Будьте энергичны сами и возбуждайте энергию в других; сосредоточивайтесь на скорости как на факторе конкурентной борьбы, дающем колоссальное преимущество. (Джек Уэлч)

Зарубежные подходы к аудиту и сертификации

Особенности зарубежных подходов

Современные методы управления ИБ способны обеспечить решение любых корректно поставленных задач в области ИБ, уровень безопасности любой технологии может быть сколь угодно высок.

Наиболее существенные аспекты методик оценки эффективности подсистемы безопасности (в соответствии с BS7799) рассмотрены в приложении. Однако затраты на обеспечение высокого уровня безопасности могут оказаться также чрезвычайно высокими.

Нахождение разумного компромисса, выбор приемлемого уровня безопасности при допустимых затратах является обязательным условием постановки задачи обеспечения ИБ.

Постановка задачи нахождения компромисса между эффективностью подсистемы безопасности и ее стоимостью предполагает, как минимум, что:

  • существует система показателей для оценки эффективности подсистемы безопасности и методика их измерения;
  • существуют люди (должностные лица), уполномоченные принимать решение о допустимости определенного уровня остаточного риска;
  • существует система мониторинга, позволяющая отслеживать текущие параметры подсистемы безопасности.

Наименее формализованный аспект этой задачи — как реально выбрать такой компромисс.

Искусство поиска компромисса

Умение правильно оценить угрозы ИБ в конкретной ситуации, найти систему контрмер, обладающих приемлемым соотношением стоимость/эффективность является одним из необходимых качеств аудитора.

Выбор контрмер с приемлемым значением стоимость/эффективность

В ISACA существуют учебные программы, помогающие овладеть этими навыками. В качестве примера рассмотрим интерактивную обучающую программу TAKO, доступную по адресу http://www.isaca.org/tako.htm.

Пример. Аудит ИБ подсистемы расчета и выдачи зарплаты корпорации

Корпорация, имеющая около 5 тысяч сотрудников, расположена в центральном офисе и 8 филиалах, находящихся в других городах. Расчет зарплаты производится в центральном офисе. Требуется оценить угрозы ИБ, предложить адекватную систему контрмер.

План проведения аудита ИБ предусматривает рассмотрение следующих технологических стадий (Рис. 9), решения этой задачи (Рис. 9, Рис. 10, Рис. 11, Рис. 12, Рис. 13, Рис. 14 и Рис. 15 получены с помощью упомянутой выше программы TAKO):

  • Учет фактически отработанного сотрудниками времени.
  • Передача данных для расчета в центральный офис.
  • Работа с массивом персональных данных, используемых при начислении зарплаты.
  • Расчет зарплаты.
  • Передача платежных ведомостей в банк.
  • Отчеты и справки по зарплате.
  • Работа с управляющей информацией подсистемы (временные зоны, ставки по категориям, фиксированная часть премиальных и т.д.).

Рисунок 9. Стадии проведения аудита ИБ подсистемы расчета и выдачи зарплаты.

Для каждой стадии составляется список факторов риска, эксперту предлагается выбрать наиболее значимый фактор и ранжировать остальные. затем рассматриваются возможные контрмеры, характеризуемые стоимостью и эффективностью. Требуется подобрать набор мер с оптимальным (по мнению аудитора) соотношением стоимость/эффективность.

Рассмотрим, например, технологическую стадию: работа с массивом персональных данных, используемых при начислении зарплаты (Рис. 10).

Был использован следующий набор угроз:

  • Т1 — Данные вводит неавторизованный пользователь (оператор).
  • Т2 — Данные, используемые для выдачи зарплаты, посылаются в банк с неверными банковскими реквизитами.
  • Т3 — Оператором вводятся фиктивные данные на несуществующих людей (мошенничества с получением денег за несуществующих сотрудников).
  • Т4 — Несанкционированный доступ (на чтение) к платежным документам внешним нарушителем.
  • Т5 — В бухгалтерию поступают фальсифицированные платежные ведомости.
  • Т6 — Информация в базе изменяется в результате телефонного разговора, данные оказываются некорректными.
  • Т7 — Частично отсутствуют необходимые для начисления зарплаты данные.
  • Т8 — Описки в количестве нулей — по ошибке оператора размер зарплаты сотрудника увеличивается в 10 раз.
  • Т9 — Банковские реквизиты в базе данных некорректны.
  • Т10 — Информация, на основе которой начисляется зарплата, изменяется без уведомления ответственного за это лица.

Рисунок 10. Угрозы безопасности при работе с массивом персональных данных.

Аудитору предлагается выбрать наиболее значимую (вероятную) угрозу. Правильным ответом является: ошибки оператора (Т8), остальные угрозы могут быть ранжированы так, как показано на Рис. 11.

Рисунок 11. Ранжирование угроз безопасности.

затем выбирается подходящий набор контрмер из следующего списка (Рис. 12):

Рисунок 12. Набор контрмер.

Каждая из контрмер требует некоторых затрат и уменьшает вероятность реализации нескольких угроз. Аудитор выбирает набор контрмер, обладающий подходящим соотношением стоимость/эффективность.

Например, сравнительно дешевая контрмера — просмотр журнала изменений контролером — является достаточно эффективной. Она уменьшает вероятности реализации практически всех угроз (Рис. 13), а более дорогая контрмера — двойной ввод при внесении изменений — в этом смысле менее эффективна (Рис. 14).

Рисунок 13. Эффективность просмотра журнала изменений.

Рисунок 14. Эффективность дублирования ввода при внесении изменений.

Подходящий по соотношению стоимость/эффективность набор контрмер может выглядеть следующим образом (Рис. 15). На рисунке указан дополнительный эффект применения первой контрмеры.

Рисунок 15. Суммарная эффективность набора контрмер.





Также на сайте:
О концепции развития национальной системы стандартизации
Концепция развития аудиторских стандартов

Подготовлено при поддержке:













Новое на форуме


Наши рассылки

на Subscribe.Ru (описание):

на Mail.ru(описание):

О проекте

quality.eup.ru - один из самых старых в рунете ресурсов, посвященных менеджменту качества во всем его разнообразии.

Нам более 7 лет, и все это время ресурс пополняется новыми и новыми материалами, почти ежедневно. Если вы ищете информацию о менеджменте вообще и управлении качеством в частности, скорее всего, вы найдете эту информацию здесь.

Кроме отличной и действительно большой подборки статей, действует живой форум по менеджменту качества.

Добавить в "Избранное"

Рекомендуем

Наш новый проект:
Все о качестве менеджмента
Избранные книги

Реклама на сайте





Как сюда попасть?