WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!


Pages:     || 2 | 3 | 4 | 5 |   ...   | 8 |

Государственная техническая комиссия при Президенте Российской Федерации

ГОСУДАРСТВЕННЫЙ НАУЧНОИССЛЕДОВАТЕЛЬСКИЙ ИСПЫТАТЕЛЬНЫЙ

ИНСТИТУТ ПРОБЛЕМ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

ГОСУДАРСТВЕННОЙ ТЕХНИЧЕСКОЙ КОМИССИИ

ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ

(ГНИИИ ПТЗИ Гостехкомиссии России)

УДК 681.327.8

Экз. № _

отчет

о научноисследовательской работе

Разработка государственных стандартов в области управления безопасностью

информационных технологий

КонцепциЯ аудита информационной безопасности систем информационных технологий и организаций

(проект)

СтандартИБ

ВРИД начальника

научноисследовательского отделения

ГНИИИ ПТЗИ Гостехкомиссии России

канд. техн. наук

ст. науч. сотр.

капитан 1 ранга В.Ю. Войналович Заместитель руководителя НИР главный научный сотрудник отделения ГНИИИ ПТЗИ Гостехкомиссии России канд. техн. наук ст. науч. сотр.

Ю.К. Язов Воронеж Государственная техническая комиссия при Президенте Российской Федерации ГОСУДАРСТВЕННЫЙ НАУЧНОИССЛЕДОВАТЕЛЬСКИЙ ИСПЫТАТЕЛЬНЫЙ ИНСТИТУТ ПРОБЛЕМ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ГОСУДАРСТВЕННОЙ ТЕХНИЧЕСКОЙ КОМИССИИ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ (ГНИИИ ПТЗИ Гостехкомиссии России) КонцепциЯ аудита информационной безопасности систем информационных технологий и организаций (проект) Воронеж Содержание 1 Общая характеристика состояния аудиторской деятельности в области информационной безопасности 2 Основные виды и способы аудита информационной безопасности 3 Основные принципы аудита информационной безопасности 4 Критерии аудита информационной безопасности 5 Организационнометодологические основы проведения аудита информационной безопасности 5.1 Взаимоотношение аудиторов с представителями проверяемой организации 5.2 Управление программой аудита информационной безопасности 5.3 Этапы проведения аудита информационной безопасности 6 Инструментальное обеспечение аудита информационной безопасности 7 Требования к кадровому обеспечению аудиторской деятельности в области информационной безопасности 8 Реализация первоочередных мероприятий по обеспечению аудиторской деятельности в области информационной безопасности Список использованных источников Нормативные ссылки В настоящем проекте концепции использованы ссылки на следующие стандарты:

ГОСТ 1.1?2002 Межгосударственная система стандартизации. Термины и определения ГОСТ Р 50922?96 Защита информации. Основные термины и определения ГОСТ Р 51000.195 Система аккредитации органов по сертификации, испытательных и измерительных лабораторий. Общие требования.

ГОСТ Р 5127599 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения ГОСТ Р 40.002?2000 Система сертификации ГОСТ Р. Регистр систем качества. Основные положения ГОСТ Р 518982002 Аспекты безопасности. Правила включения в стандарты ГОСТ Р ИСО 90002001 Системы менеджмента качества. Основные положения и словарь ГОСТ Р ИСО/МЭК 1220799 Информационная технология. Процессы жизненного цикла программных средств ГОСТ Р ИСО/МЭК 15408?2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий ГОСТ Р ИСО 19011—2003 Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента Введение Настоящий документ излагает систему взглядов, основных принципов, которые закладываются в основу решения задачи аудита информационной безопасности организаций и системы информационных технологий, являющейся частью общей задачи обеспечения национальной безопасности.

Основу национальной безопасности определяет уровень экономического развития страны и в этом контексте основой развития национальной экономики является развитие бизнеса российскими организациями, который невозможен без обеспечения взаимных гарантий и доверия участвующих сторон. Доверие может развиться только в том случае, когда участники сделки ощущают надежность и безопасность, государство, в свою очередь, должно оказывать содействие бизнесу, включая содействие в поддержании должного уровня безопасности организаций. Обеспечение безопасности организации является сложной и комплексной задачей. Одним из компонентов безопасности является информационная безопасность организации и информационных систем, реализующих современные технологии обработки информации (далее систем информационных технологий). Информационная безопасность не может быть целью деятельности организации, а потому не имеет самостоятельного значения, но она является одним из мощнейших инструментов, который при правильном использовании может оказывать существенную поддержку бизнесу или деятельности организации.



Широкое внедрение систем информационных технологий, являющихся одним из компонентов, поддерживающих цели деятельности организаций, обеспечивая их эффективное и бесперебойное функционирование, также привело к необходимости реализации решений по обеспечению информационной безопасности. Осознание этой необходимости обусловило развитие теоретических и практических основ для создания систем информационной безопасности организаций и системы информационных технологий. Однако, современные требования бизнеса, предъявляемые к определению уровня обеспечения информационной безопасности, и существенный рост рисков потерь (материальных, финансовых, моральных, информационных) от нарушения информационной безопасности во всех сферах жизнедеятельности общества и государства, диктуют настоятельную необходимость использовать в своей работе обоснованные техникоэкономические методы и средства, позволяющие количественно и качественно измерять уровень защищенности организаций и систем информационной технологий, а также оценивать экономическую эффективность затрат на информационную безопасность. Особенно остро стоят вопросы защиты так называемых ключевых объектов информационной и телекоммуникационной инфраструктуры Российской Федерации. Одним из направлений, позволяющих оценить уровень обеспечения информационной безопасности, является аудит информационной безопасности.

