системы менеджмента информационной безопасности — положение о применимости (SoA), план обработки рисков (RTP), и др. Может выполняться как на территории организации так и путём высылки этих документов внешнему аудитору;
• стадия 2 — детальный, глубокий аудит включая тестирование внедренных мер и оценка их эффективности. Включает полное изучение документов, которые требует стандарт;
• стадия 3 — выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.

Процедура сертификации системы менеджмента по любому из международных стандартов или их комбинации подразделяется на 4 этапа:

 

• 1 этап. Подготовка к сертификации;
• 2 этап. Аудит 1-й ступени (проверка готовности к сертификации);
• 3 этап. Аудит 2-й ступени (сертификационный аудит);
• 4-ый этап. Выдача сертификата и надзор.

 

Цель проведения аудита информационной безопасности. Получить независимую и объективную оценку текущего уровня информационной безопасности для:

· систематизации и упорядочивания существующих мер защиты информации;

· обоснования инвестиций в информационную безопасность;

· подготовки ТЗ на разработку и создание системы безопасности, в том числе для приведения системы информационной безопасности в соответствие требованиям международных или российских стандартов и требований;

· оценки уровня эффективности имеющейся системы безопасности.

Аудит СУИБ по стандарту ISO 27001.

· Политика безопасности

· Организационные меры безопасности

· Учет и категорирование информационных ресурсов

· Кадровые аспекты ИБ

· Физическая защита информационных ресурсов

· Управление технологическим процессом

· Управление доступом

· Закупка, разработка и сопровождение компонентов ИС

· Управление инцидентами в области информационной безопасности

· Обеспечение непрерывности работы и восстановления

· Соответствие нормативным и руководящим документам.

 

Виды аудита:

Внутренний: аудит проводится самой компанией

Внешний: аудит проводится сторонней организацией – партнером или независимым аудитором

Аудит - Систематический, независимый и документированный процесс, получения свидетельств аудита (проверки) и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита (проверки).

Критерии аудита:

· Стандарт по управлению информационной безопасностью (например, ISO 27001)

· Внутренние политики и процедуры информационной безопасности

· Требования регуляторов

Процесс аудита:

· Подготовка к аудиту

· Проведение аудита

· Подготовка, согласование и распространение отчета

· Завершение аудита

· Контроль исправления выявленных недостатков (“follow-up”)

Подготовка к сертификационному аудиту

На данном этапе, как и на начальном, организации рекомендуется пройти предварительный аудит, который поможет оценить готовность к сертификационному аудиту. Предварительный аудит обычно проводится тем же органом по сертификации, в котором предполагается прохождение сертификационного аудита.

По результатам предварительного аудита орган по сертификации составляет отчет, в нем отмечаются все положительные стороны созданной СУИБ, выявленные несоответствия и рекомендации по их устранению.

Для проведения сертификационного аудита рекомендуется, чтобы СУИБ компании функционировала от трех до шести месяцев. Это минимальный период, необходимый для первичного выполнения внутренних аудитов и анализа СУИБ со стороны руководства, а также для формирования записей по результатам выполнения всех процедур СУИБ, которые анализируются в ходе сертификационного аудита.

Результатом данного этапа является СУИБ организации, готовая к прохождению сертификационного аудита.

Эксплуатация СУИБ

Создание и эксплуатация СУИБ требует применения такого же подхода, как и любая другая система управления. Используемая в ISO 27001 для описания СУИБ процессная модель предусматривает непрерывный цикл мероприятий: планирование, реализация, проверка, действие (ПРПД).

Процесс непрерывного совершенствования обычно требует первоначального инвестирования: документирование деятельности, формализация подхода к управлению рисками, определение методов анализа и выделение ресурсов. Эти меры используются для приведения цикла в действие. Они не обязательно должны быть завершены, прежде чем будут активизированы стадии пересмотра.

На стадии планирования обеспечивается правильное задание контекста и масштаба СУИБ, оцениваются рисков информационной безопасности, предлагается соответствующий план обработки этих рисков. В свою очередь, на стадии реализации внедряются принятые решения, которые были определены на стадии планирования. На стадиях проверки и действия усиливают, исправляют и совершенствуют решения по безопасности, которые уже были определены и реализованы.

 

 

На вершине СУИБ находится директор по ИБ, возглавляющий управляющий комитет по ИБ — коллегиальный орган, предназначенных для решения стратегических вопросов, связанных с обеспечением ИБ. Директор по ИБ несет ответственность за все процессы управления ИБ, в число которых входят: управление инцидентами и мониторинг безопасности, управление изменениями и контроль защищенности, инфраструктура безопасности (политики, стандарты, инструкции, процедуры, планы и программы), управление рисками, контроль соответствия требованиям, обучение (программа повышения осведомленности).

Создание подобной структуры управления является целью внедрения ISO 27001/17799 в организации. Один из основных принципов здесь - «приверженность руководства». Это означает, что такая структура может быть создана только руководством компании, которое распределяет должности, ответственность и контролирует выполнение обязанностей. Другими словами руководство организации строит соответствующую вертикаль власти, а точнее модифицирует существующую для удовлетворения потребностей организации в безопасности. СУИБ может создаваться только сверху вниз.

Сертификации СУИБ

Подготовка к сертификации СУИБ состоит из 6 основных шагов:

Шаг 3. Оценка рисков

• Анализ информационных, программных и технических ресурсов организации, оценка их стоимости, построение модели ресурсов
• Идентификация угроз и уязвимостей, оценка вероятности осуществления угроз и величины уязвимостей, разработка модели угроз и модели нарушителя безопасности
• Оценка величины рисков для каждой тройки: угроза – группа ресурсов – уязвимость
• Определение комплекса механизмов безопасности, адекватных существующим рискам
• Идентификация механизмов контроля BS 7799, применимых в данной организации, и дополнительных механизмов контроля, необходимых для минимизации рисков

Шаг 4. Подготовка программы совершенствования СУИБ

На данном этапе, на основании результатов оценки текущего состояния СУИБ и оценки рисков, осуществляется:

• Разработка программы совершенствования СУИБ и устранения существующих недостатков
• Разработка детального плана мероприятий по реализации программы и подготовке к сертификации
• Выделение ресурсов для внедрения недостающих механизмов контроля

Шаг 5. Внедрение механизмов контроля, необходимых для обеспечения соответствия СУИБ организации требованиям ISO 27001:2005

• Разработка политики информационной безопасности организации
• Разработка и внедрение недостающих документов по обеспечению информационной безопасности, доработка действующей документации (инструкций, процедур, регламентов, политик, стандартов и т.п.)
• Определение и документирование организационной структуры управления информационной безопасностью (назначение ответственных, распределение ролей)
• Устранение недостатков и несоответствий, выявленных на этапе оценки текущего состояния
• Проектирование и внедрение недостающих механизмов контроля организационного и программно-технического уровня
• Проведение мероприятий по обучению сотрудников организации вопросам применения ISO/IEC 17799:2000

Шаг 6. Подготовка финального аудита

• Подготовка всей необходимой документации по СУИБ
• Выбор органа сертификации, аккредитованного UKAS, и заключение с ним соглашения на проведение сертификации

 

 

Процедура сертификации СУИБ

Процедура сертификации по стандарту ISO 27001:2005 выполняется органом сертификации (Компания Аудитор), имеющим аккредитацию UKAS (United Kingdom Accreditation Service) и включает в себя следующие этапы:

Шаг 3. Подача заявки

Вы предоставляете официальную заявку в компанию Аудитор по установленной форме.

Шаг 4а. Предварительная оценка (необязательный)

Предварительный аудит – это факультативная услуга, являющаяся по своему назначению тренировочным, репетиционным аудитом, который проводится с целью обеспечения готовности Вашей Организации для сертификационного аудита. Во время предварительной оценки аудитор сосредотачивается на тех областях СУИБ, где его время может быть потрачено с максимальной пользой для Вас. Предварительный аудит должен рассматриваться как проведение оценки, контролируемой клиентом. Аудитор будет готов помочь Вам выявить любые области, требующие усовершенствования. По завершении Предварительного аудита проводится собрание для обсуждения его результатов, и представляется отчет, в котором подробно описываются все отмеченные положительные стороны СУИБ и выявленные несоответствия. Продолжительность Предварительного аудита зависит от Вашего выбора.

Шаг 6. Регистрация

В случае положительного результата сертификационного аудита выдается сертификат соответствия.

Подготовка к сертификационному аудиту

На данном этапе, как и на начальном, организации рекомендуется пройти предварительный аудит, который поможет оценить готовность к сертификационному аудиту. Предварительный аудит обычно проводится тем же органом по сертификации, в котором предполагается прохождение сертификационного аудита.

По результатам предварительного аудита орган по сертификации составляет отчет, в нем отмечаются все положительные стороны созданной СУИБ, выявленные несоответствия и рекомендации по их устранению.

Для проведения сертификационного аудита рекомендуется, чтобы СУИБ компании функционировала от трех до шести месяцев. Это минимальный период, необходимый для первичного выполнения внутренних аудитов и анализа СУИБ со стороны руководства, а также для формирования записей по результатам выполнения всех процедур СУИБ, которые анализируются в ходе сертификационного аудита.

Результатом данного этапа является СУИБ организации, готовая к прохождению сертификационного аудита.

 

Сертификация

Сертификация – процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям.

Закон «О сертификации продукции и услуг» (в ред. Федеральных законов от 27.12.95 № 211-ФЗ, от 02.03.98 № 30-ФЗ, от 31.07.98 № 154-ФЗ) устанавливает правовые основы обязательной и добровольной сертификации продукции, услуг и иных объектов (далее ­– продукция) в Российской Федерации, а также права, обязанности и ответственность участников сертификации.

Сертификация осуществляется в целях:

· создания условий для деятельности организаций и предпринимателей на едином товарном рынке Российской Федерации, а также для участия в международном экономическом, научно-техническом сотрудничестве и международной торговле;

· содействия потребителям в компетентном выборе продукции;

· защиты потребителя от недобросовестности изготовителя (продавца, исполнителя);

· контроля безопасности продукции для окружающей среды, жизни, здоровья и имущества;

· подтверждения показателей качества продукции, заявленных изготовителем.

Сертификация может иметь обязательный и добровольный характер.

Под сертификацией средств защиты информации понимается деятельность по подтверждению соответствия этих средств требованиям государственных стандартов или иных нормативных документов по защите информации.

К средствам защиты информации относятся технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, используемые в управлении экологически опасными объектами.

Организационную структуру системы сертификации образуют:

· центральный орган системы сертифи­кации (возглавляет систему сертификации однородных средств защиты информации);

· федеральный орган по сертификации средств защиты информации;

· органы по сертификации средств защиты информации (проводят сертифика­цию средств защиты информации);

· испытательные лаборатории (прово­дят сертификационные испытания средств защиты информации);

· заявители (разработчики, изготови­тели, поставщики, потребители средств за­щиты информации).

Руководящий документ ФСТЭК России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности средств вычислительной техники» устанавливает классификацию средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

В соответствии с этим руководящим документом возможные показатели защищенности исчерпываются 7 классами. По классу защищенности можно судить о номенклатуре используемых механизмов защиты – наиболее защищенным является 1 класс. Выбор класса защищенности зависит от секретности обрабатываемой информации, условий эксплуатации и расположения объектов системы. В частности, для защиты конфиденциальной информации (персональных данных, служебной тайны и др.) можно применять средства защиты 5 и 6 класса (рис. 4.6).

Рис 4.6. Классификация средств защиты

 

Другим важным руководящим документом ФСТЭК России является «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», который устанавливает классификацию программного обеспечения (отечественного и импортного производства) средств защиты информации по уровню контроля отсутствия в нем недекларированных возможностей. Недекларированные возможности (НДВ) – функциональные возможности программного обеспечения (ПО), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности и целостности обрабатываемой информации (см. рис. 4.7).

Также следует отметить руководящий документ ФСТЭК России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации.

Рис. 4.7. Классификация ПО по уровням НДВ

Показатели защищенности от несанкционированного доступа к информации», который устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований (см. рис. 4.8).

Рис. 4.8. Классификация межсетевых экранов

Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из автоматизированной системы, и обеспечивающее защиту автоматизированной системы посредством фильтрации информации, т. е. ее анализа по совокупности критериев и принятия решения о ее распространении в автоматизированной системе (или вне автоматизированной системы).

 

 

Лицензирование

Согласно ФЗ "О лицензировании отдельных видов деятельности" № 99 от 4.05.2011 г. лицензированию подлежат:

• разработка, производство, распространение и ТО шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, когда ТО осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), выполнение работ, оказание услуг в области шифрования информации;
• разработка и производство средств защиты конфиденциальной информации (СЗКИ);
• деятельность по технической защите конфиденциальной информации.

Органами, уполномоченными выдавать вышеуказанные лицензии, являются ФСБ и ФСТЭК России.

Требования к соискателю лицензии

• Наличие профессиональной, квалифицированной команды.
• Наличие помещения.
• Использованное при разработке ПО должно принадлежать соискателю лицензии или использоваться на законных основаниях.

Для получения лицензии необходимо предоставить документы:

• заявление на предоставление лицензии;
• копии документов, подтверждающих наличие в штате соискателя лицензии специалистов по защите информации и их квалификацию (приказов о назначении или выписок из трудовых книжек, дипломов, удостоверений, свидетельств);
• копии правоустанавливающих документов на помещения, предназначенные для осуществления лицензируемого вида деятельности, права на которые не зарегистрированы в Едином государственном реестре прав на недвижимое имущество и сделок с ним (в случае, если такие права зарегистрированы в указанном реестре);
• копии аттестатов соответствия защищаемых помещений требованиям по безопасности информации и технических паспортов, используемых для осуществления лицензируемого вида деятельности (в случае, если в качестве лицензирующего органа выступает ФСБ России);
• копии аттестатов соответствия средств обработки информации требованиям по безопасности информации и технических паспортов, используемых для осуществления лицензируемого вида деятельности (в случае, если в качестве лицензирующего органа выступает ФСБ России);
• копии документов, подтверждающих право соискателя лицензии на программы для электронно-вычислительных машин и базы данных, планируемые к использованию при осуществлении лицензируемого вида деятельности;
• документы, содержащие сведения о наличии производственного, испытательного и контрольно-измерительного оборудования, СЗИ, средств разработки и производства СЗКИ, необходимых для осуществления лицензируемого вида деятельности, с приложением копий документов о поверке (калибровке) и маркировании контрольно-измерительного оборудования, а также документов, подтверждающих право соискателя лицензии на использование указанных оборудования и средств;
• документы, содержащие сведения об имеющихся технической документации, национальных стандартах и методических документах;
• копии документов, подтверждающих наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы разработки СЗКИ, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию;
• копии документов, подтверждающих наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы производства СЗКИ, оценки качества выпускаемой продукции и неизменности установленных параметров, учета изменений, вносимых в техническую и конструкторскую документацию на производимую продукцию, учета готовой продукции.

 

Прекращение действия лицензии

1. По истечении срока, на который выдавалась лицензия.
2. По заявлению лицензиата.
3. Из-за нарушения лицензиатом требований и условий.

Согласно ст. 9 ФЗ "О лицензировании отдельных видов деятельности" деятельность, на которую предоставлена лицензия, может осуществляться на территориях других субъектов Российской Федерации при условии уведомления лицензиатом лицензирующих органов соответствующих субъектов Российской Федерации в порядке, установленном Правительством Российской Федерации.

 

Назначение стандарта

В стандарте ISO/IEC 27001 (ISO 27001) собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).

Цель стандарта

Цель СМИБ - выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Основные понятия

Информационная безопасность - сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.

• Конфиденциальность - обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).
• Целостность - обеспечение точности и полноты информации, а также методов её обработки.
• Доступность - обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Само понятие «защиты информации» трактуется международным стандартом как обеспечение конфиденциальности, целостности и доступности информации. Основа стандарта ИСО 27001 — система управления рисками, связанными с информацией. Система управления рисками позволяет получать ответы на следующие вопросы:

• на каком направлении информационной безопасности требуется сосредоточить внимание;
• сколько времени и средств можно потратить на данное техническое решение для защиты информации.

 

 

Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех стадий:

• стадия 1 — изучение аудитором ключевых документов системы менеджмента информационной безопасности — положение о применимости (SoA), план обработки рисков (RTP), и др. Может выполняться как на территории организации так и путём высылки этих документов внешнему аудитору;
• стадия 2 — детальный, глубокий аудит включая тестирование внедренных мер и оценка их эффективности. Включает полное изучение документов, которые требует стандарт;
• стадия 3 — выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.

Процедура сертификации системы менеджмента по любому из международных стандартов или их комбинации подразделяется на 4 этапа:

 

• 1 этап. Подготовка к сертификации;
• 2 этап. Аудит 1-й ступени (проверка готовности к сертификации);
• 3 этап. Аудит 2-й ступени (сертификационный аудит);
• 4-ый этап. Выдача сертификата и надзор.

 

Цель проведения аудита информационной безопасности. Получить независимую и объективную оценку текущего уровня информационной безопасности для:

· систематизации и упорядочивания существующих мер защиты информации;

· обоснования инвестиций в информационную безопасность;

· подготовки ТЗ на разработку и создание системы безопасности, в том числе для приведения системы информационной безопасности в соответствие требованиям международных или российских стандартов и требований;

· оценки уровня эффективности имеющейся системы безопасности.

Аудит СУИБ по стандарту ISO 27001.

· Политика безопасности

· Организационные меры безопасности

· Учет и категорирование информационных ресурсов

· Кадровые аспекты ИБ

· Физическая защита информационных ресурсов

· Управление технологическим процессом

· Управление доступом

· Закупка, разработка и сопровождение компонентов ИС

· Управление инцидентами в области информационной безопасности

· Обеспечение непрерывности работы и восстановления

· Соответствие нормативным и руководящим документам.

 

Виды аудита:

Внутренний: аудит проводится самой компанией

Внешний: аудит проводится сторонней организацией – партнером или независимым аудитором

Аудит - Систематический, независимый и документированный процесс, получения свидетельств аудита (проверки) и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита (проверки).

Критерии аудита:

· Стандарт по управлению информационной безопасностью (например, ISO 27001)

· Внутренние политики и процедуры информационной безопасности

· Требования регуляторов

Процесс аудита:

· Подготовка к аудиту

· Проведение аудита

· Подготовка, согласование и распространение отчета

· Завершение аудита

· Контроль исправления выявленных недостатков (“follow-up”)

Основные два этапа аудита СУИБ

1. Анализ документации системы управления информационной безопасностью

2. Тестирование эффективности мер по минимизации рисков информационной безопасности