Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний и внутренний аудит. Внешний аудит – это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций и акционерных обществ это является обязательным требованием. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ аудита.
Целями проведения аудита безопасности являются:
• анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС;
• оценка текущего уровня защищенности ИС;
• локализация узких мест в системе защиты ИС;
• оценка соответствия ИС существующим стандартам в области информационной безопасности;
• выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.
Пожалуй, этим и исчерпывается набор целей проведения аудита безопасности, но только в том случае, если речь идет о внешнем аудите.
В число дополнительных задач, стоящих перед внутренним аудитором, помимо оказания помощи внешним аудиторам, могут также входить:
• разработка политик безопасности и других организационно-распорядительных документом по защите информации и участие в их внедрении в работу организации;
• постановка задач для ИТ персонала, касающихся обеспечения защиты информации;
• участие в обучении пользователей и обслуживающего персонала ИС вопросам обеспечения информационной безопасности;
• участие в разборе инцидентов, связанных с нарушением информационной безопасности;
• и другие.
Необходимо отметить, что все перечисленные выше «дополнительные» задачи, стоящие перед внутренним аудитором, за исключением участия в обучении, по существу аудитом не являются. Аудитор по определению должен осуществлять независимую экспертизу реализации механизмов безопасности в организации, что является одним из основных принципов аудиторской деятельности. Если аудитор принимает деятельное участие в реализации механизмов безопасности, то независимость аудитора утрачивается, а вместе с ней утрачивается и объективность его суждений, т. к. аудитор не может осуществлять независимый и объективных контроль своей собственной деятельности. Однако, на практике, внутренний аудитор, порой, являясь наиболее компетентным специалистом в организации в вопросах обеспечения информационной безопасности, не может оставаться в стороне от реализации механизмов защиты. (А если он таким специалистам не является, то какая от него может быть практическая польза?) К тому же почти всегда существует дефицит квалифицированных кадров именно в этой области.
По крайней мере, деятельное участие во внедрении той же подсистемы аудита безопасности, которая смогла бы предоставлять аудитору исходные данные для анализа текущей ситуации, он принять может и должен. Конечно, в этом случае, аудитор уже не сможет объективно оценить реализацию этот подсистемы и она естественным образом выпадает из плана проведения аудита. Точно также, внутренний аудитор может принять деятельное участие в разработке политик безопасности, предоставив возможность оценивать качество этих документов внешним аудиторам.
Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ аудита АС, который включает в себя следующее:
Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!
Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!
• Инициирование процедуры аудита;
• Сбор информации аудита;
• Анализ данных аудита;
• Выработка рекомендаций;
• Подготовка аудиторского отчета.
Инициирование процедуры аудита
Аудит проводится не по инициативе аудитора, а по инициативе руководства компании, которое в данном вопросе является основной заинтересованной стороной. Поддержка руководства компании является необходимым условием для проведения аудита.
Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными представители большинства структурных подразделений компании. Действия всех участников этого процесса должны быть скоординированы.
Поэтому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:
• права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;
• аудитором должен быть подготовлен и согласован с руководством план проведения аудита;
• в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.
На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. Одни информационные подсистемы компании не являются достаточно критичными и их можно исключить из границ проведения обследования. Другие подсистемы могут оказаться недоступными для аудита из-за соображений конфиденциальности.
Границы проведения обследования определяются в следующих терминах:
• Список обследуемых физических, программных и информационных ресурсов;
• Площадки (помещения), попадающие в границы обследования;
• Основные виды угроз безопасности, рассматриваемые при проведении аудита;
• Организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).
План и границы проведения аудита обсуждается на рабочем собрании, в котором участвуют аудиторы, руководство компании и руководители структурных подразделений.
Аудит информационной безопасности
В настоящее время на рынке информационной безопасности всё чаще говорят об аудите информационной безопасности как об универсальной услуге, которая может быть использована для повышения уровня ИБ компании. При этом, как показывает практика, разные компании по-разному представляют себе данный вид услуг. В настоящем анализе приводятся ответы на наиболее часто задаваемые вопросы (FAQ, FrequentlyAskedQuestions), связанные с аудитом информационной безопасности.
В настоящее время на рынке информационной безопасности всё чаще говорят об аудите информационной безопасности как об универсальной услуге, которая может быть использована для повышения уровня ИБ компании. При этом, как показывает практика, разные компании по-разному представляют себе данный вид услуг. В настоящем анализе приводятся ответы на наиболее часто задаваемые вопросы (FAQ, FrequentlyAskedQuestions), связанные с аудитом информационной безопасности.
