Аудит безопасности

Содержание

Согласованная методика аудита информационной безопасности

Сегодня в области стандартизации подходов к информационной безопасности ситуация довольно неплохая, в то время как аудит информационной безопасности до сих пор в нашей стране остается на низком уровне. Проанализируем, почему это происходит и как можно исправить ситуацию.

Аудит информационной безопасности (ИБ) выполняется в несколько этапов. На первом этапе необходимо провести оценку системы управления ИБ, на втором — технологический аудит защищенности, на третьем — анализ информационных рисков. В общем виде в данной схеме нет ничего нового. Проблемы для заказчика начинаются в деталях — что именно и как будет сделано в процессе выполнения работ по этой схеме, особенно на этапах технологического аудита и анализа рисков. Дело в том, что понятие «аудит» предполагает оценку на соответствие какому-либо четкому критерию (или стандарту). На первом этапе для оценки системы управления ИБ в качестве такого критерия используется хорошо проработанный стандарт ISO 27001/ISO 17799.

Стандарт включает 11 ключевых элементов, которые имеют отношение к безопасности всей организации в различных условиях: политика безопасности; организация ИБ; управление ресурсами; безопасность людских ресурсов; физическая безопасность и безопасность окружающей среды; управление коммуникациями и операциями; контроль доступа; приобретение, разработка и сопровождение информационной системы; управление инцидентами ИБ; управление непрерывностью бизнеса и др.

Основные проблемы возникают на втором этапе аудита — при проведении технологической оценки защищенности. Это обусловлено отсутствием четкого критерия, по которому на технологическом уровне важно понять, защищена ли система, есть ли в ней уязвимости, позволяющие осуществить проникновение в нее, или их нет, т.е. не сформирован перечень проверок, которые должен выполнить аудитор. По сути четкого критерия или единого перечня проверок и быть не может, а должна быть так называемая согласованная методика проведения комплексного аудита ИБ.

Под согласованной методикой понимается проведение аудита ИБ, предусматривающее оптимальный набор требований для конкретного варианта информационной системы.

На рис. 1 приведена общая схема проведения аудита ИБ.

Общая схема проведения аудита ИБ

———————¬ ———————¬
¦ Экспертный аудит ¦ ¦ Активный аудит ¦
L—T——T——T—— L—-T——T——T—-
¦ ¦ ¦ ¦ ¦ ¦
¦/ ¦/ ¦/ ¦/ ¦/ ¦/
——————————————————-¬
¦ Комплексное исследование защищенности ¦
¦ информационной системы ¦
L—-T——-T——-T——-T————-T——T——
¦ ¦ ¦ ¦ ¦ ¦
¦/ ¦/ ¦/ ¦/ ¦/ ¦/
————————————¬ —————-¬
¦Определение степени соответствия ИБ¦ ¦ Анализ рисков ¦
¦ основным нормам и стандартам ¦ ¦ ¦
L—-T——-T——-T——-T——T- L—T——T——
¦ ¦ ¦ ¦ ¦ ¦ ¦
¦/ ¦/ ¦/ ¦/ ¦/ ¦/ ¦/
——————————————————-¬
¦ Разработка комплексных решений по обеспечению ¦
¦ информационной безопасности ¦

Рис. 1

В настоящее время на рынке представлено немало методик, обладающих широким спектром подходов к проведению аудита ИБ. Очевидно, что при такой ситуации заказчика в первую очередь интересует, что будет являться результатом аудита ИБ и в каком виде ему это будет предоставлено.

Подход к аудиту, предлагаемый согласованной методикой, в полной мере является оправданным, если в информационной системе обрабатываются данные различного уровня доступа.

Комплексный аудит информационной безопасности

В этом случае на ранней стадии составления поэтапного плана работ необходимо учесть общие компоненты стратегии проведения комбинированного аудита ИБ.

Практически все работы по проведению аудита ИБ начинаются с предпроектного обследования и сбора первоначальных данных об объекте.

Предпроектное обследование проводится на начальном этапе работы с заказчиком и длится примерно 3 — 5 дней. Его задачи — наметить границы аудита и сроки проведения работ, а также определить:

перечень информационных ресурсов по физическому подключению или расположению;

перечень ресурсов по штатному расписанию;

перечень бизнес-процессов и процессов документооборота.

Предпроектное обследования преследует двоякую цель:

во-первых, у исполнителя формируется более детальное понимание объекта оценки, что позволяет как существенно повысить качество проводимых работ, так и ускорить процесс аудита;

во-вторых, заказчику предоставляется возможность более точно определить объект оценки (границы предполагаемых работ).

Следовательно, для оптимизации процесса обследования нужно уже на начальной стадии учитывать требования необходимых стандартов и отразить их как в опросных листах, так и в структуре отчета об обследовании.

Важно отметить, что с точки зрения экономической эффективности аудит ИБ позволяет не только существенно оптимизировать затраты на модернизацию системы обеспечения ИБ, но и провести адекватные организационные меры контроля в компании. Это объясняется тем, что при проведении комплексного аудита ИБ в обязательном порядке осуществляется оценка информационных рисков, при этом учитываются стоимостные составляющие всех критичных информационных ресурсов, а также степень их уязвимости к ранжированным атакам со стороны недоброжелателей. Как правило, аудиторы ИБ выполняют данные работы по схеме, приведенной на рис. 2.

Общая схема оценки и управления информационными рисками

—————————————————-¬
¦- — — — ¬ — — — — ¬ — — — — ¬ — — — — ¬¦
¦ Ресурсы Угрозы Уязвимость Требования ¦
¦L — -¬ — — L — -¬ — — L — -¬ — — L — -¬ — -¦
¦ L————+——T——+————- ¦
¦ ¦/ ¦
¦ — — — — ¬ ¦
¦ Оценка рисков Риски ¦
¦ L — — — — ¦
¦— — — — — — — —¦—¦— — — — — — — — ¦
¦ ¦/¦/ ¦
¦ — — — — ¬ ¦
¦ Внедрение ¦
¦ Управление ¦механизмов¦ ¦
¦ рисками контроля ¦
¦ L — — — — ¦
¦ ¦ ¦ ¦ ¦
¦ ¦/¦/¦/ ¦
¦ — — — — ¬ ¦
¦ ¦Управление ¦
¦ политикой¦ ¦
¦ L — — — — ¦
L—————————————————-

Рис. 2

Инициирование и планирование процедуры аудита. Как известно, аудит проводится по инициативе руководства компании, являющейся заинтересованной стороной. Помимо аудитора в этой работе участвуют представители других структурных подразделений компании, поэтому все их действия должны быть четко скоординированы. На этом этапе решаются следующие задачи:

определение и документальное закрепление в виде соответствующих документов, а также в положении о внутреннем/внешнем аудите прав и обязанностей аудитора;

разработка и согласование с руководством компании плана проведения аудита. Важно отметить, что данный план в обязательном порядке должен включать список ключевых лиц, с кем должны проводиться собеседования, а также календарный план с указанием сроков работ;

доведение до сотрудников компании информации о необходимости оказания содействия аудитору и порядке предоставления ему необходимой информации.

