'

Стандарты в области аудита информационной безопасности

Понравилась презентация – покажи это...





Слайд 0

Сергей Симонов Москва 2002 Стандарты в области аудита информационной безопасности


Слайд 1

Тенденции в области ИБ


Слайд 2

Комплексный подход к защите информации Сеть Сеть Шифрование ЭЦП Управление доступом Целостность Аутентификация Дополнение трафика Управление маршрут. Нотаризация Механизмы Внешний Сетевой Системный Приложения Рубежи обороны Комплексный подход к защите информации реализуется мерами: Организационными (обеспечение разработки и выполнения программы ИБ) Процедурными (организация работы персонала и регламентация его действий) Программно-техническими средствами Комплексный аудит режима ИБ Активный аудит (программно -технический уровень) Тестирование оборудования и регламентные работы


Слайд 3

Рубежи, контролируемые системами активного аудита: Идентификация/аутентификация Разграничение доступа Контроль целостности Выявление аномальной активности Выявление и устранение слабостей Выявление и пресечение атак Активный аудит


Слайд 4

Активный аудит Обнаруживать злоумышленные действия на начальной стадии Выявлять подозрительную активность легальных пользователей Проводить анализ попыток нарушения информационной безопасности


Слайд 5

Система управления ИБ в организации Декларированные цели ИБ Менеджмент ИБ Аудит ИБ Критически важные факторы Критерии оценки режима ИБ Инструментарий для оценки состояния режима ИБ


Слайд 6

Комплексный аудит – средство контроля режима информационной безопасности Аудит информационной безопасности в информационной системе - процесс сбора сведений, позволяющих установить: Обеспечивается ли безопасность ресурсов организации (включая данные) Обеспечиваются ли необходимые параметры целостности и доступности данных Достигаются ли цели организации в части эффективности информационных технологий Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.


Слайд 7

Стандарты в области аудита информационной безопасности Основные схемы аудита ИБ: на соответствие Британскому стандарту BS 7799, часть 2 на соответствие требованиям американского института общественных бухгалтеров (AICPA) на соответствие требованиям ассоциация аудита и управления информационными системами (ISACA)


Слайд 8

Стандарт ISO 17799 (BS 7799) и аудит в соответствии с BS 7799 part 2 Определение политики ИБ Установление границ ИС Оценка рисков Управление рисками Выбор средств контроля, обеспечивающих режим ИБ Проверка на соответствие требованиям стандарта Основные шаги


Слайд 9

Добровольный аудит как метод оценки качества существующей системы ИБ


Слайд 10

Ассоциация аудита и управления информационными системами CobiT Спецификации управляющих процессов и возможные инструменты воздействия (Control Objectives) Рекомендации по выполнению аудита информационной технологии (Audit Guidelines) Концепция управления информационными технологиями


Слайд 11

Основные задачи модели CobiT Стадии жизненного цикла: Планирование и организация — определение стратегии и тактики развития информационных технологий, вытекающих из основных целей бизнеса (11 основных задач). Приобретение и ввод в действие — решения должны быть документально оформлены, спланировано приобретение необходимого оборудования и других средств и ввод их в действие (6 основных задач). Доставка и поддержка — задачи, связанные с обеспечением процесса эксплуатации (13 основных задач) Мониторинг — за процессами, составляющими информационную технологию (4 основные задачи).


Слайд 12

Система стандартов аудита CobiT Хартия аудитора (Audit Charter) — определяет права и обязанности аудитора. Обеспечение независимости (Independence) — гарантии профессиональной независимости аудитора и взаимоотношения с другими организациями. Профессиональная этика (Professional ethics and standarts) — требования к профессиональной этике аудиторов и их взаимоотношениям в профессиональной среде. Требования к квалификации аудитора (Competence) — формальные требования к знаниям в области технических компонент и другие знания и навыки, необходимые для работы аудитора. Требования к повышению квалификации. Планирование работ по аудиту(Audit Planning) — документация, предоставляемая аудитору до начала работ и требования, которым должен отвечать план аудита. Подотчетность действий аудитора (Performance of audit work) — надзор за действиями аудитора со стороны персонала проверяемой системы (supervision) и корректностью полученных выводов (evidence). Требования к документации (Reporting) — форма отчета и его содержание. Последующие действия (follow-up activites) — надзор за исправлениями, которые вносятся после аудита.


Слайд 13

Общая технология аудита Подготовка организации к аудиту 1. Документация должна содержать: ·       политику безопасности; ·       границы защищаемой системы; ·       оценки рисков; ·       управление рисками; ·       описание инструментария управления ИБ; ·       ведомость соответствия (Statement of applicability) - документ, в котором оценивается соответствие требованиям стандартов поставленных целей в области ИБ и средств управления ИБ. 2. Внутренняя проверка соответствия системы управления ИБ требованиям стандарта Подготовка аудитора к проведению сертификации Проведение аудита


Слайд 14

При проведения аудита необходимо: Подтвердить, что вопросы, рассматриваемые в ходе проведения периодических проверок системы управления ИБ, надлежащим образом документированы Подтвердить, что оценка рисков была произведена Подтвердить, что результаты оценивания рисков достоверны, приемлемы и документированы должным образом Подтвердить, что необходимые средства обеспечения ИБ были установлены корректно, прошли тестирование и правильно используются Подтвердить, что сотрудники знакомы с политикой ИБ, система управления ИБ должным образом документирована и подготовлен документ "Ведомость соответствия". Стандартным образом оформить аудиторское заключение


Слайд 15

Сравнение российского и зарубежного подходов к аудиту (аттестации) Большое внимание уделяется выбору и формальному описанию целей, которые ставятся в области ИБ для конкретной информационной системы. Используются механизмы оценки соответствия декларированных целей существующим показателям ИБ Отличительные особенности зарубежных стандартов Учет аспектов, связанных с рисками. Это позволяет оптимизировать построение подсистемы безопасности по критериям цена/эффективность. Лучший учет таких аспектов ИБ как целостность и доступность. Российские РД в основном ориентированы на обеспечение конфиденциальности. Большая степень формализации требований к подсистеме ИБ. В современных стандартах и руководствах формальные требования и рекомендации излагаются в нескольких сотнях подразделов. Соответственно методики построения подсистем ИБ более конкретны, процедуры проведения аудита ИБ достаточно формализованы


Слайд 16

Заключение В российских стандартах и РД в области ИБ аспект рисков, их допустимого уровня, ответственность за принятие определенного уровня рисков, не рассматривается. Отсюда существенные различия в методологии аудита (аттестации) информационных систем Современные зарубежные технологии аудита ИБ представляют интерес для реальных собственников информационных ресурсов, однако они негативно относятся к привлечению сторонних аудиторов


Слайд 17

Вопросы Тел.: (095) 737-8866 Факс: (095) 931-9242 Email: security@compulink.ru Http://www.usp-compulink.ru


×

HTML:





Ссылка: