Анализ требований стандартов ГОСТ Р ИСО/МЭК 270хх по проведению аудита информационной безопасности

Размещено на http://www.allbest.ru/

Москва 2018 г.

Министерство образования и науки России

НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ «МЭИ»

ИНЖЕНЕРНО-ЭКОНОМИЧЕСКИЙ ИНСТИТУТ

Кафедра «Безопасности и информационных технологий»

Курсовая работа

По дисциплине: «Аудит безопасности информационных систем»

Тема: «Анализ требований стандартов ГОСТ Р ИСО/МЭК 270хх по проведению аудита информационной безопасности»

Работу выполнила:

студентка гр. ИЭ-42-15 Баркова А. И.

Работу проверил: Писаренко И.В.



Содержание

Введение

1. Серия стандартов ГОСТ Р ИСО/МЭК 27000

1.1 Серия стандартов ГОСТ Р ИСО\МЭК 270хх, стандарты ГОСТ Р ИСО/МЭК 17021-2008 и ГОСТ Р ИСО 19011-2012

1.2 Требования к проведению аудита информационной безопасности

1.3 Выводы по первой главе

2. Анализ требований стандартов ГОСТ Р ИСО/МЭК 270хх по проведению аудита информационной безопасности

Заключение

Список используемых источников



Введение

Аудит - форма независимого, нейтрального контроля какого-либо направления деятельности коммерческого предприятия, широко используемая в практике рыночной экономики, особенно в сфере бухгалтерского учета. Не менее важным с точки зрения общего развития предприятия является его аудит безопасности, который включает анализ рисков, связанных с возможностью осуществления угроз безопасности, особенно в отношении информационных ресурсов, оценку текущего уровня защищенности информационных систем (ИС), локализацию узких мест в системе их защиты, оценку соответствия ИС существующим стандартам в области информационной безопасности и выработку рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Если говорить о главной цели аудита информационной безопасности, то можно ее определить, как проведение оценки уровня безопасности информационной системы предприятия для управления им в целом с учетом перспектив его развития.

Основной целью деятельности организаций является обеспечение необходимого и достаточного уровня ИБ, который представляет собой непрерывный процесс, и эффективная защита которого невозможна без комплекса организационных мер.

Целью работы является проведение анализа требований стандартов ГОСТ Р ИСО\МЭК 270хх по проведению аудита информационной безопасности.

Для достижения поставленной цели необходимо решить следующие задачи:

1. Изучение требований стандартов серии стандартов ГОСТ Р ИСО/МЭК 270хх;

2. Проведение анализа требований стандартов ГОСТ Р ИСО/МЭК 270хх по проведению аудита информационной безопасности.

В работе рассматриваются теоретические основы серии стандартов ГОСТ Р ИСО\МЭК 270хх, изучаются основные принципы, цели и способы проведения аудита. А также проводится анализ требований, которые осуществляются в процессе проведения аудита информационной безопасности организации. аудит стандарт информационный безопасность



1. Серия стандартов ГОСТ Р ИСО\МЭК 270хх

Международные стандарты системы менеджмента предоставляют модель для налаживания и функционирования системы менеджмента. При использовании семейства стандартов СМИБ организации могут реализовывать и совершенствовать систему управления защитой информации и подготовиться к независимой оценке их СМИБ, применяемой для защиты информации, такой как финансовая информация, интеллектуальная собственность, информация о персонале, а также информация, доверенная клиентами или третьей стороной.

Семейство стандартов СМИБ предназначено для помощи организациям любого типа и величины в реализации и функционировании СМИБ. Семейство стандартов СМИБ состоит из международных стандартов под общим названием «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности», которые связаны между собой так, как показано на рисунке 1.