На данном этапе также определяются границы проведения обследования, т.е. составляется перечень тех подсистем информационной системы, которые будут включены в процедуру аудита.

План аудита должен формироваться в качестве отдельного документа, включающего не только перечень этапов, но и их описание. Приведем перечень обязательных компонентов, которые должны быть освещены в документе «План аудита»:

определение границ обследования и сбор данных;

анализ защищенности основных информационных ресурсов и процедур;

разработка перечня критичной информации;

моделирование действий нарушителей;

анализ угроз ИБ;

установление последствий и потенциальных потерь компании;

определение и выбор шкалы для оценки параметров рисков;

проведение анализа рисков;

выработка рекомендаций по управлению рисками;

разработка общих рекомендаций по повышению степени защищенности информационной системы;

разработка и поставка итоговой документации.

Следует отметить, что некоторые указанные этапы могут быть проведены параллельно.

Реализация аудита. Данный этап является одним из самых сложных. Обусловлено это тем, что, как правило, необходимая документация на информационную систему отсутствует. Кроме того, на этом этапе аудитору приходится взаимодействовать со многими должностными лицами компании. Для получения необходимой информации о компании, функционировании и текущем состоянии ее информационной системы согласно утвержденному плану организуются встречи с ответственными лицами, изучается техническая и организационно-распорядительная документация.

В ходе сбора информации у аудитора могут возникнуть следующие проблемы:

часто сотрудники описывают одну и ту же ситуацию/подсистему с разных точек зрения, поэтому приходится проводить интервью с одним и тем же человеком по несколько раз;

из-за занятости сотрудников (во время проведения аудита работа в компании не приостанавливается) намеченный план нередко сдвигается. В этом случае смещение графика работ должно быть официально зарегистрировано и отмечено заказчиком;

необходимо изначально определить формат собираемых данных и способ их получения. Все действия аудитора должны быть заранее одобрены заказчиком.

Анализ собранных данных. В зависимости от используемых аудиторами методов анализа данных существует несколько подходов к их реализации.

Подход, базирующийся на анализе рисков, является наиболее эффективным. При анализе рисков учитывается вероятность угроз ИБ по отношению к критичным информационным ресурсам. Качество и достоверность данной оценки зависят от степени детализации и адекватности обнаруженных угроз. Однако данный подход является наиболее затратным и, как правило, требует наивысшей квалификации от аудитора. Немаловажно отметить, что в результате проведенных работ аудитор предоставляет заказчику экспертную оценку рисков. Для получения количественной оценки он должен обладать определенным набором статистических данных об объекте оценки. В ряде случаев заказчик просто не может предоставить ему данной информации.

Полный и единый перечень информационных рисков привести невозможно, так как он напрямую зависит от обнаруженных и отранжированных угроз ИБ применительно к той или иной подсистеме. Как показала практика, понятие информационного риска по-разному понимается заказчиком. В ряде случаев (например, при работе в банковском секторе) следует использовать термин «операционный риск». В крупных и долгосрочных проектах нужно учитывать «аудиторский риск» и «риск лояльности».

Подход с использованием стандартов ИБ позволяет определить требования стандарта, соответствие которым необходимо обеспечить для информационной системы. Заказчик должен самостоятельно выдвигать требования, а аудитор — лишь проверять степень соответствия им. Аудитор должен обладать методикой, позволяющей оценить это соответствие. Например, давно используются открытые методики по стандартам ISO 27001, ИСО/МЭК 15408, «Стандарт ЦБ РФ» и др.

Третий подход является логичным продолжением и объединением первых двух. Смысл данного комбинированного метода заключается в том, что многие этапы аудита, например интервьюирование, проверка собранных сведений и согласование документации, выполняются одновременно, что обеспечивает существенное сокращение времени его проведения.

Выработка рекомендаций. Рекомендации аудитора должны быть конкретными и применимыми к данной информационной системе, а также экономически обоснованными и отсортированными по степени важности. Важно отметить, что, как правило, рекомендации бывают достаточно общими и не могут быть в полной мере использованы в качестве технорабочего проекта для построения/модернизации системы ИБ.

Подготовка отчетной документации. Аудиторский отчет — основной результат проведения аудита. Его структура зависит от характера и целей проводимого аудита. Хорошим финалом проведенной работы может служить презентация перед руководством. Данная презентация должна включать основные результаты проделанной работы, а также описывать планируемые работы в будущем.

В заключение хотелось бы сказать, что как только внешний аудит в соответствии со стандартами по управлению ИБ (в частности, ISO 27001) станет частью жизненного цикла системы управления безопасностью и перейдет в соответствии с международными стандартами на регулярную основу, ситуация должна измениться. Тем более что в 2007 г. большинство международных стандартов в области ИБ, наконец, получат статус российских ГОСТов.

А.Бедрань

Компания «ТехноСерв А/С»

ГЛАВА 2. ЭТАПНОСТЬ РАБОТ ПО ПРОВЕДЕНИЮ АУДИТА ИНФОРМАЦИОННЫХ СИСТЕМ ПРЕДПРИЯТИЯ

Основные этапы аудита информационных систем предприятия

Работы по аудиту ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ аудита АС, который включает в себя следующее:

· инициирование процедуры аудита;

· сбор информации аудита;

· анализ данных аудита;

· выработка рекомендаций;

· подготовка аудиторского отчета;

· инициирование процедуры аудита.

Аудит проводится не по инициативе аудитора, а по инициативе руководства компании, которое в данном вопросе является основной заинтересованной стороной. Поддержка руководства компании является необходимым условием для проведения аудита.

Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными представители большинства структурных подразделений компании. Действия всех участников этого процесса должны быть скоординированы. Поэтому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:

Ø права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;

Ø аудитором должен быть подготовлен и согласован с руководством план проведения аудита;

Ø в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.

Инициирование процедуры аудита

На этапе инициирования процедуры аудита должны быть определены границы проведения обследования.

Одни информационные подсистемы компании не являются достаточно критичными и их можно исключить из границ проведения обследования. Другие подсистемы могут оказаться недоступными для аудита из-за соображений конфиденциальности.

Границы проведения обследования определяются в следующих терминах:

· Список обследуемых физических, программных и информационных ресурсов;

· Площадки (помещения), попадающие в границы обследования;

· Основные виды угроз безопасности, рассматриваемые при проведении аудита;

Организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).

