Что такое аудит ИБ и каким он бывает?

Прозоров Андрей, CISM http://80na20.blogspot.ru

11-2014

2

Мой любимый «трудный» вопрос по ИБ: Уничтожение информации - это нарушение конфиденциальности, целостности или доступности (КЦД)?

3

4

5

Второй любимый «трудный» вопрос по ИБ: Что такое Аудит ИБ?

6

Часто аудитом ИБ называют нечто не являющееся аудитом. Я называю это «заблуждением ИТ-специалиста»

7

Термины по ГОСТ 19011-2012

• Аудит – систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита.

• Критерии аудита – совокупность политик, процедур или требований, используемых в качестве эталона, в соотношении с которыми сопоставляют свидетельства аудита, полученные при проведении аудита.

• Свидетельства аудита – записи, изложение фактов или другая информация, которые связаны с критериями аудита и могут быть проверены.

8

Еще термины

• Выводы (наблюдения) аудита – результаты оценки собранных свидетельств аудита на соответствие критериям аудита.

• Заключение по результатам аудита – выходные данные аудита после рассмотрения целей аудита и всех выводов аудита.

• Область аудита (scope) – содержание и границы аудита.

9

Стороны аудита

• Внутренний аудит: – Аудит первой стороны проводится самой

организацией или от ее имени. -> Декларация соответствия

• Внешний аудит: – Аудит второй стороны проводят стороны,

заинтересованные в деятельности организации (например, потребители)

– Аудит третьей стороны проводят внешние независимые органы (регулирующие или надзорные органы, сертифицирующие организации)

10

Принципы аудита

1. Целостность – основа профессионализма 2. Беспристрастность – обязательство предоставлять

правдивые и точные отчеты 3. Профессиональная осмотрительность – прилежание и

умение принимать правильные решения при проведении аудита

4. Конфиденциальность – сохранность информации 5. Независимость – основа беспристрастности и

объективности заключений по результатам аудита 6. Подход, основанный на свидетельствах – разумная

основа для достижения надежных и воспроизводимых заключений аудита в процессе систематического аудита

11

Методы аудита

• Проведение интервью

• Заполнение опросных листов

• Анализ документации

• Наблюдения за выполняемой работой

• «Технический» аудит

12

13

Заключения по результатам аудита

Анализ

Выводы аудита

Оценка по критериям аудита

Свидетельства аудита

Сбор выборочных данных

Источники информации

Упрощенная схема

Отчет по аудиту (1)

Отчет по аудиту должен содержать полные, точные, четко сформулированные и понятные записи по аудиту, в соответствии с процедурами аудита, должен включать в себя или содержать ссылку на следующее: • Цели аудита • Область аудита • Идентификация заказчика аудита • Идентификация членов группы по аудиту и представителей

проверяемой организации, принимавших участие • Даты и места проведения аудита на месте • Критерии аудита • Выводы аудита • Заключение по результатам аудита • Заявление о степени соответствия критериям аудита

14

Отчет по аудиту (2)

При необходимости в отчет могут быть включены: • План аудита, включая график • Итоговое изложение процесса аудита, включая неопределенности

и/или любые встретившиеся препятствия при его проведении, которые могут уменьшить достоверность заключений по результатам аудита

• Подтверждение достижения целей аудита • Итоговая сводка, содержащая заключения по результатам аудита и

подтверждающая выводы (наблюдения) аудита • Неразрешенные противоречия между группой по аудиту и

проверяемой организацией • Возможности для улучшения, если это предусмотрено целями аудита • Вываленные сильные стороны и лучшие практики • Согласованный план действий по результатам аудита, если такой план

имеется • Заявление о конфиденциальном характере содержимого отчета • Любые последствия для программы аудита или последующих аудитов • Перечень рассылки отчета по аудиту

15

Аудиты ИБ в РФ

• 152-ФЗ (ПДн) – не формализовано

• ISO 27001 (ISMS)

• PCI DSS

• СТО БР ИББС

• 382-П

• ISO 20000 (ITSM), ISO 9000 (QMS)

16

Из 152-ФЗ

Ст.18.1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим ФЗ и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим ФЗ или другими федеральными законами. К таким мерам могут, в частности, относиться: • … 4) осуществление внутреннего контроля и (или) аудита

соответствия обработки персональных данных настоящему ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

17

18

Редкий вид аудитов – оценка процессов: • Модель зрелости

процессов - Maturity Model (COBIT 4.1, CMMI)

• Модель возможностей процессов - Process Capability Model (COBIT 5, ISO 15504)

Модель зрелости процессов

19

Модель возможностей процессов

20

Процессы COBIT5

21

SS SD ST SO CSI

• Стратегическое управление ИТ-услугами

• Управление портфелем услуг

• Управление финансами для ИТ-услуг

• Управление спросом

• Управление взаимоотноше-ниями с бизнесом

• Координация проектирования

• Управление каталогом услуг

• Управление уровнем услуг

• Управление доступностью

• Управление мощностями

• Управление непрерывнос-тью ИТ-сервисов

• Управление информацион-ной безопасностью

• Управление подрядчиками

• Планирование и поддержка преобразования

• Управление изменениями

• Управление сервисными активами и конфигурациями

• Управление релизами и развертыванием

• Подтверждение и тестирование услуг

• Оценка изменения

• Управление знаниями

• Управление событиями

• Управление инцидентами

• Управление запросами на обслуживание

• Управление проблемами

• Управление доступом

Функции: • Служба поддержки

пользователей • Управление

технической поддержкой

• Управление эксплуатацией ИТ

• Управление приложениями

•Семишаговый процесс совершенствования

Процессы и функции ITIL v3

22

Полезные ссылки

• Блоги по ИБ в РФ - http://80na20.blogspot.ru/p/blog-page_7.html

• Твиттеры по ИБ РФ - https://twitter.com/3dwave/lists/is-experts-ru

• IIA - https://na.theiia.org

• ISACA - https://www.isaca.org

• NIST - http://nist.gov

• PCI - https://www.pcisecuritystandards.org

23

Спасибо!

24