В. Андрианов - Обеспечение информационной безопасности бизнеса
— отобрать все элементы (сплошная проверка);
— отобрать специфические (определенные) элементы;
— отобрать отдельные элементы (сформировать аудиторскую выборку).
Сплошная проверка целесообразна, если:
— генеральная совокупность состоит из небольшого числа элементов большой стоимости;
— риск контроля является высоким, а другие средства не позволяют получить достаточные свидетельства оценки;
— повторяющийся характер расчетов или иных процессов делает сплошную проверку эффективной с точки зрения соотношения затрат и результатов.
Сплошная проверка редко применяется при проведении оценки ИБ.
Оценщик может решить отобрать специфические (определенные) элементы генеральной совокупности, основываясь на том, что они могут включать:
— элементы с высокой стоимостью или так называемые критические (ключевые) элементы выборки;
— элементы, стоимость которых превышает определенную величину;
— элементы для проверки процедур, позволяющие определить, выполняется ли организацией конкретная процедура.
Выводы по результатам измерения, применяемого к отобранным таким способом элементам, не могут быть распространены на всю генеральную совокупность. При использовании этого метода анализируется потребность в получении свидетельств оценки в отношении оставшейся части генеральной совокупности, если оставшаяся часть является существенной.
Оценщик с учетом имеющихся сведений может принять решение о проведении выборочной проверки путем отбора отдельных элементов, т. е. применить статистический подход. Общее требование в этом случае — репрезентативность, т. е. все элементы изучаемой генеральной совокупности должны иметь равную вероятность быть отобранными в выборку.
При применении методов, связанных со статистической выборкой, объем отобранной совокупности может определяться на основании теории вероятностей и математической статистики либо профессионального суждения аудитора.
Достоверность оценки во многом зависит от того, как будут оценщиками учтены факторы, влияющие на аудиторский риск, который включает:
— риск контроля;
— риск необнаружения.
Риск контроля представляет собой риск того, что внутренний контроль не предотвратит или не выявит существенных нарушений ИБ. Важным фактором для повышения достоверности оценок является оптимизация объема выборки в соответствии с предполагаемым риском контроля.
Риск необнаружения представляет собой риск того, что процедуры и методы аудита, применяемые оценщиками, не выявят существенных нарушений.
Важными факторами для снижения риска необнаружения и тем самым повышения достоверности оценок являются:
— увеличение времени проверки;
— проведение опросов, ориентированных на представителей третьих независимых лиц;
— увеличение объема выборки.
Измерение и оценивание атрибутов объекта оценки. Назначение мероприятия: измерение и оценивание атрибутов объекта оценки на основе свидетельств оценки ИБ с целью установления степени выполнения критериев оценки и формирования отчета по результатам оценки.
Атрибут представляет собой свойство или характеристику сущности, которые могут быть определены количественно или качественно ручными или автоматическими средствами.
Для рассмотрения процесса измерения и оценивания атрибутов объекта оценки ИБ воспользуемся моделью измерений, связанных с обеспечением ИБ, представленной на рис. 57.
Информационная потребность определяет, что требуется измерить для достижения целей оценки ИБ объекта оценки. Измерения, связанные с обеспечением ИБ, могут применяться к различным объектам в рамках контекста оценки. Для идентификации объектов измерения выделяются критические атрибуты процессов, процедур, защитных мер, которые могут предоставить данные, соответствующие информационной потребности.
Метод измерения используется для количественного измерения объекта измерения посредством преобразования атрибутов в основную меру. Основная мера — мера, определенная в терминах атрибута и метода его количественного определения (мера — это переменная, которой присваивается значение). Основная мера функционально независима от других мер. Основная мера собирает информацию о единственном атрибуте.
Метод измерения количественно измеряет атрибуты посредством применения соответствующей шкалы.
Методы измерения могут быть субъективными или объективными. Субъективные методы полагаются на количественное измерение, включающее мнение человека, тогда как объективные методы используют количественное определение, основанное на числовых правилах, которые могут быть реализованы с помощью ручных или автоматических средств.
Функция измерения определяет, как основные меры объединяются в производную меру. Производная мера — способ объединения двух или более основных мер.
Функции измерения могут включать разнообразные приемы, такие как усреднение всех основных мер, применение весовых коэффициентов к основным мерам или присвоение качественных значений основным мерам перед их объединением в производные меры.
Для каждой меры должна быть определена аналитическая модель с целью преобразования одной или более производных мер в показатель. Показатель — это результат применения аналитической модели к одной или более мерам по отношению к критериям принятия решений или информационной потребности.
Показатели будут формироваться путем объединения производных мер и интерпретации их на основе критериев принятия решений.
Для каждого показателя должны быть идентифицированы и задокументированы основанные на целях информационной безопасности критерии принятия решений, которые устанавливают максимальное значение показателя, и предоставляют руководство для интерпретации текущего значения показателя.
В таблицах 3–6 показаны примеры проведения измерения и оценивания атрибута.
Таблица 3
Таблица 4
Таблица 5
Окончание табл. 5
Таблица 6
Сообщение результатов оценки может проходить неформально при внутренней оценке или происходить в форме подробного отчета при независимой внешней оценке. Кроме того, для представления результатов оценки могут быть подготовлены и другие выводы и предлагаемые планы действий, рекомендации, в зависимости от назначения оценки. Результаты могут быть представлены в абсолютных выражениях или в относительных выражениях в сравнении с результатами предыдущих оценок, контрольными данными, в сравнении с деловыми потребностями и т. д. Результаты оценки ИБ обычно используются в качестве основы для определения рисков ИБ и разработки плана совершенствования СОИБ.
