Похожие презентации:
Управление информационной безопасностью. Лекция 9. Сущность аудита информационной безопасности
1. УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Лекция 9«Сущность аудита
информационной
безопасности»
2. Вопросы:
1.Назначение, цели и видыаудита ИБ.
2.Требования к аудитору ИБ и
оценка его работы.
3.Измерение эффективности
СМИБ.
3. Вопрос 1. Назначение и цели и аудита ИБ
Аудит информационнойбезопасности - системный
процесс получения
объективных качественных и
количественных оценок о
текущем состоянии ИБ
компании в соответствии с
определенными критериями и
показателями безопасности
4. Нормативное обеспечение аудита
ГОСТ Р ИСО/МЭК 27004-2021Мониторинг, оценка защищенности,
анализ и оценивание.
ГОСТ Р ИСО/МЭК 27006-2020.
Требования к органам,
осуществляющим аудит и
сертификацию систем менеджмента ИБ.
ГОСТ Р ИСО/МЭК 27007-2014
Руководства по аудиту систем
менеджмента ИБ.
5.
В основе аудита ИБ - стремлениеруководства организации с помощью
проведения независимой и
компетентной оценки определить:
истинный уровень организации работ в
области ИБ;
степень соответствия ИБ организации
установленным критериям аудита ИБ;
выполнение требований в области ИБ,
определенных в политике ИБ и
характеризующая уровень ИБ.
6. Оценка соответствия ИБ проводится на основе:
документов по обеспечению ИБ;фактов, свидетельствующих о:
выполнении,
частичном выполнении,
невыполнении установленных
требований по ИБ.
7. Виды аудита
1.2.
3.
В международных стандартах:
Аудит первой стороны – внутренний
аудит, проводится самой организацией или
от ее имени.
Аудит второй стороны – проводится
сторонами,
заинтересованными
в
деятельности организации (потребителями
или другими лицами от их имени).
Аудит третьей стороны - организацию
проверяет внешняя, независимая компания,
(орган по сертификации).
8. Принципы проведения аудита
независимость аудита ИБ;полнота аудита ИБ;
оценка на основе свидетельств аудита
ИБ;
достоверность свидетельств аудита ИБ;
необходимость понимания аудитором
деятельности проверяемой организации;
компетентность, этичность и
беспристрастность.
9. Управление программой аудита ИБ
Программааудита
ИБ
–
план
деятельности по проведению одного
или
нескольких
аудитов
ИБ,
запланированных на конкретный
период времени.
Включает
все
мероприятия,
необходимые
для
планирования,
организации и проведения аудита ИБ
(несколько аудитов ИБ).
Управление
программой аудита ИБ
должно выполняться в рамках цикла
PDCA.
Определяются цели программ аудитов
ИБ.
10. Пример программы аудита
11. Объем программы аудита ИБ зависит от:
области, цели и продолжительности каждого аудитаИБ;
частоты проводимых аудитов ИБ;
количества, важности, комплексности, степени
сходства, местоположения подразделений,
подлежащих аудиту ИБ;
стандартов, законодательных, нормативных и
контрактных требований;
заключений по результатам предыдущих аудитов
ИБ;
мнений заинтересованных сторон;
существенных изменений в организации или ее
деятельности.
12. Для определения целей программы аудита необходимо рассмотреть:
приоритеты руководства;коммерческие намерения;
требования стандартов (внешних и
внутренних);
законодательные требования,
требования регламентов и требования,
предусмотренные договорными
обязательствами;
потребности заинтересованных сторон;
риски организации.
13. Ответственные за управление программой аудита
Высшееруководство должно распределить
полномочия
и
ответственность
за
управления программой аудита ИБ.
Ответственность
за
управление
программой аудита ИБ возлагается на
одно или нескольких лиц, имеющих
представление о:
принципах аудита ИБ,
компетентности аудиторов,
содержании этапов аудита ИБ,
обладающих знаниями по обеспечению ИБ.
14. Вопрос 2. Требования к аудитору ИБ и оценка его работы
Аудиторы должны продемонстрировать:1. Личные качества (тактичность,
наблюдательность, проницательность, упорство
в достижении цели, решительность,
самостоятельность);
2. Способность применить знания и навыки
(по принципам, процедурам и методам аудита
ИБ, СУИБ НПА, техническим регламентам);
3. Образование, опыт работы, обучение на
аудитора по ИБ и опыт проведения аудита ИБ.
15. Поддержка и повышение компетентности аудиторов
Как аудитору продемонстрироватьсвою компетентность, каким образом
ее поддерживать и повышать?
Внутренние
и внешние курсы по
аудиту ИБ,
Обучение
ведущими
аудиторами
организации и т.д.
Должна
проводиться
оценка
аудиторов по ИБ.
16. Оценка аудиторов
Происходит на этапах:1. Начальное оценивание лиц, желающих
стать аудиторами по ИБ;
2. Оценивание аудиторов как часть процесса
формирования аудиторской группы;
3. Постоянное оценивание характеристик
аудитора по ИБ с целью идентификации
потребностей и необходимости улучшения
их знаний и навыков.
17. В результате:
Собраннуюинформацию о персонале
сравнивают с критериями, которыми
должен обладать будущий аудитор.
Если
персонал не соответствует
критериям,
указывают
на
необходимость
дополнительного
обучения, опыта работы и (или)
участия в аудите ИБ, после чего
проводят повторную оценку.
18. Вопрос 3. Измерение эффективности СМИБ
Оценка результативности СМИБ для:Выявления
результативности
и
эффективности внедрения процедуры
СМИБ;
разработки
методики
их
совершенствования.
Для оценки эффективности используют
метрики эффективности.
Процесс определения метрик в ISO/IEC
27004.
19. Метрики эффективности
Метрики - инструмент,позволяющий взвешенно и
объективно принимать
управленческие решения по
улучшению работы мер и процессов
по обеспечению ИБ.
Отслеживая метрики, можно выявить
недостатки в процессах обеспечения ИБ
и принять своевременные и
обоснованные меры по их устранению.
20. Преимущества метрик
Измеряются, без «экспертного мнения».Доступны для расчета и анализа
(предпочтительно автоматически).
Имеют количественное выражение
(деньги, время, пр.)
Понятны и указывают на проблемную
область и возможные решения.
21. Пример метрик
22. Пример метрики 1 (ISO 27004)
23. Пример метрики 2 (ISO 27004)
24. Способы сбора данных:
Внешние аудиты;Внутренние аудиты, опросы;
Анализ инцидентов и событий
ИБ;
Использование
автоматизированных средств.
25.
26. Использование специализированого ПО для сбора данных:
27.
28. Анализ полученных данных
Позволяют ли используемые средстваобеспечения ИБ достичь поставленных
целей? Если нет, то почему?
Какими ресурсами это достигается?
Насколько это целесообразно?
Утвержден ли перечень исключений?
Используются ли компенсирующие
меры? Достаточно ли существующих
мер?
Как устранить выявленные недостатки
и улучшить выполнение процедур ИБ?
29. Оценка результативности позволяет:
1. Определить некачественнуюреализацию процедур ИБ.
2. Выявить причины возникновения
недостатков.
3. Выявить нецелесообразное
расходование ресурсов.
4. Своевременно принять меры по
улучшению – прежде, чем эти
недостатки обнаружит и применит
злоумышленник.