План и границы проведения аудита обсуждается на рабочем собрании, в котором участвуют аудиторы, руководство компании и руководители структурных подразделений.

Сбор информации аудита

Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.

Компетентные выводы относительно положения дел в компании могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Получение информации об организации, функционировании и текущем состоянии ИС осуществляется аудитором в ходе специально организованных интервью с ответственными лицами компании, путем изучения технической и организационно-распорядительной документации, а также исследования ИС с использованием специализированного программного инструментария. Остановимся на том, какая информация необходима аудитору для анализа.

Первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. В связи с этим аудитору требуется следующая документация:

· Схема организационной структуры пользователей;

· Схема организационной структуры обслуживающих подразделений.

На следующем этапе аудитора интересует информация о назначении и функционировании ИС. Аудитор задает опрашиваемым примерно следующие вопросы:

· Какие услуги и каким образом предоставляются конечным пользователям?

· Какие основные виды приложений, функционирует в ИС?

· Количество и виды пользователей, использующих эти приложения?

Ему понадобиться также следующая документация, конечно, если таковая вообще имеется в наличие (что, вообще говоря, случается нечасто):

· Функциональные схемы;

· Описание автоматизированных функций;

· Описание основных технических решений;

· Другая проектная и рабочая документация на информационную систему.

Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов по структурным элементам и уровням функционирования ИС. Типовые вопросы, которые обсуждаются в связи с этим во время интервью, включают в себя:

· Из каких компонентов (подсистем) состоит ИС?

· Функциональность отдельных компонент?

· Где проходят границы системы?

· Какие точки входа имеются?

· Как ИС взаимодействует с другими системами?

· Какие каналы связи используются для взаимодействия с другими ИС?

· Какие каналы связи используются для взаимодействия между компонентами системы?

· По каким протоколам осуществляется взаимодействие?

· Какие программно-технические платформы используются при построении системы?

На этом этапе аудитору необходимо запастись следующей документацией:

· Структурная схема ИС;

· Схема информационных потоков;

· Описание структуры комплекса технических средств информационной системы;

· Описание структуры программного обеспечения;

· Описание структуры информационного обеспечения;

· Размещение компонентов информационной системы.

Подготовка значительной части документации на ИС, обычно, осуществляется уже в процессе проведения аудита. Когда все необходимые данные по ИС, включая документацию, подготовлены, можно переходить к их анализу.

Анализ данных аудита

Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут существенно различаться.

Первый подход, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования.

9. Понятие Аудит иб. Цели, задачи Аудита. Стандарты в области аудита.

Данный подход является наиболее трудоемким и требует наивысшей квалификации аудитора. На качество результатов аудита, в этом случае, сильно влияет используемая методология анализа и управления рисками и ее применимость к данному типу ИС.

Второй подход, самый практичный, опирается на использование стандартов. Стандарты определяют базовый набор требований для широкого класса ИС, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований, в зависимости от уровня защищенности ИС, который требуется обеспечить, ее принадлежности (коммерческая организация, либо государственное учреждение), а также назначения (финансы, промышленности, связь и т.п.). От аудитора в данном случае требуется правильно определить набор требований стандарта, соответствие которым требуется обеспечить для данной ИС. Необходима также методика, позволяющая оценить это соответствие. Из-за своей простоты (стандартный набор требований для проведения аудита уже заранее определен стандартом) и надежности (стандарт — есть стандарт и его требования никто не попытается оспорить), описанный подход наиболее распространен на практике (особенно при проведении внешнего аудита). Он позволяет при минимальных затратах ресурсов делать обоснованные выводы о состоянии ИС.

Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований, предъявляемых к ИС, определяется стандартом. Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков. Этот подход является намного проще первого, т.к. большая часть требований уже определена стандартом, и, в то же время, он лишен недостатка второго подхода, заключающего в том, что требования стандарта могут не учитывать специфики обследуемой ИС.

Дата добавления: 2016-03-27; просмотров: 1763 | Нарушение авторских прав

Рекомендуемый контект:


Похожая информация:


Поиск на сайте:


Федеральное государственное  бюджетное образовательное учреждение высшего профессионального образования  «Национальный исследовательский  университет «МЭИ» 

Институт информационной и экономической безопасности

РЕФЕРАТ

по дисциплине «Правовое обеспечение  экономической безопасности»

на тему: « Организация и проведение внутреннего аудита информационной безопасности»

          Работу выполнила: 

                  студентка 5-го курса

               группы ИБ-01-09

     Ахмадулина А.А.

     Работу проверил:

 Коваленко  Ю.И.

МОСКВА 2013

ВВЕДЕНИЕ___________________________________________________________________________3

  1. ОСНОВНЫЕ ВИДЫ И СПОСОБЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ____________________________________________________________________6
  2.        ОСНОВНЫЕ ПРИНЦИПЫ ИНФОРМАЦОННОЙ БЕЗОПАСНОСТИ______8
  3.      КРИТЕРИИ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ________10
  4.      ЭТАПЫ ПРОВЕДЕНИЯ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ______________________________________________________________12
  1. ЭТАП ОРГАНИЗАЦИИ ПРОВЕДЕНИЯ АУДИТА_________________________12
  2. ЭТАП АНАЛИЗА ДОКУМЕНТОВ__________________________________________13
  3. ЭТАП ПОДГОТОВКИ К АУДИТУ ИБ НА МЕСТЕ ЕГО ПРОВЕДЕНИЯ_14
  4. ЭТАП ПРОВЕДЕНИЯ ИБ  НА МЕСТЕ_____________________________________16
  5. ЭТАП ПОДГОТОВКИ, УТВЕРЖДЕНИЯ И РАССЫЛКИ ОТЧЕТА ПО АУДИТУ ИБ_________________________________________________________________17
  6. ЭТАП ЗАВЕРШЕНИЯ АУДИТА ИБ________________________________________18
  7. ЭТАП ВЫПОЛНЕНИЯ ДЕЙСТВИЙ ПО РЕЗУЛЬТАТАМ АУДИТА ИБ__19

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ_________________________________20

ВВЕДЕНИЕ

На данный момент в Российской Федерации отсутствуют документально  оформленные взгляды на пути совершенствования  правового обеспечения аудита ИБ организаций и СИТ как в  стране в целом, так и в различных  ведомствах, что затрудняет правовое регулирование отношений между заказчиком и аудитором, между государственными органами аттестации и компаниями, фирмами или частными организациями.

Проведение аудита в области ИБ является высокоинтеллектуальным видом деятельности, имеющим прямое отношение к национальной безопасности, в силу чего аудиторская деятельность в области ИБ является особым видом услуг, на которые не должны распространяться положения действующих в настоящее время правовых документов, регулирующих порядок предоставления услуг в Российской Федерации.

