Рассмотрим подробнее элементы процесса оценки ИБ организации.
3.2.2. Контекст оценки информационной безопасности организации
Контекст оценки ИБ включает цели и назначение оценки ИБ, вид оценки, объект и области оценки ИБ, ограничения оценки, роли и ресурсы.
К ролям, участвующим в реализации процесса оценки, относятся организатор, аналитик, руководитель группы оценки, оценщик, владелец активов, представитель объекта оценки.
Организатор (заказчик) оценки ИБ формирует цель оценки (совершенствование объекта оценки, определение соответствия объекта оценки установленным критериям и т. д.) и определяет критерий оценки, объект и область оценки. Под организатором оценки понимается лицо или организация, являющиеся внутренними или внешними по отношению к оцениваемому объекту оценки, которые организуют проведения оценки и предоставляют финансовые и другие ресурсы, необходимые для ее проведения. Организатор должен обеспечить доступ группы оценки (руководитель группы оценки, оценщик) к активам объекта оценки для изучения, к персоналу для проведения опросов, к инфраструктуре, необходимой во время оценивания. Хотя руководство объекта оценки напрямую не имеет никаких конкретных обязанностей по проведению оценивания, осознание важности оценки имеет очень большое значение. Это особенно актуально в том случае, когда организатор оценки не является членом руководства объекта оценки.
По завершении оценки организатор передает отчетные документы по оценке заинтересованным сторонам для использования их в соответствии с заявленной целью оценки.
Аналитик оценки ИБ выбирает способ оценки ИБ, модель оценки и определяет методическое и информационное обеспечение оценки, т. е. методики, данные для оценки. Аналитик оценки анализирует результаты оценки и формирует отчет и рекомендации по результатам оценки ИБ.
Руководитель группы оценки и оценщик измеряют и оценивают свидетельства оценки, предоставленные владельцами активов, и формируют результаты оценки. Руководитель группы должен распределить ответственность между членами группы за оценивание конкретных процессов, подразделений, областей или видов деятельности объекта оценки. Такое распределение должно учитывать потребность в независимости, компетентности специалистов по оценке и результативном использовании ресурсов. Мероприятия по измерению и оцениванию выполняются исключительно руководителем группы оценки и оценщиком, входящими в группу оценки. Другой персонал (представитель объекта оценки, технический эксперт) может участвовать в работе группы оценки для обеспечения специализированных знаний или консультаций. Они могут обсуждать с оценщиком формулировки суждений, но не будут нести ответственность за окончательную оценку.
На рис. 56 показаны роли процесса оценки ИБ и основные функции, выполняемые ролями.
Важным аспектом при определении контекста оценки является вид оценки: независимая или самооценка. В зависимости от вида оценки различается отношение ролей процесса оценки и объекта оценки.
Независимая оценка достигается путем проведения оценки группой оценки, члены которой независимы от объекта оценки. Организатор оценки может относиться к той же организации, к которой относится объект оценки, но не обязательно к оцениваемому объекту оценки. Степень независимости может варьироваться в соответствии с целью и областью оценки. В случае внешнего организатора оценки предполагается наличие взаимного соглашения между организатором оценки и организацией, к которой относится объект оценки. Представитель объекта оценки принимает участие в формировании свидетельств оценки, обеспечивает взаимодействие группы оценки с владельцами активов. Их участие в проведении оценки дает возможность определить и учесть особенности объекта оценки, обеспечить достоверность результатов. Самооценка выполняется организацией с целью оценки собственной СОИБ. Организатор самооценки обычно входит в состав объекта оценки, как и члены группы оценки.
Область оценки может включать, например, один или несколько процессов объекта оценки, например, организатор может сосредоточить внимание на одном или нескольких критических процессах и /или защитных мерах. Выбор объекта оценки должен отражать намеченное использование организатором выходных данных оценки. Например, если выходные данные предназначены для использования при совершенствовании деятельности по обеспечению ИБ, то область оценки должна соответствовать области намеченных работ по совершенствованию. Область оценки может быть любой: от отдельного процесса до всей организации. В контексте оценки должно быть представлено подробное описание объекта оценки, включающее размеры объекта оценки, область применения продуктов или услуг объекта оценки, основные характеристики (например, объем, критичность, сложность и качество) продуктов или услуг объекта оценки.
К ограничениям оценки можно отнести возможную недоступность основных активов, используемых в обычной деловой деятельности организации; недостаточный временной интервал, выделенный для проведения оценивания; необходимость исключения определенных частей объекта оценки из-за стадии жизненного цикла. Кроме того, могут быть наложены ограничения на количество и вид данных, которые должны быть собраны и изучены.
Содержание контекста оценки должно быть согласовано руководителем группы оценки с организатором и уполномоченным представителем объекта оценки и задокументировано до начала процесса оценки. Фиксирование контекста оценки важно, так как он содержит исходные элементы процесса оценки.
Во время выполнения оценки могут происходить изменения в контексте оценки. Изменения должны быть одобрены организатором оценки и уполномоченным представителем объекта оценки. Если эти изменения оказывают влияние на временной график и ресурсы проведения оценки, то планирование оценки должно быть соответствующим образом пересмотрено.