Рисунок 1 Взаимосвязь в семействе стандартов СМИБ

1.1 Серия стандартов ГОСТ Р ИСО\МЭК 270хх, стандарты ГОСТ Р ИСО/МЭК 17021-2008 и ГОСТ Р ИСО 19011-2012

В большинстве стандартов по ИБ, описывается система менеджмента ИБ, описываются вопросы, связанные с аудитом ИБ, при этом стандарты можно разделить на две группы:

1. Стандарты, в которых частично описывается требования к аудиту ИБ, применительно к общей системе менеджмента ИБ:

· ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология»;

· ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»

· ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности»;

· ГОСТ Р ИСО/МЭК 27003-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности»;

· ГОСТ Р ИСО/МЭК 27004-2011 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения»;

· ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности»;

· ГОСТ Р ИСО/МЭК 27011-2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002»;

· ГОСТ Р ИСО/МЭК 27013-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1»;

· ГОСТ Р ИСО/МЭК 27031-2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса»;

· ГОСТ Р ИСО/МЭК 27033-1-2011 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1 Обзор и концепции»;

· ГОСТ Р ИСО/МЭК 27033-3-2014 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления»;

· ГОСТ Р ИСО/МЭК 27034-1-2014 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия»;

· ГОСТ Р ИСО/МЭК 27037-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме».

2. Стандарты, целиком посвященные вопросам аудита ИБ и его проведению:

· ГОСТ Р ИСО/МЭК 27006-2008 «Информационная технология. Методы и средства обеспечения безопасности требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности». Этот международный стандарт задает требования и является руководством для органов, проводящих аудит и сертификацию СМИБ на соответствие ИСО/МЭК 27001 в дополнение к требованиям, содержащимся в ИСО/МЭК 17021. Этот стандарт предназначен главным образом для проведения аккредитации органов, проводящих сертификацию СМИБ на соответствие ИСО/МЭК 27001;

· ГОСТ Р ИСО/МЭК 27007-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности». Этот международный стандарт будет включать в себя руководство по проведению аудита СМИБ, а также руководство по оценке компетентности аудиторов системы менеджмента информационной безопасности в дополнение к руководству, содержащемуся в стандарте ИСО 19011, который относится к системам менеджмента в целом.

Так же это семейство стандартов включает в себя ГОСТ Р 56045-2014/ISO/IEC TR 27008:2011 «Информационная технология. Методы и средства обеспечения безопасности. Рекомендации для аудиторов в отношении мер и средств контроля и управления информационной безопасностью», который является сводом рекомендаций для аудиторов, проводящих аудит ИБ.

В основе стандартов ГОСТ Р ИСО/МЭК 270хх по проведению аудита информационной безопасности, лежат два стандарта:

· ГОСТ Р ИСО/МЭК 17021-2008 «Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента». Настоящий стандарт предназначен для использования органами, осуществляющими аудит и сертификацию систем менеджмента. Стандарт содержит общие требования к органам по сертификации, проводящим аудит и сертификацию систем менеджмента качества, экологического менеджмента и других систем менеджмента;

· ГОСТ Р ИСО 19011-2012 «Руководящие указания по аудиту систем менеджмента». Настоящий стандарт содержит руководящие указания по аудиту систем менеджмента, включая принципы аудита, управление программами аудита и проведение аудитов системы менеджмента, а также указания по оценке компетентности лиц, участвующих в процессе аудита, включая аудиторов, группы по аудиту и лиц, отвечающих за управление программой аудита.

Аудит ИБ проводиться в соответствии с выше описанными требованиями стандартов. На их основе должна быть установлена и реализована программа аудитов ИБ, содержащая информацию, необходимую для планирования и организации аудитов ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения аудита ИБ в заданные сроки.

1.2 Требования к проведению аудита информационной безопасности

Согласно ГОСТ Р ОСИ/МЭК 27001-2006, организация должна в соответствии с утвержденным графиком проводить внутренние аудиты СМИБ, позволяющие установить, что цели управления, меры управления, процессы и процедуры СМИБ:

· соответствуют требованиям настоящего стандарта и соответствующим законам или нормативным документам;

· соответствуют установленным требованиям ИБ;

· результативно внедряются и поддерживаются;

· функционируют должным образом.

Программа аудита должна быть спланирована с учетом статуса и важности проверяемых процессов и зон, подлежащих аудиту, а также результатов предыдущих аудитов. Должны быть определены критерии, область, частота и методы аудита. Отбор аудиторов и процедура аудита должны обеспечивать его объективность и беспристрастность. Аудиторы не должны проводить проверку своей собственной работы.

Правила и требования, относящиеся к планированию, проведению аудита, сообщению о его результатах и поддержанию в рабочем состоянии учетных записей, должны быть документированы.

Руководитель, ответственный за проверяемый участок деятельности организации, должен своевременно и без задержки обеспечить проведение проверки в целях устранения обнаруженных несоответствий и их причин.

Согласно ГОСТ Р ИСО/МЭК 27002-2012, подход организации к менеджменту информационной безопасности и ее реализации (т.е. цели управления, политики, процессы и процедуры по обеспечению информационной безопасности) должен проверяться независимым образом через запланированные интервалы времени, или, когда произошли значительные изменения, связанные с реализацией безопасности.

Независимая проверка должна инициироваться руководством. Такая независимая проверка необходима для обеспечения уверенности в сохраняющейся работоспособности, адекватности и эффективности подхода организации к менеджменту информационной безопасности. Проверка должна включать в себя оценку возможностей улучшения и необходимость изменений подхода к безопасности, в том числе политику и цели управления.

Такая проверка должна осуществляться специалистами, не работающими в рассматриваемой области деятельности, например, службой внутреннего аудита, независимым менеджером или сторонней организацией, специализирующейся на таких проверках. Специалисты, привлекаемые к таким проверкам, должны обладать соответствующими навыками и опытом.

Результаты независимой проверки должны регистрироваться и сообщаться руководству, инициировавшему проверку. Эти отчеты необходимо сохранять для возможного последующего использования.

Если в результате независимой проверки устанавливается, что подход организации и реализация менеджмента информационной безопасности неадекватны или не соответствуют направлению информационной безопасности, изложенному в документе, содержащем политику информационной безопасности, руководству следует рассмотреть соответствующие корректирующие действия.

Аудит ИБ проводится в соответствии со следующими требованиями:

· Аудит ИБ должен проводиться в соответствии с требованиями серии стандартов ГОСТ Р ИСО/МЭК 270хх, ГОСТ Р ИСО 19011-2012 и ГОСТ Р ИСО/МЭК 17021-2008.

· Должна быть установлена и реализована программа аудитов ИБ, содержащая информацию, необходимую для планирования и организации аудитов ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения указанных аудитов ИБ в заданные сроки.

· Для каждого проводимого в организации аудита ИБ необходимо установить план аудита, определяющий:

· цель аудита ИБ;

· критерии аудита ИБ;

· область аудита ИБ;

· дату и продолжительность проведения аудита ИБ;

· состав аудиторской группы;

· описание деятельности и мероприятий по проведению аудита;

· распределение ресурсов при проведении аудита.

· В организации должны быть оформлены договоры с аудиторскими организациями.

· Должны быть установлены процедуры:

· хранения, доступа и использования материалов, получаемых в процессе проведения аудита ИБ;

· взаимодействия с аудиторской организацией в процессе проведения аудита ИБ;

· взаимодействия аудиторской группы и руководства, позволяющего представителям аудиторской группы при необходимости непосредственно обращаться к руководству;

· организации опроса работников;

· организации наблюдения за деятельностью работников организации со стороны представителей аудиторской организации.

· По результатам проведения аудита должны быть подготовлены отчеты. Результаты аудитов, а также соответствующие отчеты должны быть доведены до руководства.

· Должны быть определены, выполняться, регистрироваться и контролироваться процедуры хранения, доступа и использования материалов, получаемых в процессе проведения аудитов, в частности отчетов аудитов.

· В организации должны быть определены роли, связанные с организацией выполнения программ аудитов и планов отдельных аудитов, и назначены ответственные за выполнение указанных ролей.