На сегодняшний день в  Российской Федерации действует  ряд документов, регулирующих аудиторскую деятельность, которая преимущественно направлена на оценку достоверности финансовой отчетности или же на проведение сертификационного аудита по стандартам менеджмента качества (ИСО 9000) и охраны окружающей среды (ИСО 14000). К таким документам относятся:

  • Федеральный закон «Об аудиторской деятельности» от 07 августа. 2001 года .№ 119-ФЗ (14 декабря 2001 года вступил в силу Федеральный закон «О внесении изменений и дополнений в Федеральный Закон «Об аудиторской деятельности»» № 164-ФЗ);
  • Федеральные правила (стандарты) аудиторской деятельности, утвержденные постановлением Правительства Российской Федерации от 23 сентября 2002 года № 696;
  • Стандарты аудита Российской Коллегии аудиторов (РКА);
  • ГОСТ Р ИСО 19011-2003 Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента, утвержденный постановлением Госстандарта Российской Федерации и введенный в действие с 1 апреля 2004 года.

Касаясь возможного отношения  действующих в России документов в области аудита к аудиторской  деятельности в области ИБ необходимо отметить следующее.

Федеральный закон «Об  аудиторской деятельности», Федеральные  правила (стандарты) аудиторской деятельности, а также Стандарты аудита РКА  определяют положения процедурного плана, профессиональной этики и  принципов деятельности в области аудита. В данных документах содержатся положения и требования, которые регламентируют следующие области, относящиеся к аудиту:

  • основные принципы аудита;
  • этапы проведения аудита;
  • взаимоотношения аудиторов с представителями проверяемой организации;
  • формы представления результатов аудита.

Данные документы ориентированы  на оценку финансовой отчетности и  не содержат критериев для аудита ИБ, в то же время их положения процедурного характера могут быть взяты в качестве основы для формирования подходов по аудиту ИБ, но требуется разработка (принятие) критериев (требований), используемых в аудиторской деятельности по оценке соответствия в области ИБ;

Руководящие указания по проведению внутренних и внешних аудитов  систем менеджмента качества и/или  экологического менеджмента, определяемые ГОСТ Р ИСО 19011, так же могут быть использованы при разработке процедурных положений по проведению аудита ИБ. В то же время определенная стандартом модель проведения аудита должна быть адаптирована для области аудита ИБ.

В настоящее время и  в Российской Федерации и за рубежом  отсутствует единый и общепринятый стандарт в области аудита информационной безопасности.

Сложившаяся ситуация диктует  необходимость разработки и введения в действие национальных стандартов аудита в области ИБ, базирующихся на признаваемых в международном сообществе решениях и учитывающих специфику и особенности аудиторской деятельности в области ИБ в Российской Федерации, включая решение задач процедурного плана.

Суть, назначение, цели, результаты и процессы проведения аудита ИБ определяются типом организации, видом и принадлежностью обрабатываемой конфиденциальной информации и ролью организации в общих процессах обеспечения безопасности государства в информационной сфере. С учетом этого аудит ИБ должен рассматриваться для трех типов организаций:

  • организаций любой формы собственности, эксплуатирующих объекты ключевых систем информационной инфраструктуры;
  • организаций любой формы собственности, использующих в своей деятельности конфиденциальную информацию являющуюся собственностью государства, и имеющих необходимые для такого вида деятельности;
  • негосударственных организаций, использующих в своей деятельности конфиденциальную информацию, не являющуюся собственностью государства.

1. Основные виды и способы  аудита информационной безопасности

Аудит ИБ организации определяется как систематический, независимый  и документированный процесс для получения свидетельств аудита ИБ и объективного их оценивания с целью установления степени выполнения критериев аудита ИБ. Аудит ИБ не подменяет государственного контроля состояния ИБ ключевых объектов информационной и телекоммуникационной инфраструктуры Российской Федерации и организаций любой формы собственности, являющихся собственником или пользователем конфиденциальной информации, требующей защиты в соответствии с законодательством Российской Федерации.

По содержанию аудит ИБ разделяется на следующие виды:

  • аудит ИБ СИТ, эксплуатирующихся в организации;
  • аудит ИБ организации.

Задачей аудита ИБ СИТ, эксплуатирующихся в организации, является проверка состояния защищенности конфиденциальной информации в организации от внутренних и внешних угроз, а также программного и аппаратного обеспечения, от которого зависит бесперебойное функционирование  СИТ. Данный вид подразумевает, как документальный, так и инструментальный аудит состояния защищенности информации при ее сборе, обработке, хранении с использованием различных СИТ.

Задачей аудита ИБ организации  является проверка состояния защищенности интересов (целей) организации в  процессе их реализации в условиях внутренних и внешних угроз, а  также предотвращение утечки защищаемой конфиденциальной информации, возможных  несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Аудит ИБ СИТ, эксплуатирующихся в организации, может проводиться как самостоятельный вид аудита, а также являться частью аудита ИБ организации. При этом он может проводиться во время проведения аудита ИБ организации или же при проведении аудита ИБ организации могут использоваться результаты ранее проведенного аудита ИБ СИТ, эксплуатирующихся в организации.

По форме аудит ИБ может  быть внутренним и внешним.

Внутренний аудит ИБ проводится самой организацией или от ее имени  для внутренних целей и может  служить основанием для принятия декларации о соответствии требованиям стандартов или нормативных документов по защите информации и обеспечению информационной безопасности.

Внешний аудит ИБ проводится внешними независимыми коммерческими  организациями, имеющими лицензии на осуществление аудиторской деятельности в области ИБ.

Внешний аудит ИБ обязателен для всех государственных или  негосударственных организаций, являющихся собственником или пользователем конфиденциальной информации, требующей защиты в соответствии с законодательством Российской Федерации, а также для всех организаций, эксплуатирующих объекты ключевых систем информационной и телекоммуникационной инфраструктуры Российской Федерации.

2. Основные принципы аудита информационной безопасности

Проведение аудита ИБ основывается на ряде принципов, следование которым  является предпосылкой для обеспечения  объективных заключений по результатам  аудита ИБ. Эти принципы должны быть признаны и соблюдены всеми сторонами, участвующими в аудите ИБ. Выполнение принципов способствует повышению  безопасности организации и СИТ.

Принципы, относящиеся к  аудиту ИБ:

  • независимость аудита ИБ. Аудит ИБ должен проводиться независимыми организациями или независимыми аудиторами. Независимость является основанием для беспристрастности при проведении аудита ИБ и объективности при формировании заключения по результатам аудита ИБ;
  • полнота аудита ИБ. Аудит ИБ должен охватывать все области ИБ и защитные меры, указанные в договоре на проведение аудита ИБ. Кроме того, полнота аудита ИБ определяется достаточностью предоставленных материалов, документов и уровнем их релевантности.