3.2.3. Мероприятия и выходные данные процесса оценки
Сбор свидетельств оценки и проверка их достоверности. Назначение мероприятия: сбор свидетельств оценки с соблюдением условий обеспечения достоверной оценки ИБ.
Независимая оценка ИБ может быть осуществлена с помощью внутреннего и внешнего аудита ИБ. В [26] аудит ИБ определяется как систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению ИБ, установления степени выполнения в организации критериев ИБ, а также допускающий возможность формирования профессионального аудиторского суждения об информационной безопасности организации.
Необходимыми условиями обеспечения достоверной оценки ИБ при проведении аудита являются:
— использование доверенного процесса аудита и соблюдение основных принципов аудита;
— менеджмент программы аудита ИБ;
— использование наиболее достоверных источников свидетельств оценки;
— определение объема выборки с учетом заданной достоверности свидетельств оценки;
— учет факторов, влияющих на аудиторский риск, с целью снижения аудиторского риска.
Доверенный процесс аудита ИБ должен отвечать требованиям принятого в организации нормативного документа, описывающего процесс аудита ИБ, либо требованиям признаваемого сообществом международного (национального) нормативного документа (стандарта, рекомендации). Таким нормативным документом для банковской системы РФ является СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности», принятый и введенный в действие распоряжением Банка России от 28 апреля 2007 г. № Р-345. В стандарте изложены принципы проведения аудита ИБ организации, описана последовательность этапов проведения аудита ИБ, установлены требования к этапам проведения аудита ИБ организаций и к взаимоотношениям представителей аудиторской организации с представителями проверяемой организации.
В СТО БР ИББС-1.1-2007 изложено также содержание программы аудита ИБ, включающей деятельность, необходимую для планирования и организации определенного количества и вида аудитов и обеспечения их ресурсами, необходимыми для эффективного и результативного проведения аудитов в заданные сроки. В стандарте определены процедуры менеджмента программы аудита ИБ, направленные на контроль внедрения программы аудита ИБ, анализ достижения целей программы аудита ИБ и определение возможностей для ее совершенствования. Совершенствование программы аудита ИБ состоит в определении корректирующих и превентивных действий по совершенствованию программы аудита ИБ, включающих в себя пересмотр и корректировку сроков проведения аудитов ИБ и необходимых ресурсов, улучшение методов подготовки свидетельств аудита ИБ.
К основным принципам проведения аудита ИБ [27] относятся:
— независимость аудита ИБ: аудиторы (группа оценки) независимы в своей деятельности и не ответственны за деятельность, которая подвергается аудиту ИБ, независимость является основанием для беспристрастности при проведении аудита ИБ и объективности при формировании заключения по результатам аудита ИБ;
— полнота аудита ИБ: аудит ИБ должен охватывать все области аудита ИБ, соответствующие цели оценки, кроме того, полнота аудита ИБ определяется достаточностью затребованных и предоставленных материалов, документов и уровнем их соответствия поставленным задачам; полнота аудита ИБ является необходимым условием для формирования объективных заключений по результатам оценки ИБ;
— оценка на основе свидетельств аудита ИБ: при периодическом проведении аудита ИБ оценка на основе свидетельств аудита ИБ является единственным способом, позволяющим получить повторяемое заключение по результатам аудита ИБ, что повышает доверие к такому заключению, для повторяемости заключения свидетельства аудита ИБ должны быть проверяемыми;
— достоверность свидетельств аудита ИБ: оценщики должны быть уверены в достоверности свидетельств оценки ИБ, доверие к документальным свидетельствам оценки ИБ повышается при подтверждении их достоверности третьей стороной или руководством организации; доверие к фактам, полученным при опросе сотрудников объекта оценки, повышается при подтверждении данных фактов из различных источников, доверие к фактам, полученным при наблюдении за деятельностью в области ИБ объекта оценки, повышается, если они получены непосредственно при функционировании проверяемых процедур или процессов;
— компетентность и этичность поведения: доверие к процессу и результатам оценки ИБ зависит от компетентности тех, кто проводит аудит ИБ, и от этичности их поведения; компетентность базируется на способности аудитора применять знания и навыки; этичность поведения подразумевает ответственность, неподкупность, умение хранить тайну, беспристрастность.
Соблюдение принципов проведения аудита ИБ является предпосылкой для объективных заключений по результатам оценки.
Основными методами получения свидетельств оценки должны быть:
— проверка и анализ документов, относящихся к объекту оценки;
— наблюдение за процессами объекта оценки;
— опрос сотрудников объекта оценки и независимой (третьей) стороны.
Наряду с ручными способами сбора информации формирование свидетельств аудита может быть автоматическим или полуавтоматическим в результате применения какого-то инструментального средства или применения нескольких инструментальных средств.
При сборе данных оценщики должны исходить из того, что деятельность по обеспечению ИБ в области оценки осуществляется в соответствии с критериями оценки ИБ, если этому есть доказательства. Оценщики должны проявлять достаточную степень профессионального скептицизма в отношении собираемых свидетельств оценки, принимая во внимание возможность наличия нарушений ИБ.
