В. Андрианов - Обеспечение информационной безопасности бизнеса

К ограничениям оценки можно отнести возможную недоступность основных активов, используемых в обычной деловой деятельности организации; недостаточный временной интервал, выделенный для проведения оценивания; необходимость исключения определенных частей объекта оценки из-за стадии жизненного цикла. Кроме того, могут быть наложены ограничения на количество и вид данных, которые должны быть собраны и изучены.

Содержание контекста оценки должно быть согласовано руководителем группы оценки с организатором и уполномоченным представителем объекта оценки и задокументировано до начала процесса оценки. Фиксирование контекста оценки важно, так как он содержит исходные элементы процесса оценки.

Во время выполнения оценки могут происходить изменения в контексте оценки. Изменения должны быть одобрены организатором оценки и уполномоченным представителем объекта оценки. Если эти изменения оказывают влияние на временной график и ресурсы проведения оценки, то планирование оценки должно быть соответствующим образом пересмотрено.

3.2.3. Мероприятия и выходные данные процесса оценки

Сбор свидетельств оценки и проверка их достоверности. Назначение мероприятия: сбор свидетельств оценки с соблюдением условий обеспечения достоверной оценки ИБ.

Независимая оценка ИБ может быть осуществлена с помощью внутреннего и внешнего аудита ИБ. В [26] аудит ИБ определяется как систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению ИБ, установления степени выполнения в организации критериев ИБ, а также допускающий возможность формирования профессионального аудиторского суждения об информационной безопасности организации.

Необходимыми условиями обеспечения достоверной оценки ИБ при проведении аудита являются:

— использование доверенного процесса аудита и соблюдение основных принципов аудита;

— менеджмент программы аудита ИБ;

— использование наиболее достоверных источников свидетельств оценки;

— определение объема выборки с учетом заданной достоверности свидетельств оценки;

— учет факторов, влияющих на аудиторский риск, с целью снижения аудиторского риска.

Доверенный процесс аудита ИБ должен отвечать требованиям принятого в организации нормативного документа, описывающего процесс аудита ИБ, либо требованиям признаваемого сообществом международного (национального) нормативного документа (стандарта, рекомендации). Таким нормативным документом для банковской системы РФ является СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности», принятый и введенный в действие распоряжением Банка России от 28 апреля 2007 г. № Р-345. В стандарте изложены принципы проведения аудита ИБ организации, описана последовательность этапов проведения аудита ИБ, установлены требования к этапам проведения аудита ИБ организаций и к взаимоотношениям представителей аудиторской организации с представителями проверяемой организации.

В СТО БР ИББС-1.1-2007 изложено также содержание программы аудита ИБ, включающей деятельность, необходимую для планирования и организации определенного количества и вида аудитов и обеспечения их ресурсами, необходимыми для эффективного и результативного проведения аудитов в заданные сроки. В стандарте определены процедуры менеджмента программы аудита ИБ, направленные на контроль внедрения программы аудита ИБ, анализ достижения целей программы аудита ИБ и определение возможностей для ее совершенствования. Совершенствование программы аудита ИБ состоит в определении корректирующих и превентивных действий по совершенствованию программы аудита ИБ, включающих в себя пересмотр и корректировку сроков проведения аудитов ИБ и необходимых ресурсов, улучшение методов подготовки свидетельств аудита ИБ.

К основным принципам проведения аудита ИБ [27] относятся:

— независимость аудита ИБ: аудиторы (группа оценки) независимы в своей деятельности и не ответственны за деятельность, которая подвергается аудиту ИБ, независимость является основанием для беспристрастности при проведении аудита ИБ и объективности при формировании заключения по результатам аудита ИБ;

— полнота аудита ИБ: аудит ИБ должен охватывать все области аудита ИБ, соответствующие цели оценки, кроме того, полнота аудита ИБ определяется достаточностью затребованных и предоставленных материалов, документов и уровнем их соответствия поставленным задачам; полнота аудита ИБ является необходимым условием для формирования объективных заключений по результатам оценки ИБ;

— оценка на основе свидетельств аудита ИБ: при периодическом проведении аудита ИБ оценка на основе свидетельств аудита ИБ является единственным способом, позволяющим получить повторяемое заключение по результатам аудита ИБ, что повышает доверие к такому заключению, для повторяемости заключения свидетельства аудита ИБ должны быть проверяемыми;

— достоверность свидетельств аудита ИБ: оценщики должны быть уверены в достоверности свидетельств оценки ИБ, доверие к документальным свидетельствам оценки ИБ повышается при подтверждении их достоверности третьей стороной или руководством организации; доверие к фактам, полученным при опросе сотрудников объекта оценки, повышается при подтверждении данных фактов из различных источников, доверие к фактам, полученным при наблюдении за деятельностью в области ИБ объекта оценки, повышается, если они получены непосредственно при функционировании проверяемых процедур или процессов;

— компетентность и этичность поведения: доверие к процессу и результатам оценки ИБ зависит от компетентности тех, кто проводит аудит ИБ, и от этичности их поведения; компетентность базируется на способности аудитора применять знания и навыки; этичность поведения подразумевает ответственность, неподкупность, умение хранить тайну, беспристрастность.

Соблюдение принципов проведения аудита ИБ является предпосылкой для объективных заключений по результатам оценки.

Основными методами получения свидетельств оценки должны быть:

— проверка и анализ документов, относящихся к объекту оценки;

— наблюдение за процессами объекта оценки;

— опрос сотрудников объекта оценки и независимой (третьей) стороны.

Наряду с ручными способами сбора информации формирование свидетельств аудита может быть автоматическим или полуавтоматическим в результате применения какого-то инструментального средства или применения нескольких инструментальных средств.