    Аудит информационной безопасности

    Полнота аудита ИБ является необходимым условием для формирования объективных заключений по результатам аудита ИБ;

  • оценка на основе свидетельств аудита ИБ. Оценка на основе свидетельств является единственным способом, позволяющим получить повторяемое заключение по результатам аудита, что повышает к нему доверие. Для повторяемости заключения свидетельства аудита ИБ должны быть воспроизводимыми;
  • необходимость понимания аудитором деятельности проверяемой организации. При проведении аудита аудитор должен понимать деятельность проверяемой организации в достаточной степени, чтобы идентифицировать и правильно оценивать события, процессы, относящиеся к области ИБ, с учетом возможностей применения методов и способов оценки рисков, которые могут оказывать существенное влияние на достоверность проверяемых данных, на ход проведения проверки или на выводы, содержащиеся в аудиторском заключении. До проведения проверки аудиторская организация должна получить первоначальные знания особенностей отрасли, права собственности, управления и деятельности организации, подлежащей аудиту, и оценить их достаточность для проведения аудита;
  • компетентность и этичность. Доверие процессу аудита зависит от компетентности тех, кто проводит аудит, и от этичности их поведения. Компетентность базируется на личных качествах аудитора и способности применять знания и навыки. Этичность поведения подразумевает ответственность, неподкупность, умение хранить тайну, беспристрастность.

3. Критерии аудита информационной безопасности

В общем случае под критериями аудита ИБ понимается совокупность политик  ИБ, процедур или требований, установленных  Федеральными стандартами и нормативами, с которыми сравнивается свидетельство аудита ИБ.

Для проведения аудита ИБ должна быть заранее определена система  критериев, отраженная в нормативных документах (регламентах и/или стандартах) и действующая в отношении аудируемой организации. Организации, на которые не распространяются обязательные требования, сформулированные в этих документах, должны признать и руководствоваться в своей деятельности каким-либо из существующих стандартов в области ИБ.

Выбор критериев аудита ИБ с учетом обеспечения полноты  аудита ИБ и в зависимости от типа аудируемой организации, а также определение методологии оценки как составной части процесса аудита ИБ, должно проводиться на основе постоянного и непрерывного накопления и обобщения соответствующего мирового опыта и лучших практик отечественных аудиторских организаций.

Состав критериев для  организаций и СИТ, подвергаемых аудиту ИБ, рекомендуется определять следующим образом:

  • для организаций любой формы собственности, эксплуатирующих объекты ключевых систем информационной инфраструктуры и (или) обрабатывающих конфиденциальную информацию, являющуюся собственностью государства, на основе положений международного стандарта ИСО/МЭК 17799 и стандарта Великобритании BS 7799-2 (в части, ориентированной на политики ИБ и персонал) с учетом  принятых и действующих руководящих документов и положений Гостехкомиссии России по аттестации объектов информатизации и АС, сертификации по РД и ИСО/МЭК 15408 СЗИ и продуктов ИТ в составе АС.:
  • для негосударственных организаций, обрабатывающих конфиденциальную информацию, не являющуюся собственностью государства, на основе положений международного стандарта ИСО/МЭК 17799 и стандарта Великобритании BS 7799-2 (в полной мере) и с учетом  принятых и действующих руководящих документов и положений Гостехкомиссии России по сертификации по РД и ИСО/МЭК 15408 СЗИ и продуктов ИТ в составе АС.

4. Этапы проведения аудита информационной безопасности

Частью программы аудита ИБ являются указания по планированию и проведению аудитов ИБ. Степень распространения данных требований зависит от области применения, сложности конкретного аудита ИБ и предполагаемого использования заключений по результатам аудита ИБ.

Страницы:123следующая →

Введение

Аудит качества (англ. qualityaudit) — систематическая независимая проверка, позволяющая определить соответствие деятельности и результатов в области качества запланированным мероприятиям, а также эффективность реализации мероприятий и их пригодность для достижения поставленных целей.

В стандартах ИСО серии 9000 аудит качества рассматривается как одна из форм проверки качества. Однако в отечественных нормативных документах термин «аудит качества» подменяется термином «проверка качества». На наш взгляд, такую подмену нельзя признать обоснованной, поскольку аудит качества представляет собой лишь один из видов проверки качества.

Отличительной особенностью аудита качества является его сугубо аналитический характер. Кроме того, именно этот термин дает возможность преодолеть психологический барьер, связанный со сложившимся в стране представлением о проверке как о деятельности, неизбежным следствием которой должно стать выявление виновников нарушений установленных требований и определение им меры наказания. Важно и то, что термин «аудит качества» является общепризнанным среди специалистов мира, занимающихся проблемами обеспечения качества. Характерно, что термин «аудитор» в отличие от термина «аудит качества» уже закрепился в российской нормативной документации по качеству и не вызывает каких-либо недоразумений.

Деятельность по аудиту качества следует отличать от таких видов деятельности по проверке качества, как контроль качества, надзор за качеством и инспекция качества.

Контроль качества— деятельность, включающая проведение измерений, экспертизы, испытаний или оценки одной или нескольких характеристик (с целью калибровки) объектов и сравнение полученных результатов с установленными требованиями для определения, достигнуто ли соответствие по каждой из этих характеристик.

Надзор за качеством— деятельность по непрерывному наблюдению и аудиту состояния объекта с целью удостоверения того, что установленные требования выполняются. Деятельность по надзору за качеством, осуществляемую в рамках определенного задания, принято называть инспекцией качества.

1. Виды и цели аудитов

1.1 Внутренний аудит

Внутренний аудит системы качества предназначен для обеспечения руководства предприятия объективной и своевременной информацией о степени соответствия деятельности в системе качества и ее результатов установленным требованиям. Главной целью внутреннего аудита следует считать предотвращение снижения результативности и эффективности действующей на предприятии системы качества.

Эффективность внутреннего аудита системы качества на предприятии в значительной мере зависит от его организации.

Организация внутреннего аудита системы качества — это упорядочение работ службы внутреннего аудита и подразделений предприятия с целью поддержания функционирования системы качества в соответствии с установленными требованиями.

Внутренний аудит системы качества предназначен для регулярной проверки того, насколько деятельность в рамках системы качества и результаты этой деятельности согласуются с запланированными мероприятиями. Внутренний аудит своевременно доводит до сведения руководства предприятия объективную, основанную на фактах, информацию о состоянии системы качества. В этом плане внутренний аудит играет ключевую роль в поддержании системы качества предприятия на требуемом уровне.

Объектами внутреннего аудита системы качества являются ее элементы, опосредованные в деятельности подразделений предприятия при выполнении запланированных мероприятий, т. е. требований документации системы качества.