Проверка и анализ документов позволяют оценщику получить свидетельства оценки, обладающие наибольшей полнотой и удобством восприятия и использования по сравнению с другими методами получения свидетельств аудита. Однако эти свидетельства аудита имеют различную степень достоверности в зависимости от их характера и источника, а также от эффективности контроля за процессом подготовки и обработки представленных документов.
Свидетельствами оценки ИБ, полученными в результате проверки и анализа документов, могут быть:
— наличие документа (документов) с релевантным содержанием;
— выдержки из документа (документов), подтверждающие реализацию деятельности по обеспечению ИБ, возложение ответственности и обязанностей на сотрудника (сотрудников) за реализацию деятельности по обеспечению ИБ;
— выдержки из документа (документов), содержащие описания реализованных ЗМ, процессов обеспечения ИБ.
Наблюдение представляет собой отслеживание оценщиком процедур или процессов обеспечения ИБ, выполняемых другими лицами (в том числе персоналом организации). Информация считается достоверной только в том случае, если получена непосредственно в момент функционирования проверяемых процедур или процессов.
Свидетельствами аудита, полученными с помощью наблюдения за деятельностью, могут быть записи, факты или другая информация, имеющие отношение к результатам автоматического контроля техническими средствами, зафиксированные оценщиками в ходе наблюдения.
Устный опрос проводят оценщики среди сотрудников (владельцев активов), утвержденных представителем объекта оценки для предоставления источников свидетельств и свидетельств оценки. Результаты устных опросов должны оформляться в виде протокола или краткого конспекта, в котором обязательно должны быть указаны фамилия, имя, отчество оценщика, проводившего опрос, фамилия, имя, отчество опрашиваемого лица, а также их подписи. Для проведения типовых опросов могут быть подготовлены бланки с перечнями интересующих вопросов. Результаты устного опроса следует проверять, так как опрашиваемый может выражать свое субъективное мнение.
Свидетельствами аудита, полученными при проведении опроса, могут быть описания и разъяснения опрашиваемых лиц по реализации процессов, процедур по обеспечению ИБ.
Для уверенности в достоверности оценки оценщики должны быть уверены в достоверности выявленных свидетельств аудита. Собранные свидетельства оценки, используемые для оценивания показателей, должны быть точным представлением оцениваемого объекта оценки. Для этого следует учитывать достоверность источников свидетельств аудита.
По степени достоверности (от наибольшей к наименьшей) источники свидетельств оценки делятся на:
— документальные источники свидетельств, полученные из различных источников третьей стороны (сведения об использовании лицензионных мер и средств обеспечения ИБ, договора по сопровождению мер и средств обеспечения ИБ и т. д.);
— документальные источники свидетельств, полученные на (от) объекте (та) оценки и подтвержденные третьей стороной (план мероприятий по результатам внешнего аудита ИБ, материалы ведомственных проверок ИБ и т. д.);
— источники свидетельств, полученные в ходе проведения аудиторских процедур, не предусматривающих периодическую документальную отчетность (результаты наблюдения за деятельностью, анализа данных системы мониторинга ИБ и т. д.);
— источники свидетельств, полученные в виде нормативных и распорядительных документов (политики, регламенты, отчеты о деятельности, приказы, распоряжения и т. д.), указывающих на надлежащее применение процессов и мер обеспечения ИБ на практике (наличие разрешительных записей уполномоченных лиц, данных контроля рисков и т. д.);
— свидетельства, полученные в результате устных и письменных опросов об объекте оценки, и наблюдение за применением мер и средств обеспечения ИБ, которые не оставляют документальных свидетельств (выявление ролей процессов, последовательности применения ЗМ и т. д.).
Наряду с достоверностью источников свидетельств следует учитывать временной период получения свидетельств и сочетание источников свидетельств оценки. Например, доверие к фактам, полученным при наблюдении за деятельностью, повышается, если они получены непосредственно при функционировании проверяемых процедур или процессов; доверие к фактам, полученным при опросе сотрудников, повышается при подтверждении данных фактов из различных источников.
Достоверность выявленных свидетельств оценки ИБ зависит также от объема выборки при формировании свидетельств оценки. Соответствующее использование объема выборки тесно связано с доверием, с которым относятся к заключениям по результатам аудита.
Некоторые свидетельства оценки основано на выборках релевантных данных. Например, свидетельства наличия ЗМ для всех систем, степени охвата персонала и сотрудников подразделения процессами обучения и осведомления ИБ и т. д. Выборка производится с целью измерения и оценивания менее чем 100 % объектов проверяемой совокупности. Задачей оценщика при проведении выборки является определение наиболее оптимального способа отбора элементов для формирования свидетельств оценки. При этом возможно:
— отобрать все элементы (сплошная проверка);
— отобрать специфические (определенные) элементы;
— отобрать отдельные элементы (сформировать аудиторскую выборку).
Сплошная проверка целесообразна, если:
— генеральная совокупность состоит из небольшого числа элементов большой стоимости;