Вместе с тем, в стране отсутствует единая система взглядов на государственное регулирование процессов аудита информационной безопасности организаций и систем информационных технологий. На национальном рынке услуг, отвечая потребностям рынка, различными частными фирмами предлагаются услуги по проведению аудита информационной безопасности организаций и их систем информационных технологий. В то же время в отсутствии необходимых национальных регуляторов такая деятельность может нанести непоправимый вред организациям.

В настоящее время в Российской Федерации существует целый ряд ведомств, ответственных за безопасность, в том числе за информационную безопасность. Они действуют на основании своих нормативных документов и руководств. В настоящей Концепции рассматриваются вопросы аудита информационной безопасности организаций и систем информационных технологий применительно к сфере компетенции Федеральной службы по техническому и экспортному контролю Российской Федерации.

Концепция предназначена для Федеральных органов и организаций, ответственных за безопасность ключевых систем, для собственников и пользователей конфиденциальной информации, требующей защиты в соответствии с законодательством Российской Федерации, для организаций любой формы собственности, обрабатывающих конфиденциальную информацию, не являющуюся собственностью государства, разработчиков средств и систем защиты конфиденциальной информации, для организацией и лиц, организующих и выполняющих аудит информационной безопасности.

Концепция является методологической основой для разработки нормативнораспорядительных и методических документов, направленных на решение следующих задач:

определение основ аудита информационной безопасности организаций различных форм собственности и их систем информационных технологий;

разработка методик по проведению аудита информационной безопасности организаций и их систем информационных технологий;

определение основ аккредитации и лицензирования (регистрации) деятельности физических и юридических лиц по аудиту информационной безопасности организаций и их систем информационных технологий;

сертификация программноаппаратных средств инструментальной поддержки основных процессов аудита информационной безопасности организаций и их систем информационных технологий.





Определения В настоящем документе применяют следующие термины с соответствующими определениями.

Аккредитация: официальное признание органом по аккредитации компетентности физического или юридического лица выполнять работы в определенной области оценки соответствия [1] Аккредитация предприятия в качестве органа по сертификации средств защиты информации по требованиям безопасности информации: официальное признание технической компетентности предприятия и его независимости от разработчиков, изготовителей (поставщиков) и заказчиков (потребителей) испытываемых средств защиты информации для организации и проведения испытаний в соответствии с требованиями стандартов или иных нормативных документов [2] Аттестация (программноаппаратных средств): подтверждение экспертизой и представлением объективных доказательств того, что конкретные требования к конкретным объектам полностью реализованы (ГОСТ Р ИСО/МЭК 12207) Аттестация (организации): проверка организации с целью определения ее соответствия установленным требованиям (критериям) аккредитации (ГОСТ Р 51000.1) Аттестация объектов информатизации: комплекс организационнотехнических мероприятий, в результате которых посредством специального документа "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативнотехнических документов по безопасности информации, утвержденных Гостехкомиссией России [3] Аудит: систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита Аудит информационной безопасности системы информационных технологий: аудит с целью установления степени выполнения требований по обеспечению состояния защищенности системы информационных технологий Аудит информационной безопасности организации: Периодический, независимый от объекта аудита и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организациях установленных требований по обеспечению информационной безопасности.

Аудитор: лицо, обладающее компетентностью для проведения аудита (ГОСТ Р ИСО 19011) Аудитор: физическое лицо, отвечающее квалификационным требованиям, установленным уполномоченным федеральным органом, и имеющее квалификационный аттестат аудитора [4] Безопасность информации: состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз [5] Безопасность организации: состояние защищенности интересов (целей) организации в процессе их реализации в условиях внутренних и внешних угроз Выводы аудита: результаты оценивания свидетельств аудита относительно критериев аудита Примечание Выводы аудита могут указывать на соответствие или несоответствие критериям аудита или указывать на возможности улучшения (ГОСТ Р ИСО 19011) Группа по аудиту: один или несколько аудиторов, проводящих аудит, которых, при необходимости, поддерживают технические эксперты (ГОСТ Р ИСО 19011) Заказчик аудита: организация или лицо, заказавшее аудит Примечание Заказчиком аудита может быть проверяемая организация или любая другая организация, имеющая право заказывать аудит в соответствии с законом или договором (ГОСТ Р ИСО 19011) Заключение по результатам аудита: итоги аудита, подготовленные группой по аудиту после анализа целей аудита и всех выводов аудита (ГОСТ Р ИСО 19011) Защитная мера: мера, используемая для уменьшения риска (ГОСТ Р 51898) Защита информации: деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию (ГОСТ Р 50922) Информационная безопасность организации: состояние защищенности интересов (целей) организации в информационной сфере в условиях внутренних и внешних угроз Примечание Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений.

Pages:     || 2 | 3 | 4 | 5 |   ...   | 8 |










© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.