Несмотря на то, что в настоящее время ещё не сформировалось устоявшегося определения аудита безопасности, в общем случае его можно представить в виде документированного процесса сбора и анализа информации с целью получения объективной оценки уровня защищённости компании от возможных угроз безопасности.
Аудит может быть внешним или внутренним. Внешний аудит проводится независимой компанией, которая предоставляет консалтинговые услуги в области информационной безопасности. Внутренний аудит осуществляется силами службы внутреннего контроля компании, отделом информационной безопасности или ИТ.
Существует множество случаев, в которых целесообразно проводить аудит безопасности. В качестве примера можно привести следующие задачи, которые могут быть решены при его помощи.
Во-первых, когда нужна оценка уровня эффективности существующих в компании средств защиты информации.
Во-вторых, когда стоит задача приведения действующей системы безопасности в соответствие требованиям российского или международного законодательства.
В-третьих, нужна систематизация и упорядочивание существующих мер защиты информации. А затем, в-четвертых, возможно, при подготовке технического задания на проектирование и разработку системы защиты информации.
В-пятых (а, возможно, и во-первых), для обоснования инвестиций на развитие системы обеспечения информационной безопасности компании.
И, наконец, при расследовании инцидентов, связанных с нарушением информационной безопасности.
Как правило, инициатором процедуры аудита являются руководство предприятия, отдел автоматизации или информационной безопасности, а также служба внутреннего контроля. В ряде случаев аудит также может проводиться по требованию страховых компаний или регулирующих органов.
В общем случае аудит безопасности, вне зависимости от формы его проведения, состоит из четырёх основных этапов, каждый из которых предусматривает выполнение определённого круга задач.
Первоначально с компанией-заказчиком заключается соглашение о неразглашении, в рамках которого исполнитель берёт на себя обязательства по сохранению в тайне всей конфиденциальной информации, которая будет получена им в процессе выполнения работ.
После подписания соглашения о неразглашении совместно с заказчиком разрабатывается регламент (техническое задание), устанавливающий состав и порядок проведения работ. Основная задача регламента заключается в определении границ, в рамках которых будет проведено обследование. Регламент является тем документом, который позволяет избежать взаимных претензий по завершению аудита, поскольку чётко определяет обязанности сторон.
На третьем этапе, в соответствии с согласованным регламентом, осуществляется сбор исходной информации. Методы сбора информации включают интервьюирование сотрудников заказчика, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств.
Четвертый этап работ предполагает проведение анализа собранной информации с целью оценки текущего уровня защищённости АС заказчика. По результатам проведённого анализа на четвёртом этапе проводится разработка рекомендаций по повышению уровня защищённости АС от угроз информационной безопасности.
Аудит пожарной безопасности
Независимая оценка пожарного риска (пожарный аудит) предполагает оценку соответствия зданий, сооружений и прочих конструкций требованиям пожарной безопасности.
При грамотно проведенном расчете пожарного риска можно снизить расходы, сэкономив денежные средства на монтаже дорогостоящих систем пожарной защиты. При этом уровень пожарной безопасности на объекте собственника не снизится. Пожарный аудит позволяет доказать ГПН, что требования ПБ соблюдены в достаточном объеме, так как при соответствии пожарного риска допустимым значениям пожарная безопасность здания, сооружения и других типов строений считается полностью обеспеченной.
Так как ФЗ № 123 обязателен к соблюдению на всех объектах РФ вне зависимости от даты начала эксплуатации, расчет и оценку пожарных рисков можно заказывать для любых зданий, строений и сооружений.
Избежание плановых проверок и штрафных санкций от органов государственного пожарного надзора. Согласно Приказу МЧС №375 при получении заключения по независимой оценке пожарного риска до утверждения ежегодного плана проверок органом ГПН объект освобождается от проверок на три года.
Сокращение затрат. На основании ФЗ № 123 при наличии ряда условий возможно снижение уровня требований пожарной безопасности к объекту, в том числе отказ от необходимости устройства второго эвакуационного выхода и прочее.
Получение консультаций и обмен опытом с высококвалифицированными экспертами в течение всего срока действия заключения. При заказе наших услуг собственник и ответственные за пожарную безопасность объекта лица, получают развернутую объективную оценку уровня ПБ. В большинстве случаев при наличии заключения по независимой оценке пожарного риска требования сотрудников ГПН выполнять не обязательно.
Для производственных зданий и сооружений пожарный риск не должен превышать 0,000001, а если сотрудники прошли обучение правилам поведения в случае пожара, допускается значение 0,0001.
