УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Вопросы:
Вопрос 1. Назначение и цели и аудита ИБ
Нормативное обеспечение аудита
Оценка соответствия ИБ проводится на основе:
Виды аудита
Принципы проведения аудита
Управление программой аудита ИБ
Пример программы аудита
Объем программы аудита ИБ зависит от:
Для определения целей программы аудита необходимо рассмотреть:
Ответственные за управление программой аудита
Вопрос 2. Требования к аудитору ИБ и оценка его работы
Поддержка и повышение компетентности аудиторов
Оценка аудиторов
В результате:
Вопрос 3. Измерение эффективности СМИБ
Метрики эффективности
Преимущества метрик
Пример метрик
Пример метрики 1 (ISO 27004)
Пример метрики 2 (ISO 27004)
Способы сбора данных:
Использование специализированого ПО для сбора данных:
Анализ полученных данных
Оценка результативности позволяет:
5.62M
Категория: ПравоПраво

Управление информационной безопасностью. Лекция 9. Сущность аудита информационной безопасности

1. УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

Лекция 9
«Сущность аудита
информационной
безопасности»

2. Вопросы:

1.Назначение, цели и виды
аудита ИБ.
2.Требования к аудитору ИБ и
оценка его работы.
3.Измерение эффективности
СМИБ.

3. Вопрос 1. Назначение и цели и аудита ИБ

Аудит информационной
безопасности - системный
процесс получения
объективных качественных и
количественных оценок о
текущем состоянии ИБ
компании в соответствии с
определенными критериями и
показателями безопасности

4. Нормативное обеспечение аудита

ГОСТ Р ИСО/МЭК 27004-2021
Мониторинг, оценка защищенности,
анализ и оценивание.
ГОСТ Р ИСО/МЭК 27006-2020.
Требования к органам,
осуществляющим аудит и
сертификацию систем менеджмента ИБ.
ГОСТ Р ИСО/МЭК 27007-2014
Руководства по аудиту систем
менеджмента ИБ.

5.

В основе аудита ИБ - стремление
руководства организации с помощью
проведения независимой и
компетентной оценки определить:
истинный уровень организации работ в
области ИБ;
степень соответствия ИБ организации
установленным критериям аудита ИБ;
выполнение требований в области ИБ,
определенных в политике ИБ и
характеризующая уровень ИБ.

6. Оценка соответствия ИБ проводится на основе:

документов по обеспечению ИБ;
фактов, свидетельствующих о:
выполнении,
частичном выполнении,
невыполнении установленных
требований по ИБ.

7. Виды аудита

1.
2.
3.
В международных стандартах:
Аудит первой стороны – внутренний
аудит, проводится самой организацией или
от ее имени.
Аудит второй стороны – проводится
сторонами,
заинтересованными
в
деятельности организации (потребителями
или другими лицами от их имени).
Аудит третьей стороны - организацию
проверяет внешняя, независимая компания,
(орган по сертификации).

8. Принципы проведения аудита

независимость аудита ИБ;
полнота аудита ИБ;
оценка на основе свидетельств аудита
ИБ;
достоверность свидетельств аудита ИБ;
необходимость понимания аудитором
деятельности проверяемой организации;
компетентность, этичность и
беспристрастность.

9. Управление программой аудита ИБ

Программа
аудита
ИБ

план
деятельности по проведению одного
или
нескольких
аудитов
ИБ,
запланированных на конкретный
период времени.
Включает
все
мероприятия,
необходимые
для
планирования,
организации и проведения аудита ИБ
(несколько аудитов ИБ).
Управление
программой аудита ИБ
должно выполняться в рамках цикла
PDCA.
Определяются цели программ аудитов
ИБ.

10. Пример программы аудита

11. Объем программы аудита ИБ зависит от:

области, цели и продолжительности каждого аудита
ИБ;
частоты проводимых аудитов ИБ;
количества, важности, комплексности, степени
сходства, местоположения подразделений,
подлежащих аудиту ИБ;
стандартов, законодательных, нормативных и
контрактных требований;
заключений по результатам предыдущих аудитов
ИБ;
мнений заинтересованных сторон;
существенных изменений в организации или ее
деятельности.

