'

Стандарты в области аудита информационной безопасности

Понравилась презентация – покажи это...





Слайд 1

Сергей Симонов Москва 2002 Стандарты в области аудита информационной безопасности


Слайд 2

Тенденции в области ИБ


Слайд 3

Комплексный подход к защите информации Сеть Сеть Шифрование ЭЦП Управление доступом Целостность Аутентификация Дополнение трафика Управление маршрут. Нотаризация Механизмы Внешний Сетевой Системный Приложения Рубежи обороны Комплексный подход к защите информации реализуется мерами: Организационными (обеспечение разработки и выполнения программы ИБ) Процедурными (организация работы персонала и регламентация его действий) Программно-техническими средствами Комплексный аудит режима ИБ Активный аудит (программно -технический уровень) Тестирование оборудования и регламентные работы


Слайд 4

Рубежи, контролируемые системами активного аудита: Идентификация/аутентификация Разграничение доступа Контроль целостности Выявление аномальной активности Выявление и устранение слабостей Выявление и пресечение атак Активный аудит


Слайд 5

Активный аудит Обнаруживать злоумышленные действия на начальной стадии Выявлять подозрительную активность легальных пользователей Проводить анализ попыток нарушения информационной безопасности


Слайд 6

Система управления ИБ в организации Декларированные цели ИБ Менеджмент ИБ Аудит ИБ Критически важные факторы Критерии оценки режима ИБ Инструментарий для оценки состояния режима ИБ


Слайд 7

Комплексный аудит – средство контроля режима информационной безопасности Аудит информационной безопасности в информационной системе - процесс сбора сведений, позволяющих установить: Обеспечивается ли безопасность ресурсов организации (включая данные) Обеспечиваются ли необходимые параметры целостности и доступности данных Достигаются ли цели организации в части эффективности информационных технологий Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.


Слайд 8

Стандарты в области аудита информационной безопасности Основные схемы аудита ИБ: на соответствие Британскому стандарту BS 7799, часть 2 на соответствие требованиям американского института общественных бухгалтеров (AICPA) на соответствие требованиям ассоциация аудита и управления информационными системами (ISACA)


Слайд 9

Стандарт ISO 17799 (BS 7799) и аудит в соответствии с BS 7799 part 2 Определение политики ИБ Установление границ ИС Оценка рисков Управление рисками Выбор средств контроля, обеспечивающих режим ИБ Проверка на соответствие требованиям стандарта Основные шаги


Слайд 10

Добровольный аудит как метод оценки качества существующей системы ИБ


Слайд 11

Ассоциация аудита и управления информационными системами CobiT Спецификации управляющих процессов и возможные инструменты воздействия (Control Objectives) Рекомендации по выполнению аудита информационной технологии (Audit Guidelines) Концепция управления информационными технологиями


Слайд 12

Основные задачи модели CobiT Стадии жизненного цикла: Планирование и организация — определение стратегии и тактики развития информационных технологий, вытекающих из основных целей бизнеса (11 основных задач). Приобретение и ввод в действие — решения должны быть документально оформлены, спланировано приобретение необходимого оборудования и других средств и ввод их в действие (6 основных задач). Доставка и поддержка — задачи, связанные с обеспечением процесса эксплуатации (13 основных задач) Мониторинг — за процессами, составляющими информационную технологию (4 основные задачи).


Слайд 13

Система стандартов аудита CobiT Хартия аудитора (Audit Charter) — определяет права и обязанности аудитора. Обеспечение независимости (Independence) — гарантии профессиональной независимости аудитора и взаимоотношения с другими организациями. Профессиональная этика (Professional ethics and standarts) — требования к профессиональной этике аудиторов и их взаимоотношениям в профессиональной среде. Требования к квалификации аудитора (Competence) — формальные требования к знаниям в области технических компонент и другие знания и навыки, необходимые для работы аудитора. Требования к повышению квалификации. Планирование работ по аудиту(Audit Planning) — документация, предоставляемая аудитору до начала работ и требования, которым должен отвечать план аудита. Подотчетность действий аудитора (Performance of audit work) — надзор за действиями аудитора со стороны персонала проверяемой системы (supervision) и корректностью полученных выводов (evidence). Требования к документации (Reporting) — форма отчета и его содержание. Последующие действия (follow-up activites) — надзор за исправлениями, которые вносятся после аудита.


Слайд 14

Общая технология аудита Подготовка организации к аудиту 1. Документация должна содержать: ·       политику безопасности; ·       границы защищаемой системы; ·       оценки рисков; ·       управление рисками; ·       описание инструментария управления ИБ; ·       ведомость соответствия (Statement of applicability) - документ, в котором оценивается соответствие требованиям стандартов поставленных целей в области ИБ и средств управления ИБ. 2. Внутренняя проверка соответствия системы управления ИБ требованиям стандарта Подготовка аудитора к проведению сертификации Проведение аудита


Слайд 15

При проведения аудита необходимо: Подтвердить, что вопросы, рассматриваемые в ходе проведения периодических проверок системы управления ИБ, надлежащим образом документированы Подтвердить, что оценка рисков была произведена Подтвердить, что результаты оценивания рисков достоверны, приемлемы и документированы должным образом Подтвердить, что необходимые средства обеспечения ИБ были установлены корректно, прошли тестирование и правильно используются Подтвердить, что сотрудники знакомы с политикой ИБ, система управления ИБ должным образом документирована и подготовлен документ "Ведомость соответствия". Стандартным образом оформить аудиторское заключение


Слайд 16

Сравнение российского и зарубежного подходов к аудиту (аттестации) Большое внимание уделяется выбору и формальному описанию целей, которые ставятся в области ИБ для конкретной информационной системы. Используются механизмы оценки соответствия декларированных целей существующим показателям ИБ Отличительные особенности зарубежных стандартов Учет аспектов, связанных с рисками. Это позволяет оптимизировать построение подсистемы безопасности по критериям цена/эффективность. Лучший учет таких аспектов ИБ как целостность и доступность. Российские РД в основном ориентированы на обеспечение конфиденциальности. Большая степень формализации требований к подсистеме ИБ. В современных стандартах и руководствах формальные требования и рекомендации излагаются в нескольких сотнях подразделов. Соответственно методики построения подсистем ИБ более конкретны, процедуры проведения аудита ИБ достаточно формализованы


Слайд 17

Заключение В российских стандартах и РД в области ИБ аспект рисков, их допустимого уровня, ответственность за принятие определенного уровня рисков, не рассматривается. Отсюда существенные различия в методологии аудита (аттестации) информационных систем Современные зарубежные технологии аудита ИБ представляют интерес для реальных собственников информационных ресурсов, однако они негативно относятся к привлечению сторонних аудиторов


Слайд 18

Вопросы Тел.: (095) 737-8866 Факс: (095) 931-9242 Email: security@compulink.ru Http://www.usp-compulink.ru


×

HTML:





Ссылка: