В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
До рассмотрения непосредственно методологии аудита важно взвесить причины для его проведения, а также обозначить отличие между понятиями "конфиденциальность" и "защищенность от НСД".
Цель аудита защищенности о НСД - оценка состояния корпоративных мер безопасности в данной области на соответствие требованиям корпоративных политик и законодательства в области ИБ. Границы аудита, как правило, включают оценку процедур, выполняемых в течение типового жизненного цикла информации. Поскольку в настоящее время объем информации представляет из себя некий "рог изобилия", аудит защищенности от НСД отражает статус риска нарушения правил обращения с информацией, а также предлагает рекомендации, которые могут уменьшить репутационный риск корпоративного уровня.
Очень часто понятия "конфиденциальность" и "защищенность" используются как взаимозаменяемые. Но в контексте данной статьи конфиденциальность следует рассматривать как защиту информации от распространения без разрешения на то ее владельца. Защищенность же от НСД (иногда используется термин "приватность") должна рассматриваться как некая независимость от вмешательства в закрытые для посторонних области деятельности. К примеру, работающие над IТ-проектом вашей компании внешние консультанты или подрядчики могут иметь доступ к информации закрытого характера (персональные данные работников, базы данных клиентов и т.п.), но они не вправе распространять ее среди третьих лиц, соблюдая требования по конфиденциальности.
Что же касается защищенности от НСД, то законодательство большинства государств, включая Россию, гарантирует неприкосновенность частной деятельности, а на персональном уровне любому жителю нашей планеты, в соответствии со ст. 12 "Всеобщей декларации прав человека", гарантируется право на защиту закона от вмешательства или посягательства в его личную жизнь, включая информацию, с которой он обращается.
Исходя из вышесказанного, описанная в нескольких словах "концепция" защищенности от вмешательства в частную жизнь может быть расширена и трансформирована на корпоративный уровень.
В рамках данной статьи мы рассмотрим высокоуровневые этапы методологии, которые могут быть адаптированы специалистами в области аудитов IТ и ИБ при проведении контрольных мероприятий.
Рассмотрим основные этапы более подробно.
Формирование контекста
Ключевой проблемой любой дискуссии, связанной с областью защищенности от НСД, является субъективный подход ее участников по причине того, что нет четкого определения термина "защищенность". Интерпретация этого понятия может варьироваться от страны к стране, от одной организации к другой. К примеру, во многих организациях сотрудников при выполнении процедуры входа в корпоративную IТ-среду предупреждают о мониторинге их активности и сборе информации различного рода. На эту тему мы видели много дебатов. Сторонники сбора информации о действиях сотрудников с использованием ресурсов компании (компьютеры, Интернет) в рабочее время не считают это вторжением в частную жизнь, даже в том случае, если компания продает эти сведения третьей стороне. Противники же, напротив, обвиняют компании в нарушении права на неприкосновенность личной жизни. Ответ на вопрос, кто же является владельцем этих данных (компания, которая их "коллекционирует", или сотрудник, который их "генерирует"), может дать четкое понимание для аудиторов, в каких границах должен быть проведен аудит. Крайне важно при этом убедиться, что высшее руководство единогласно разделяет критерии, которые будут использованы при проведении аудита, а также предполагаемый эффект от предлагаемого аудита.
Идентификация рисков
Провести идентификацию рисков можно с использованием обычно применяемых аудиторами методов, инструментов и технологий. В рамках данной статьи мы не станем приводить все возможные риски в изучаемой нами области ИБ, затронем лишь некоторые из них, которые желательно включить в границы аудита:
Анализ рисков
В подавляющем большинстве случаев анализ рисков состоит из двух основных шагов:
Риски, присущие или унаследованные, ранжируются в стандартной таблице по степени влияния и вероятности их реализации.
Эффективность встроенных контролей должна быть оценена с точки зрения минимизации рисков. Ниже приведен ряд контролей в области ИБ, которые могут быть использованы компаниями:
Оценка рисков
На данном этапе производится "вычисление" остаточного риска на основе данных о присущем риске и эффективности имеющихся контролей. Остаточный риск – это уровень риска, который остается от уровня присущего или унаследованного риска после применения к нему всех подходящих контролей из имеющегося набора.
Управление рисками
Преимущественно владельцем этого этапа является руководство компании, и роль аудитора обычно сводится к подтверждению адекватности мер, принятых для минимизации рисков. В качестве базиса для оценки мероприятий по минимизации рисков допустимо использовать величину остаточных рисков. Собственно мероприятия могут включать в себя повышение эффективности действующих контролей, а также разработку и внедрение новых, относящихся непосредственно к области защищенности от НСД. Существует несколько подходов к управлению рисками: снижение до приемлемого уровня, передача рисков или их избежание. Выбираемый компанией подход зависит как от уровня ее риск-аппетита, так и от эффективности соотношения затрат к результату.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2014