12. Для определения целей программы аудита необходимо рассмотреть:

приоритеты руководства;
коммерческие намерения;
требования стандартов (внешних и
внутренних);
законодательные требования,
требования регламентов и требования,
предусмотренные договорными
обязательствами;
потребности заинтересованных сторон;
риски организации.

13. Ответственные за управление программой аудита

Высшее
руководство должно распределить
полномочия
и
ответственность
за
управления программой аудита ИБ.
Ответственность
за
управление
программой аудита ИБ возлагается на
одно или нескольких лиц, имеющих
представление о:
принципах аудита ИБ,
компетентности аудиторов,
содержании этапов аудита ИБ,
обладающих знаниями по обеспечению ИБ.

14. Вопрос 2. Требования к аудитору ИБ и оценка его работы

Аудиторы должны продемонстрировать:
1. Личные качества (тактичность,
наблюдательность, проницательность, упорство
в достижении цели, решительность,
самостоятельность);
2. Способность применить знания и навыки
(по принципам, процедурам и методам аудита
ИБ, СУИБ НПА, техническим регламентам);
3. Образование, опыт работы, обучение на
аудитора по ИБ и опыт проведения аудита ИБ.

15. Поддержка и повышение компетентности аудиторов

Как аудитору продемонстрировать
свою компетентность, каким образом
ее поддерживать и повышать?
Внутренние
и внешние курсы по
аудиту ИБ,
Обучение
ведущими
аудиторами
организации и т.д.
Должна
проводиться
оценка
аудиторов по ИБ.

16. Оценка аудиторов

Происходит на этапах:
1. Начальное оценивание лиц, желающих
стать аудиторами по ИБ;
2. Оценивание аудиторов как часть процесса
формирования аудиторской группы;
3. Постоянное оценивание характеристик
аудитора по ИБ с целью идентификации
потребностей и необходимости улучшения
их знаний и навыков.

17. В результате:

Собранную
информацию о персонале
сравнивают с критериями, которыми
должен обладать будущий аудитор.
Если
персонал не соответствует
критериям,
указывают
на
необходимость
дополнительного
обучения, опыта работы и (или)
участия в аудите ИБ, после чего
проводят повторную оценку.

18. Вопрос 3. Измерение эффективности СМИБ

Оценка результативности СМИБ для:
Выявления
результативности
и
эффективности внедрения процедуры
СМИБ;
разработки
методики
их
совершенствования.
Для оценки эффективности используют
метрики эффективности.
Процесс определения метрик в ISO/IEC
27004.

19. Метрики эффективности

Метрики - инструмент,
позволяющий взвешенно и
объективно принимать
управленческие решения по
улучшению работы мер и процессов
по обеспечению ИБ.
Отслеживая метрики, можно выявить
недостатки в процессах обеспечения ИБ
и принять своевременные и
обоснованные меры по их устранению.

20. Преимущества метрик

Измеряются, без «экспертного мнения».
Доступны для расчета и анализа
(предпочтительно автоматически).
Имеют количественное выражение
(деньги, время, пр.)
Понятны и указывают на проблемную
область и возможные решения.

21. Пример метрик

22. Пример метрики 1 (ISO 27004)

23. Пример метрики 2 (ISO 27004)

24. Способы сбора данных:

Внешние аудиты;
Внутренние аудиты, опросы;
Анализ инцидентов и событий
ИБ;
Использование
автоматизированных средств.

25.

26. Использование специализированого ПО для сбора данных:

27.

28. Анализ полученных данных

Позволяют ли используемые средства
обеспечения ИБ достичь поставленных
целей? Если нет, то почему?
Какими ресурсами это достигается?
Насколько это целесообразно?
Утвержден ли перечень исключений?
Используются ли компенсирующие
меры? Достаточно ли существующих
мер?
Как устранить выявленные недостатки
и улучшить выполнение процедур ИБ?

29. Оценка результативности позволяет:

1. Определить некачественную
реализацию процедур ИБ.
2. Выявить причины возникновения
недостатков.
3. Выявить нецелесообразное
расходование ресурсов.
4. Своевременно принять меры по
улучшению – прежде, чем эти
недостатки обнаружит и применит
злоумышленник.
English     Русский Правила