Внутренний аудит системы качества строится на ряде организационных принципов, основными из которых следует считать единообразие, системность, документированность, предупредительность, регулярность, независимость и открытость.

Принцип единообразияозначает, что аудит осуществляется по процедуре, официально установленной руководством предприятия с тем, чтобы обеспечить его упорядоченность, однозначность и сопоставимость.

Принцип системностиподразумевает, что планирование и проведение конкретных аудитов по различным элементам (функциям, работам) системы качества должны осуществляться с учетом их установленной структурной взаимосвязи.

Принцип документированностипредполагает, что проведение каждого аудита определенным образом документируется, чтобы обеспечить сохранность и сравнимость информации о фактическом состоянии аудитируемого объекта.

Принцип предупредительностиустанавливает, что каждый аудит планируется, и персонал аудитируемого подразделения заранее уведомляется о цели, времени и методах проведения аудита, чтобы наиболее полно подготовиться и исключить возможность уклонения персонала от предоставления всех требуемых данных.

Принцип регулярностиопределяет, что аудиты проводятся с определенной периодичностью с тем, чтобы все элементы системы качества и подразделения предприятия были предметом постоянного анализа и оценивания со стороны руководства предприятия.

Принцип независимостиозначает, что проводящие аудит лица не должны нести непосредственной ответственности за проверяемую работу и не должны зависеть от руководителя аудитируемого подразделения, что исключает возможность необъективности результатов аудита.

Принцип открытостиподразумевает, что результаты аудитов должны носить открытый характер, что обеспечивает «прозрачность» системы качества для ее пользователей, потребителей и внешних аудиторов.

Целесообразно с методической точки зрения создавать службу внутреннего аудита уже на начальном этапе внедрения стандартов ИСО, когда предприятие только приступает к реализации положений стандартов, а не после завершения этих работ. Создание службы внутреннего аудита является свидетельством понимания руководством предприятия значения аудита качества и того, что такая служба отвечает интересам предприятия.

Служба внутреннего аудита системы качества укомплектовывается двумя или более сотрудниками предприятия, имеющими высшее образование и как минимум двухгодичный стаж практической работы в области качества, прошедшими специальное обучение в соответствующих учебных заведениях или на учебных курсах, организованных на предприятии. Функции, ответственность, полномочия и права аудиторов устанавливаются в их должностной инструкции.

На предприятиях, где создание службы внутреннего аудита системы качества в виде отдельного структурного подразделения затруднено, аудит системы качества может проводиться временными группами, специально формируемыми для этой цели. При этом обязанности аудиторов возлагаются (без освобождения от основной работы) на специалистов подразделений предприятия, наиболее тесно связанных с разработкой и функционированием системы качества (отделов обеспечения качества, стандартизации, метрологии).

Согласованная методика аудита информационной безопасности

К выполнению обязанностей аудиторов эти специалисты допускаются только после их соответствующего обучения, прохождения практики и аттестации.

Служба аудита качества не только проводит аудит всех подразделений предприятия, участвующих в работах по системе качества, но и сама является объектом подобного аудита. Руководство предприятия время от времени должно получать информацию по работе этой службы и оценивать ее с позиции требований, предъявляемых системой качества, действующей на предприятии, к аудиту качества.

Обязательным условием эффективной работы службы является наличие надлежащих организационных и методических документов. Особое внимание уделяется разработке методических документов с целью:

• обеспечить методическое единство в подходах, трактовках и оценках аудиторов,

• обеспечить работу аудиторов при проведении опросов, протоколировании результатов наблюдений, оформлении отчетов,

• сократить потери времени при аудите (здесь необходимо отметить, что дефицит времени практически не дает возможности даже достаточно опытным аудиторам полностью обследовать объект аудита.

При формировании методического обеспечения деятельности аудиторов могут быть использованы подходящие, но разработанные за пределами предприятия правила и методические процедуры. Наряду с документами в состав методического обеспечения включаются различного рода памятки и методические пособия, облегчающие работу экспертов.

Во всех случаях организационный порядок проведения внутренних аудитов системы качества предусматривает следующие основные стадии:

•планирование аудита,

•подготовка аудита,

•осуществление аудита,

•анализ и обобщение результатов аудита,

•разработка корректирующих действий,

•контроль за выполнением корректирующих действий.

1.2 Внешний аудит

Внешний аудит проводится внешними по отношению к предприятию организациями — заказчиком продукции или, например, органом сертификации. В этом случае, когда аудит осуществляется заказчиком продукции, он называется аудитом второй стороной

Практикуются следующие формы аудита второй стороной:

• полный аудит на соответствие определенному стандарту,

• частичный аудит, касающийся какого-либо аспекта деятельности предприятия,

• вспомогательный аудит, проводимый заказчиком при наличии нескольких претендентов на заключение контракта,

• аудит соблюдения требований контракта.

Внешний аудит, проводимый независимой от предприятия и заказчика организацией, называется аудитом третьей стороной. Данный вид аудита используется при сертификации.

Из рассмотренных видов аудита качества наибольшую степень подтверждения обеспечивает аудит третьей стороной, что обусловливается его масштабностью, глубиной и более высокой квалификацией проводящих его специалистов.

Тема: «Управление и аудит информационных технологий»

  1. Введение
  2. ISACA
  3. Управление и аудит ИТ. Стандарт CobiT
  4. Аудит информационных систем и технологий
  5. Цели и задачи аудита ИТ
  6. Виды услуг по аудиту ИТ на российском рынке
  7. Стандарты ИТ-аудита
  8. Заключение
  9. Список использованных источников информации

Введение

В условиях стремительно возрастающей роли ИТ-составляющей профессиональный подход к управлению и систематическое  обследование информационных технологий (ИТ) по международным стандартам позволяют  компенсировать на первый взгляд невидимые, но существенные недостатки в организации  производственных процессов. Построение грамотной структуры управления, создание эффективной вертикали  принятия решения и системы контроля напрямую зависят от состояния информационных технологий, от их эффективности, производительности, безопасности, надежности и других не менее важных показателей.

Эффективная система управления и  контроля над ИТ решает не только внутренние проблемы, но и позволяет повысить инвестиционную привлекательность  организации, позиционируя ее для инвестора  как «открытую» финансовую систему. С другой стороны достаточно трудно подобрать комплексное решение  для таких задач. Одно из решений  — внедрение стандарта CobiT, который  формализует не только конкретные проекты  в сфере ИТ, но и создает то ядро управления и контроля ИТ, вокруг которого выстраиваются производственные процессы организации с максимально  возможным уровнем эффективности.

Управление и аудит ИТ — это  нечто большее, чем традиционный термин — управление и аудит информационной безопасности, в том числе на соответствие требованиям ФАПСИ, BS7799 (ISO 17799) или  другим разработанным критериям.

В той или иной форме вопросы, связанные с внутренним контролем  бизнес-процессов организации, ее финансово-хозяйственной  деятельности и информационными  технологиями возникают постоянно. В поиске ответов на эти вопросы  руководители организаций создают  собственные службы внутреннего  аудита, приглашаются аудиторские компании, обращаются к консультантам.

ISACA

Ассоциация Аудита и Контроля Информационных Систем (ISACA) была основана в 1969 году для финансовых аудиторов  в контроле ИТ. Ассоциация Аудита и  Контроля Информационных Систем является ведущей мировой профессиональной организацией с представительствами  в более чем 100 странах мира и  охватывает все уровни ИТ:

  • Организации;
  • Управления;
  • Практического применения.

Ассоциация занимает уникальную позицию мирового лидера в области  разработки и распространения стандартов по аудиту ИТ, ее стратегический альянс с другими ассоциациями и консалтинговыми  компаниями в областях финансово-хозяйственной  деятельности, бухгалтерского учета  и аудита ИТ обеспечивает не имеющий  равных уровень интеграции и соответствия требованиям владельцев бизнес-процессов.

Управление и  аудит ИТ.

Организация и проведение внутреннего аудита информационной безопасности

Стандарт CobiT

Аббревиатура CobiT расшифровывается как Контрольные ОБъекты для  Информационных и смежных Технологий. За этой аббревиатурой скрывается набор  документов, в которых изложены принципы управления и аудита информационных технологий. CobiT позиционируется как  открытый стандарт «де-факто», в  настоящее время переживающий свое третье издание.

В состав стандарта входят шесть книг, ориентированных на разные аудитории:

  1. Резюме для руководителя. Описание стандарта CobiT, ориентированное на топ-менеджеров организации для принятия ими решения о применимости стандарта в конкретной организации. С переводом этой книги на русский язык Вы можете ознакомиться: http://www.isaca.ru
  2. Описание структуры. Книга содержит развернутое описание структуры стандарта, высокоуровневых целей контроля и пояснения к ним, необходимые для эффективной навигации и результативной работы со стандартом.
  3. Объекты контроля. В книгу включены детальные описания объектов контроля, содержащие расшифровку каждого из объектов.
  4. Принципы управления. Книга отвечает на вопросы как управлять ИТ, как правильно поставить достижимую цель, как ее достичь и как проконтролировать полноту ее достижения. Предназначена для руководителей ИТ-служб.
  5. Принципы аудита. Правила проведения ИТ-аудита. Описание того, у кого можно получить необходимую информацию, как ее проверить, какие вопросы задавать? Книга предназначена для внутренних и внешних аудиторов ИТ, а также консультантов в сфере ИТ.
  6. Набор инструментов внедрения стандарта — практические советы по ежедневному использованию стандарта в управлении и аудите ИТ. Книга предназначена для внутренних и внешних аудиторов ИТ, консультантов в сфере ИТ.

Рисунок 1. Состав книг CobiT

Модель процессов, выстраиваемая  на базе CobiT, предпочтительней других подходов, в основе которых не лежат бизнес-процессы организации (методики и стандарты  аудита производителей программно-аппаратных средств), по нескольким причинам:

  1. По определению: процесс — это действие, направленное на достижение результата, при оптимальном использовании ресурсов, и которое может корректироваться при его выполнении. При выполнении процесса все задействованные ресурсы структурируются и выстраиваются таким образом, чтобы максимально эффективно выполнять этот процесс.
  2. Во-вторых, процессы в подавляющем большинстве организаций, а особенно их цели не так часто изменяются, по сравнению с организационными объектами (организационно-штатная структура: сотрудники, отделы, департаменты и т.д.).
  3. В-третьих, развертывание информационной системы или внедрение информационных технологий не может быть ограничено спецификой одного отдела или департамента, а затрагивает руководителей, пользователей из других подразделений и ИТ-специалистов. Таким образом, прикладные системы (прикладное программное обеспечение то, что видит пользователь) — это неотъемлемая часть структуры CobiT и могут быть стандартно оценены, как и прочие объекты контроля CobiT, в рамках единой структуры и с применением единых метрик.

CobiT — это сохранение  единого подхода к сбору, анализу  информации, подготовке выводов  и заключений на всех этапах  управления, контроля и аудита  ИТ, возможность сравнения существующих  ИТ-процессов с «лучшими»  практиками, в том числе отраслевыми.

Аудит информационных систем и технологий

Аудит информационных систем и технологий (Аудит ИТ)- системный процесс получения и оценки объективных данных о текущем состоянии информационных систем и технологий, действиях и событиях происходящих в них, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.

Аудит ИТ позволит ответить на нижеприведенные вопросы, а также предложить пути решения  обнаруженных проблем:

Какие вопросы  может решить аудит ИТ:

1. Принято решение о необходимости в организации ИС, что дальше? (Наличие стратегического плана развития организации, место и роль ИС в этом плане, прогнозирование проблемных ситуаций);

2. Соответствуют ли применяемые информационные системы и технологии целям и задачам бизнеса? Не превратился ли бизнес в придаток информационной системы? Как оптимизировать инвестиции в ИТ?

3. Что происходит внутри этого «черного ящика» – информационных системах и технологиях организации?

4. Сбои в работе ИТ, как выявить и локализовать проблемы?

5. Как решаются вопросы безопасности и контроля доступа?

6. Подрядные организации провели поставку, монтаж, пуско-наладку. Как оценить их работу? Есть ли недостатки?

7. Когда необходимо проводить модернизацию оборудования и программного обеспечения? Как обосновать необходимость модернизации?

8. Как установить единую систему управления и мониторинга ИС? Какие выгоды она предоставит?

9. Руководитель организации, Директор по ИТ (CIO) должен иметь возможность получать достоверную информацию о текущем состоянии ИС в кратчайшие сроки. Возможно ли это?

10. Почему все время производится закупка дополнительного оборудования?

11. Сотрудники подразделения ИТ постоянно чему-либо учатся, есть ли в этом необходимость?

12. Что делать в случае возникновения внештатной ситуации?

13. Какие возникают риски при размещении конфиденциальной информации в ИС организации? Как их минимизировать?

14. Как снизить стоимость владения ИС?

15. Как оптимально использовать сложившуюся ИС при развитии бизнеса?

На эти и  другие подобные вопросы нельзя мгновенно  дать однозначный ответ. Только рассматривая все взаимосвязи между проблемами, учитывая нюансы, недостатки можно  получить достоверную, обоснованную информацию. Для этого в консалтинговых компаниях  во всем мире существует определенная специфическая услуга — аудит информационных систем и технологий.

