04.03.2014

Концепция аудита ИБ от ФСТЭК

Вчера я рассказал про проект РД ФСТЭК по жизненному циклу изделий ИТ в контексте информационной безопасности. Но это еще не все. В списке разработанных проектов была и концепция аудита ИБ систем ИТ и организаций.


Предпосылка создания документа была описана в преамбуле: "Вместе с тем, в стране отсутствует единая система взглядов на государствен-ное регулирование процессов аудита информационной безопасности организаций и систем информационных технологий. На национальном рынке услуг, отвечая по-требностям рынка, различными частными фирмами предлагаются услуги по прове-дению аудита информационной безопасности организаций и их систем информаци-онных технологий. В то же время в отсутствии необходимых национальных регуля-торов такая деятельность может нанести непоправимый вред организациям".

В этом документе рассматривался целый ряд интересных вопросов - от основных видов аудита ИБ и критериев аудита до выстраивания программы аудита (security program) и вопросов взаимоотношений аудитора и проверяемых. Напомню, что это 2004-й год!


Концепция должна была стать "методологической основой для разработки нормативно-распорядительных и методических документов, направленных на решение следующих задач:

  • определение основ аудита информационной безопасности организаций различных форм собственности и их систем информационных технологий;
  • разработка методик по проведению аудита информационной безопасности организаций и их систем информационных технологий;
  • определение основ аккредитации и лицензирования (регистрации) деятельности физических и юридических лиц по аудиту информационной безопасности организаций и их систем информационных технологий;
  • сертификация программно-аппаратных средств инструментальной поддержки основных процессов аудита информационной безопасности организаций и их систем информационных технологий".
Проект концепции активно использовал подходы, изложенные в 27-й серии (на тот момент 17799) и документах BSI по аудиту безопасности. При этом сфера документа была сознательно сужена тремя типами проверяемых организаций:
  • Организации, любой формы собственности, эксплуатирующие объекты ключевых систем информационной инфраструктуры
  • Организации, любой формы собственности, использующие в своей деятельности конфиденциальную информацию, являющуюся собственностью государства
  • Не государственные организации, использующие в своей деятельности конфиденциальную информацию, не являющуюся соб-ственностью государства.
Не буду подробно цитировать этот 50-тистраничный документ. На мой взгляд ему не очень подходит понятие "Концепция"; скорее это то, что у ISO носит название "технический отчет", который описывает "что и как" - требования к аудиторам, требования к процессу аудита, виды заключений, требования к достаточности свидетельств аудита, требования к документации по аудиту и т.п.

Как и в случае с предыдущим документом если бы он был принят в 2005-м году, рынок ИБ у нас мог бы быть более цивилизованным и прозрачным, а результаты аудита были бы воспроизводимыми (про воспроизводимость результатов в Концепции тоже есть) и отношение потребителей к аудиторам и аудиту было бы не как к шаманам :-) Но увы, не срослось.

3 коммент.:

Сергей Борисов комментирует...

Ещё не факт, что этим документом ктото бы пользовался.
Доступно много документов по аудиту на английском, но далеко не все аудиторы ими пользуются.
Например, при аудите ЗПДн.

Александр Германович комментирует...

В тот же период (2004г) были приняты и стандарты серии 15408. Переводились и другие документы, наметилась тенденция внедрения в РФ международных стандартов по ИБ и БИТ. Начались споры, насколько это целесообразно и как далеко следует идти в этом направлении. После того, как прекратилось финансирование, все заглохло.

Судя по разрабатываемым сейчас НМД и стандартам, решено вернуться к постепенной адаптации отечественной нормативной базы к международной практике.

Алексей Лукацкий комментирует...

Сергей, это не руководство к аудиту - это скорее концепция, которая определяет общие рамки