74 Национальные и международные стандарты и руководства по аудиту информационной безопасности

Аудит ИБ в ИС - процесс сбора сведений, позволяющих установить поддерживается ил безопасность ресурсов организации (включая данные); обеспечиваются ли необходимые параметры целостности и доступности данных; достигаютс яли цели организации в части эффективности ИТ.

- Руководящие документы (РД) Гостехкомиссии при Президенте РФ (с марта 2004, ФСТЭК России)
- Практические рекомендации по управлению информационной безопасностью - стандарт BS 7799 (UK)
- Управление в информационных технологиях - COBIT (международная ассоциация аудита и управления информационными системами)
- стандарты NIST (USA) по обеспечению ИБ NIST 800-16, 800-18, 800-30

Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность, позволяющая убедиться в их соответствии требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Гостехкомиссией РФ.

Под аттестацией объектов информатизации подразумевается комплекс организационно-технических мероприятий, в результате которых подтверждается, что объект соответствует требованиям стандартов или иных нормативно технических документов по безопасности информации, Гостехкомиссией РФ (ФСТЭК - Федеральная служба по техническому и экспортному контролю).

Сертификация - подтверждение соответствия заявленных и фактических характеристик в области БИ для приложений, компьютерных систем инфраструктуры.

Аккредитация - разрешение использования ИС общего применения или специализированных приложений (имеющиз спец-требования к ИБ) для обработки информации.

Наиболее распространенные в Европе стандарты: ISO/IEC 17799:2000, BS7799, COBIT

Сущность процедуры аудита безопасности на соответствие системы управления ИБ компрании требованиям стандарта заключается в проверке выполнения всех положений стандарта.

По результатам аудита создается список замечаний, выявленных несоответатсвий требованиям стандарта и рекомендаций по их исправлению.

В стандарте рассматриваются следующие категории несоответствия:
- Существенное несоответствие: не выполняется одно или несколько базовых требований стандарта либо принимаются неадекватные меры по обеспечению конфиденциальности, целостности или доступности критически важной информации компании, приводящие к недопустимому информационному риску.
- Несущественное несоответствие: невыполняется одно или несколько базовых требований стандарта либо принимаются неадекватные меры по обеспечению конфиденциальности, целостности или доступности критически важной информации компании, приводящие к недопустимому информациоонму риску.

Несущественное несоответствие: не соблюдаются некоторые второстепенные требования, что несколько повышает информационные риски компании или снижает эффективность мер обеспечения ее ИБ.

Каждое выявленное несоответствие непременно должно иметь ссылку на требование стандарта.