1.3 Выводы по первой главе

В данной главе был проведен анализ серии стандартов ГОСТ Р ИСО/МЭК 270хх, среди которых были определены стандарты по проведению аудита ИБ. Так же рассмотрены стандарты ГОСТ Р ИСО 19011-2012 и ГОСТ Р ИСО/МЭК 17021-2008, которые целиком посвящены аудиту ИБ. Были рассмотрены основные требования к проведению аудита информационной безопасности, на основании которых можно сделать вывод, что данные стандарты устанавливают построение единой системы оценки информационной безопасности системы менеджмента, что является неотъемлемой частью построения и реализации результативной программы аудита.



2. Анализ требований стандартов ГОСТ Р ИСО/МЭК 270хх по проведению аудита информационной безопасности

Семейство стандартов ГОСТ Р ИСО/МЭК 270хх направлены на обеспечение достаточного уровня информационной безопасности систем менеджмента.

Рассмотрим подробно требования стандартов ГОСТ Р ИСО/МЭК 270хх.

· Аудит ИБ должен проводиться в соответствии с требованиями серии стандартов ГОСТ Р ИСО/МЭК 270хх.

Данные стандарты ИБ устанавливают положения по обеспечению защиты информации систем менеджмента. Так, стандарт ГОСТ Р ИСО/МЭК 27006-2008, основанный на ГОСТ Р ИСО/МЭК 17021-2008, задает специфические требования к ряду аспектов, таким как:

1. Требования к ресурсам:

· к компетентности руководства и персонала;

· к персоналу, участвующему в деятельности по сертификации;

· к привлечению отдельных внешних аудиторов или внешних технических экспертов;

2. Требования к информации:

· к общедоступной информации;

· к документам по сертификации;

· к ссылке на сертификацию и использование маркировки;

3. Требования к процессу:

· к общим требованиям;

· к первоначальному аудиту и сертификации;

· к деятельности по надзору;

· к повторной сертификации;

· к специальным аудитам;

· к приостановке, отмене или сокращении сферы действия сертификации;

· к жалобам.

· Должна быть установлена и реализована программа аудитов ИБ, содержащая информацию, необходимую для планирования и организации аудитов ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения указанных аудитов ИБ в заданные сроки.

Данное требование должно быть реализовано для управления планированием и проведением аудитов, что обеспечивает эффективную реализацию программы аудита. Цели данного требования могут зависеть от требований информационной безопасности, а также от уровня качества функционирования проверяемой организации и рисков, подвергающихся аудиту информационной безопасности организации.

· Для каждого проводимого в организации аудита ИБ необходимо установить план аудита.

Составление плана аудита является обязательным начальным этапом проведения аудиторской проверки является планирование аудита и заключается в определении последовательности аудита, объема проверки, составлении общего плана, разработке программы и конкретного плана действий ожидаемых работ, а также согласование плана и определение сроков выполнения проверки с клиентом.

· В организации должны быть оформлены договоры с аудиторскими организациями.

Данное требование выдвинуто для регулирования отношений между аудиторской организацией и организацией в которой проводится проверка. При проведении аудиторской проверки составляется договор на аудиторские услуги, который регламентирует и предусматривает соблюдение аудиторской организацией конфиденциальности и неразглашение полученной информации.

Договор на аудиторские услуги определяет также стоимость аудиторских услуг и порядок их проведения, сроки и этапы проверки, штрафные санкции, порядок разрешения разногласии и содержит ссылки на нормативные документы и законодательные акты. И считается заключенным в том случае, если обе стороны приняли все условия и обязательства, прописанные в нем.

· По результатам проведения аудита должны быть подготовлены отчеты, которые должны быть доведены до руководства.

Руководитель аудиторской группы несет ответственность за подготовку и содержание отчета по результатам проведения аудита ИБ, который должен предоставлять полные и достаточные записи по аудиту ИБ и включать сведения об организации проводящей аудиторскую проверку так и самой организации, заказавшей проверку, а также содержать сведения и заключения по ходу аудиторской проверки.

