Pages - Menu

Страницы

4.3.14

Концепция аудита ИБ от ФСТЭК

Вчера я рассказал про проект РД ФСТЭК по жизненному циклу изделий ИТ в контексте информационной безопасности. Но это еще не все. В списке разработанных проектов была и концепция аудита ИБ систем ИТ и организаций.


Предпосылка создания документа была описана в преамбуле: "Вместе с тем, в стране отсутствует единая система взглядов на государствен-ное регулирование процессов аудита информационной безопасности организаций и систем информационных технологий. На национальном рынке услуг, отвечая по-требностям рынка, различными частными фирмами предлагаются услуги по прове-дению аудита информационной безопасности организаций и их систем информаци-онных технологий. В то же время в отсутствии необходимых национальных регуля-торов такая деятельность может нанести непоправимый вред организациям".

В этом документе рассматривался целый ряд интересных вопросов - от основных видов аудита ИБ и критериев аудита до выстраивания программы аудита (security program) и вопросов взаимоотношений аудитора и проверяемых. Напомню, что это 2004-й год!


Концепция должна была стать "методологической основой для разработки нормативно-распорядительных и методических документов, направленных на решение следующих задач:

  • определение основ аудита информационной безопасности организаций различных форм собственности и их систем информационных технологий;
  • разработка методик по проведению аудита информационной безопасности организаций и их систем информационных технологий;
  • определение основ аккредитации и лицензирования (регистрации) деятельности физических и юридических лиц по аудиту информационной безопасности организаций и их систем информационных технологий;
  • сертификация программно-аппаратных средств инструментальной поддержки основных процессов аудита информационной безопасности организаций и их систем информационных технологий".
Проект концепции активно использовал подходы, изложенные в 27-й серии (на тот момент 17799) и документах BSI по аудиту безопасности. При этом сфера документа была сознательно сужена тремя типами проверяемых организаций:
  • Организации, любой формы собственности, эксплуатирующие объекты ключевых систем информационной инфраструктуры
  • Организации, любой формы собственности, использующие в своей деятельности конфиденциальную информацию, являющуюся собственностью государства
  • Не государственные организации, использующие в своей деятельности конфиденциальную информацию, не являющуюся соб-ственностью государства.
Не буду подробно цитировать этот 50-тистраничный документ. На мой взгляд ему не очень подходит понятие "Концепция"; скорее это то, что у ISO носит название "технический отчет", который описывает "что и как" - требования к аудиторам, требования к процессу аудита, виды заключений, требования к достаточности свидетельств аудита, требования к документации по аудиту и т.п.

Как и в случае с предыдущим документом если бы он был принят в 2005-м году, рынок ИБ у нас мог бы быть более цивилизованным и прозрачным, а результаты аудита были бы воспроизводимыми (про воспроизводимость результатов в Концепции тоже есть) и отношение потребителей к аудиторам и аудиту было бы не как к шаманам :-) Но увы, не срослось.

3 комментария:

  1. Ещё не факт, что этим документом ктото бы пользовался.
    Доступно много документов по аудиту на английском, но далеко не все аудиторы ими пользуются.
    Например, при аудите ЗПДн.

    ОтветитьУдалить
  2. В тот же период (2004г) были приняты и стандарты серии 15408. Переводились и другие документы, наметилась тенденция внедрения в РФ международных стандартов по ИБ и БИТ. Начались споры, насколько это целесообразно и как далеко следует идти в этом направлении. После того, как прекратилось финансирование, все заглохло.

    Судя по разрабатываемым сейчас НМД и стандартам, решено вернуться к постепенной адаптации отечественной нормативной базы к международной практике.

    ОтветитьУдалить
  3. Сергей, это не руководство к аудиту - это скорее концепция, которая определяет общие рамки

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.