В. Андрианов - Обеспечение информационной безопасности бизнеса
К ограничениям оценки можно отнести возможную недоступность основных активов, используемых в обычной деловой деятельности организации; недостаточный временной интервал, выделенный для проведения оценивания; необходимость исключения определенных частей объекта оценки из-за стадии жизненного цикла. Кроме того, могут быть наложены ограничения на количество и вид данных, которые должны быть собраны и изучены.
Содержание контекста оценки должно быть согласовано руководителем группы оценки с организатором и уполномоченным представителем объекта оценки и задокументировано до начала процесса оценки. Фиксирование контекста оценки важно, так как он содержит исходные элементы процесса оценки.
Во время выполнения оценки могут происходить изменения в контексте оценки. Изменения должны быть одобрены организатором оценки и уполномоченным представителем объекта оценки. Если эти изменения оказывают влияние на временной график и ресурсы проведения оценки, то планирование оценки должно быть соответствующим образом пересмотрено.
3.2.3. Мероприятия и выходные данные процесса оценки
Сбор свидетельств оценки и проверка их достоверности. Назначение мероприятия: сбор свидетельств оценки с соблюдением условий обеспечения достоверной оценки ИБ.
Независимая оценка ИБ может быть осуществлена с помощью внутреннего и внешнего аудита ИБ. В [26] аудит ИБ определяется как систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению ИБ, установления степени выполнения в организации критериев ИБ, а также допускающий возможность формирования профессионального аудиторского суждения об информационной безопасности организации.
Необходимыми условиями обеспечения достоверной оценки ИБ при проведении аудита являются:
— использование доверенного процесса аудита и соблюдение основных принципов аудита;
— менеджмент программы аудита ИБ;
— использование наиболее достоверных источников свидетельств оценки;
— определение объема выборки с учетом заданной достоверности свидетельств оценки;
— учет факторов, влияющих на аудиторский риск, с целью снижения аудиторского риска.
Доверенный процесс аудита ИБ должен отвечать требованиям принятого в организации нормативного документа, описывающего процесс аудита ИБ, либо требованиям признаваемого сообществом международного (национального) нормативного документа (стандарта, рекомендации). Таким нормативным документом для банковской системы РФ является СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности», принятый и введенный в действие распоряжением Банка России от 28 апреля 2007 г. № Р-345. В стандарте изложены принципы проведения аудита ИБ организации, описана последовательность этапов проведения аудита ИБ, установлены требования к этапам проведения аудита ИБ организаций и к взаимоотношениям представителей аудиторской организации с представителями проверяемой организации.
В СТО БР ИББС-1.1-2007 изложено также содержание программы аудита ИБ, включающей деятельность, необходимую для планирования и организации определенного количества и вида аудитов и обеспечения их ресурсами, необходимыми для эффективного и результативного проведения аудитов в заданные сроки. В стандарте определены процедуры менеджмента программы аудита ИБ, направленные на контроль внедрения программы аудита ИБ, анализ достижения целей программы аудита ИБ и определение возможностей для ее совершенствования. Совершенствование программы аудита ИБ состоит в определении корректирующих и превентивных действий по совершенствованию программы аудита ИБ, включающих в себя пересмотр и корректировку сроков проведения аудитов ИБ и необходимых ресурсов, улучшение методов подготовки свидетельств аудита ИБ.
К основным принципам проведения аудита ИБ [27] относятся:
— независимость аудита ИБ: аудиторы (группа оценки) независимы в своей деятельности и не ответственны за деятельность, которая подвергается аудиту ИБ, независимость является основанием для беспристрастности при проведении аудита ИБ и объективности при формировании заключения по результатам аудита ИБ;
— полнота аудита ИБ: аудит ИБ должен охватывать все области аудита ИБ, соответствующие цели оценки, кроме того, полнота аудита ИБ определяется достаточностью затребованных и предоставленных материалов, документов и уровнем их соответствия поставленным задачам; полнота аудита ИБ является необходимым условием для формирования объективных заключений по результатам оценки ИБ;
— оценка на основе свидетельств аудита ИБ: при периодическом проведении аудита ИБ оценка на основе свидетельств аудита ИБ является единственным способом, позволяющим получить повторяемое заключение по результатам аудита ИБ, что повышает доверие к такому заключению, для повторяемости заключения свидетельства аудита ИБ должны быть проверяемыми;
— достоверность свидетельств аудита ИБ: оценщики должны быть уверены в достоверности свидетельств оценки ИБ, доверие к документальным свидетельствам оценки ИБ повышается при подтверждении их достоверности третьей стороной или руководством организации; доверие к фактам, полученным при опросе сотрудников объекта оценки, повышается при подтверждении данных фактов из различных источников, доверие к фактам, полученным при наблюдении за деятельностью в области ИБ объекта оценки, повышается, если они получены непосредственно при функционировании проверяемых процедур или процессов;
— компетентность и этичность поведения: доверие к процессу и результатам оценки ИБ зависит от компетентности тех, кто проводит аудит ИБ, и от этичности их поведения; компетентность базируется на способности аудитора применять знания и навыки; этичность поведения подразумевает ответственность, неподкупность, умение хранить тайну, беспристрастность.
Соблюдение принципов проведения аудита ИБ является предпосылкой для объективных заключений по результатам оценки.
Основными методами получения свидетельств оценки должны быть:
— проверка и анализ документов, относящихся к объекту оценки;
— наблюдение за процессами объекта оценки;
— опрос сотрудников объекта оценки и независимой (третьей) стороны.
Наряду с ручными способами сбора информации формирование свидетельств аудита может быть автоматическим или полуавтоматическим в результате применения какого-то инструментального средства или применения нескольких инструментальных средств.