Согласно статье 6 ФЗ № 123, расчеты пожарных рисков осуществляются при разработке декларации ПБ. Инспектора ГПН наделены полномочиями по проверке исходных данных, указанных в расчете пожарного риска, и соответствия проведенных вычислений утвержденным методикам. В случае выявления нарушений инспектор государственного пожарного надзора выписывает предписание.
Срок действия расчета пожарного риска не ограничен, т. е., в отличие от пожарного аудита, не будет необходимости продлять заключение через 3 года.
Если инспектор государственного пожарного надзора выявил на объекте менее 6 нарушений пожарной безопасности, то, скорее всего, у него было ограничено время на проверку или он отнесся поверхностно. Во время следующей проверки появятся ранее не выявленные ошибки, возникнут основания для внеплановых осмотров зданий, строений или сооружения, могут быть выписаны штрафы.
Избежать этих неприятностей можно, заранее позаботившись об этом одним из двух способов:
1. Соблюсти все требования пожарной безопасности, а это практически нереально, так как нормативных документов более 1500;
2. Заказать пожарный аудит и больше не беспокоиться.
В законодательных актах, описывающих требования пожарной безопасности объектов, есть множество условий и нюансов, поэтому проверяющий инспектор без труда сможет выявлять все новые нарушения, выписывая за них солидные штрафы и предписания по устранению несоответствий. Получение заключения по оценке пожарного риска в здании, строении или сооружении позволит 3 года не думать о плановых проверках, при необходимости документ можно продлить. А если на объекте не осуществляется плановый контроль пожарной безопасности органами Госпожнадзора, то и риск появления оснований для внепланового контроля значительно снижается.
Срок оказания услуги от 7 дней, а окончательная ее стоимость формируется при получении информации:
• о классе пожарной опасности (требуются данные о функциональном назначении строения);
• этажности анализируемого объекта;
• планировке помещений с экспликацией;
• нарушениях пожарной безопасности, выявленных Госпожнадзором и указанных в предписании (при проведении проверки органом ГПН).
Расчет пожарного риска требуется в следующих случаях:
• при проектировании зданий, строений и сооружений;
• разработке декларации пожарной безопасности;
• наличии неустранимых или трудноустранимых нарушений требований пожарной безопасности (например, при необходимости создания второго эвакуационного выхода, монтажа дорогостоящей системы пожаротушения и проч.);
• разработке специальных ТУ;
• не полностью выполненных требованиях пожарной безопасности, установленных техрегламентами на основании ФЗ №123;
• заинтересованности собственника объекта или ответственного лица в пожарной безопасности здания или сооружения и квалифицированной оценке обстановки.
Аудит системы безопасности
Аудит систем безопасности - это процедура оценки работоспособности вновь возведенной, уже работающей или находящейся только в разработке системы безопасности и подразумевает проведение комплексной проверки независимыми специалистами организации по системам безопасности, системы контроля и управления доступом, видеонаблюдения, охранной сигнализации применяемых технических и технологических решений, а также проверку технического состояния оборудования, механизмов, зданий и сооружений, инженерных коммуникаций, систем и сетей, также проверку технической и проектной документации с рекомендациями относительно обоснованности применяемых технических/технологических решений, способов управления безопасностью и соответствия технического состояния инженерных слаботочных систем и оборудования требованиям безопасности.
Зачем нужен Аудит системы безопасности?
Например: Некая компания решила установить систему видеонаблюдения и стала искать, кто может сделать это: составить коммерческое предложение, поставить и смонтировать систему. Представитель монтажной компании предлагает Вам то или иное оборудование, которое, по его мнению, отвечает Вашим запросам. В редких случаях в вашей компании работает специалист из этой области обычно это максимум системный администратор или вообще сотрудник службы безопасности, но они не знают о всех тонкостях и технических характеристиках поставляемого оборудования.
И вот ваша компания обладатель системы безопасности, но через несколько месяцев у вас пропадает картинка на экране или начинается какая-то рябь или перестает показывать одна из камер (бывает и больше) и вы пытаетесь выяснить почему, нанимаете опять компанию, чтобы устранить неисправности, и так до бесконечности. А проблемы не заканчиваются, они растут как снежный ком. Тут возникает вопрос: в чем причины, кто виноват?
Рассмотрим два варианта:
1 вариант.
Как и все, вы хотите купить дешевле и лучше. А получается, как всегда.
2 вариант.