Ключевыми этапами  проведения аудита ИС могут стать  следующие шаги:

1. Определение границ проведения аудита

2. Сбор информации

3. Анализ информации

4. Выработка рекомендаций

5. Составление аудиторского отчета и заключения

6. Контроль выполнения ключевых рекомендаций

Рассмотрим  эти этапы поподробнее.

На этапе  подготовки и подписания исходно-разрешительной документации определяются границы  проведения аудита:

  1. Границы аудита определяются критическими точками ИС (элементами ИС), в которых наиболее часто возникают проблемные ситуации.
  2. На основании результатов предварительного аудита всей ИС (в первом приближении), проводится углубленный аудит выявленных проблем. В это же время создается команда проведения аудита, определяются ответственные лица со стороны Заказчика. Создается и согласовывается необходимая документация.

Далее проводится сбор информации о текущем состоянии  ИС с применением стандарта CoBiT, объекты  контроля которого получают информацию обо всех нюансах функционирования ИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение  информации и ее важностью, актуальностью.

Проведение  анализа — наиболее ответственная часть  проведения аудита ИС. Использование  при анализе недостоверных, устаревших данных недопустимо, поэтому возможно уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора  информации. Методики анализа информации существуют в стандарте CoBiT, но если их не хватает, не возбраняется использовать разрешенные ISACA разработки других компаний.

Результаты  проведенного анализа являются базой  для выработки рекомендаций, которые  после предварительного согласования с Заказчиком должны быть проверены  на выполнимость, актуальность с учётом рисков внедрения. Контроль выполнения рекомендаций — немаловажный этап, требующий  непрерывного отслеживания хода выполнения рекомендаций. На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты в которых  могут вызвать сбои в работе ИС. Например, отдельное углубленное  рассмотрение вопросов обеспечения  безопасности ИС. Постоянное проведение аудита гарантирует стабильность функционирования ИС, поэтому создание план-графика  проведения последующих проверок является одним из результатов профессионального  аудита.

Цели и задачи аудита ИТ

Целью ИТ-аудита является совершенствование  системы контроля за ИТ. Для этого  аудиторы:

  • осуществляют оценку рисков ИТ;
  • содействуют предотвращению и смягчению сбоев ИС;
  • участвуют в управлении рисками ИТ;
  • помогают подготавливать нормативные документы;
  • помогают связать бизнес-риски и средства автоматизированного контроля;
  • осуществляют проведение периодических проверок;
  • содействуют ИТ-менеджерам в правильной организации управления ИТ;
  • осуществляют «взгляд со стороны».

Страницы:12следующая →

Информационная система проверки значения КПК (Система) предназначена для проверки значений криптографического проверочного кода (КПК), сформированного электронной контрольной лентой защищенной (ЭКЛЗ) контрольно-кассовой техники (ККТ), включенной в Государственный реестр ККТ.

Система позволяет проверить значение КПК с использованием персонального компьютера (ПК), коммуникатора, смартфона, или иного технического средства, подключенного к глобальной сети Интернет, которые позволяют просматривать страницы на сайте Системы, отправлять и получать сообщения электронной почты.

Для проверки значения КПК Пользователю необходимо на странице Системы в предлагаемой форме указать значение КПК и другие реквизиты, которые отпечатаны ККТ на кассовом чеке или сменном отчете.

Проверка значений КПК в Системе осуществляется путем сравнения значения КПК, введенного в Систему Пользователем, со значением КПК, вычисленным Программным модулем проверки значений КПК на основе реквизитов, которые были введены Пользователем в Систему.

Вычисление значения КПК осуществляется Программным модулем проверки значения КПК №618-001001 с использованием алгоритма криптографического преобразования в соответствии с ГОСТ 28147-89 в режиме выработки имитовставки.

В случае несовпадения значения КПК, введенного в Систему Пользователем, со значением КПК, вычисленным Программным модулем проверки значений КПК, реквизиты, введенные Пользователем в Систему, в соответствии с ГОСТ 28147-89 считают ложными, а в поле формы «результат проверки» выводится сообщение Системы «Неверно».

Реквизиты кассового чека или сменного отчета, введенные Пользователем в Систему с ошибками, считаются ложными вне зависимости от того, какие реквизиты отпечатаны на кассовом чеке или сменном отчете.

Использование Системы возможно в трех режимах: «Экспресс проверка», «Комплексная проверка» и «Экспертная проверка».

В режиме «Экспресс проверка» Пользователь может проверить значения КПК и реквизиты, которые отпечатаны контрольно-кассовой техникой на кассовых чеках. В данном режиме доступ Пользователя к Системе осуществляется без его регистрации.

В режиме «Комплексная проверка» Пользователь может:

  • проверять значения КПК кассовых чеков;
  • проверять значения КПК сменных отчетов;
  • вести учет результатов проверок значений КПК кассовых чеков и сменных отчетов;
  • подготавливать информацию по проверенным значениям КПК кассовых чеков и сменных отчетов для печати.

Доступ Пользователя к Системе в режиме «Комплексная проверка» может осуществляться только после его регистрации в Системе и принятия Пользовательского соглашения.

В режиме «Экспертная проверка» проверка КПК кассового чека или сменного отчета осуществляется экспертом ЗАО «Атлас-карт» на основании письменного (на бумажном носителе) запроса Пользователя, направленного администратору Системы в виде почтового отправления. К запросу должен прилагаться оригинал проверяемого кассового чека или сменного отчета.

По результатам проверки в режиме «Экспертная проверка» Пользователю направляется письменное (в виде почтового отправления) заключение эксперта ЗАО «Атлас-карт» о достоверности или ложности значения КПК и других реквизитов, отпечатанных на кассовом чеке или сменном отчете.

Соответствие Программного модуля проверки значений КПК требованиям ГОСТ 28147-89 и требованиям ФСБ России к средствам криптографической защиты информации подтверждено Сертификатом соответствия № СФ/114-2817 от 01.10.2015 г., выданным ФСБ России.

В соответствии с порядком, установленным Приказом ФСБ России от 9 февраля 2005 г. № 66, Программный модуль проверки значений КПК по результатам экспертизы результатов тематических исследований, осуществленной ФСБ России, допущен к эксплуатации.

Система обслуживается ЗАО «Атлас-карт».

Вопросы и предложения по совершенствованию работы Системы просьба направлять по электронной почте Администратору Системы по адресу: admin@kpkcheck.ru или почтовым отправлением по адресу: ЗАО «Атлас-карт», 129085, г.

ВИДЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Москва, проспект Мира, дом 105, стр.1.

Служба технической поддержки сайта Информационной системы проверки значения КПК: тел. +7(495)980-0663, support_kpk@atlas-kard.ru.

Записи созданы 8837

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Похожие записи

Начните вводить, то что вы ищите выше и нажмите кнопку Enter для поиска. Нажмите кнопку ESC для отмены.

Вернуться наверх