Отчет по результатам проведения аудита ИБ должен быть выпущен в согласованные сроки и утвержден руководителем аудиторской организации и разослан получателям, определенным заказчиком аудита ИБ, собственностью которого они являются.

Данное требование является обязательным для выполнения аудиторской организацией, так как является изложением всех этапов проверки и является результатом проделанной работы.

· Должны быть определены, выполняться, регистрироваться и контролироваться процедуры хранения, доступа и использования материалов, получаемых в процессе проведения аудитов, в частности отчетов аудитов.

Аудиторская организация, индивидуальный аудитор не вправе передавать сведения и документы, составляющие аудиторскую тайну, третьим лицам либо разглашать эти сведения и содержание документов без предварительного письменного согласия лица, которому оказывались услуги, предусмотренные ФЗ «Об аудиторской деятельности», за исключением случаев, предусмотренных этим Федеральным законом и другими федеральными законами.

· В организации должны быть определены роли, связанные с организацией выполнения программ аудитов и планов отдельных аудитов, и назначены ответственные за выполнение указанных ролей.

Для обеспечения ИБ и контроля за качеством выполнения планов в организации требуется определение ролей. Руководство организации должно осуществлять координацию своевременности и качества выполнения ролей, связанных с выполнением аудиторского плана.

Формирование и назначение ролей работников осуществляется с учетом соблюдения принципа предоставления минимальных прав и полномочий, необходимых для выполнения служебных обязанностей и ответственности за их выполнение, которая должна быть зафиксирована, например, в должностных инструкциях или организационно-распорядительных документах организации.



Заключение

Аудит информационной безопасности является основным инструментом контроля состояния защищенности системы менеджмента. Он может выполняться как в совокупности с общим аудитом, так и в виде самостоятельного проекта и является неотъемлемой частью обеспечения безопасности информации.

На основании полученных результатов можно сделать выводы о том, что семейство стандартов ГОСТ Р ИСО/МЭК 270хх по проведению аудита информационной безопасности направлен на обеспечение достаточного уровня информационной безопасности СМИБ, повышает эффективность и обеспечивает надежную защиту конфиденциальных данных. Предложенные стандартами требования к проведению аудита информационной безопасности помогают обеспечить контроль за качеством выполнения плана проведения аудиторской и проверки и регулируют отношения между организациями и аудиторскими организациями.

При проведении аудита СМИБ важно соблюдать все принципы, описанные в стандарте ИСО 19011 и относящиеся к аудиту систем менеджмента. Во всех вопросах связанных с аудитом СМИБ, аудитор должен быть независимым от объекта аудита. Функция аудита в организации должна быть независимой от проверяемой области для получения объективных результатов.

Информационная безопасность является динамично развиваемой областью, поэтому важно, чтобы аудиторы информационной безопасности были постоянно в курсе современных угроз, уязвимостей, и ситуации в организации (бизнес-процессов, технологий, отношений).



Список используемых источников

1. Лекции по предмету «Аудит безопасности информационных систем».

2. ГОСТ Р ИСО/МЭК 27000-2012.

3. ГОСТ Р ИСО/МЭК 27001-2006.

4. ГОСТ Р ИСО/МЭК 27002-2012.

5. ГОСТ Р ИСО/МЭК 27003-2012.

6. ГОСТ Р ИСО/МЭК 27004-2011.

7. ГОСТ Р ИСО/МЭК 27005-2010.

8. ГОСТ Р ИСО/МЭК 27011-2012.

9. ГОСТ Р ИСО/МЭК 27013-2014.

10. ГОСТ Р ИСО/МЭК 27031-2012.

11. ГОСТ Р ИСО/МЭК 27033-1-2011.

12. ГОСТ Р ИСО/МЭК 27033-3-2014.

13. ГОСТ Р ИСО/МЭК 27034-1-2014.

14. ГОСТ Р ИСО/МЭК 27037-2014.

15. ГОСТ Р ИСО/МЭК 17021-2008.

16. ГОСТ Р ИСО 19011-2012.

17. Федеральный закон № 307 «Об аудиторской деятельности».

Размещено на Allbest.ru

...