Монтажная компания как и все продавцы хочет больше заработать. Отсюда вытекает кабель не медный, а обмедненый, оборудование низкого качества, программное обеспечение дешевое или бесплатное и не соответствует предъявленным, заявленным техническим требованиям. Кабельные трассы не пронумерованы, смонтированы с нарушением норм и так далее и тому подобное. По этому, при подписании договора вы можете привлечь нашу компанию для представления ваших интересов при составлении коммерческого предложения и технического задания, для проверки хода выполнения работ, контроля устанавливаемого Вам оборудования. Если же у вас все уже установлено и вы хотите заменить или расширить систему безопасности или просто узнать мнение специалистов о вашей системе о её эффективности вы всегда можете обратится в нашу компанию за помощью.
Мы проводим технический аудит систем безопасности и имеем опыт аудита объектов, Экономия компании после проведенного аудита составляет до 30 % от первоначально предлагаемой суммы поставщика системы видеонаблюдения.
Аудит систем безопасности включает в себя:
1. Осмотр системы на предмет выявления видимых механических повреждений.
2. Проверка крепления оборудования и кабелей.
3. Проверка степени работоспособности программного обеспечения.
4. Проверка настроек системы.
5. Проверка системных блоков и узлов на предмет проведения профилактической чистки.
6. Снятие показаний силы тока и напряжения на блоках питания, проверка емкости аккумуляторных батарей.
7. Проверка разъемов и соединений.
8. Проверка работоспособности системы в целом.
9. Проверка емкости жестких дисков видеосерверов, видеорегистраторов и расчет приемлемой глубины архива необходимой заказчику.
10. Проверка качества изображения с камер видеонаблюдения.
11. Рекомендации по улучшению, модернизации системы безопасности в целом.
12. Рекомендации по сервисному обслуживанию системы безопасности.
13. Рекомендации по ведению документации по системе безопасности.
14. Рекомендации операторам по работе с системами безопасности.
15. Установление технических характеристик оборудования систем безопасности и рекомендации по их использованию непосредственно для выполнения тех или иных задач поставленных перед системой безопасности.
16. Проверка кабельных трасс на предмет их правильной прокладки, соединения и маркировки по каждой камере отдельно.
17. Проверка и рекомендации по используемому программному обеспечению в системе безопасности.
18. Предоставление письменного подробного отчета по аудиту системы безопасности.
Поведенческий аудит безопасности
Стоит признать, что во многих организациях охрана труда сводится к заполнению многочисленных бумажек, журналов, реагированию на уже произошедшие несчастные случаи, поиск виновных и их наказание. Качественно иным уровнем организации охраны труда является использование механизмов предупреждения и выявления потенциально опасных ситуаций (действий и условий). Поведенческий аудит безопасности (далее ПАБ) относится к одному из видов таких механизмов.
Поведенческий аудит безопасности – это часть системы управления охраной труда. По сути, ПАБ — это наблюдение за действиями работника, его рабочим участком в процессе выполнения работником производственного задания с последующей беседой между работником и аудитором. Процедура проведения поведенческого аудита безопасности зависит от специфики организации, поэтому организация регламентирует ее локальным документом.
В качестве аудитора(ов) выступают руководители и специалисты всех уровней: генеральный директор, руководители подразделений/отделов, начальники участков, мастера смен, сотрудники отдела охраны труда и т.д. Разница состоит в масштабах участков наблюдения, охватываемых данными сотрудниками: генеральный директор проводит аудит на всех участках организации, а, например, мастера смен только на участках, за которые они непосредственно отвечают.
Частота проведения поведенческого аудита безопасности в различных организациях может отличаться. Главное, чтобы он проводился на регулярной основе. Для этого составляются графики проведения ПАБ. В графике отражается конкретный день или частота проведения поведенческого аудита безопасности, наименование участка или подразделения, указывается, кто выступает в роли аудитора(ов).
Перед проведением поведенческого аудита безопасности руководители разных уровней и специалисты, принимающие в нем участие, должны быть обучены методам и навыкам наблюдения и общения, порядку заполнения отчета. Как правило, в крупных компаниях эти функции ложатся на специально обученных тренеров.
Продолжительность нахождения аудитора(ов) на рабочем участке может составлять от 20 до 40 минут (в данное время не включен процесс оформления отчета по результатам ПАБ). Все зависит от характера производства, количества работников на рабочем участке, сложности выполняемых работ.
Важно помнить, что поведенческий аудит безопасности – а это интерактивный процесс, то есть основан на взаимодействии между аудитором и работником, за поведением которого ведется процесс наблюдения.
Схематично ПАБ можно представить следующим образом:
Наблюдаем за:
Возможные варианты:
реакцией работника, заметившего на объекте лицо, осуществляющее поведенческий аудит
- Приводит в порядок СИЗ;
- Меняет положение;
- Перестраивает работу;
- Прекращает работу;
- Наклоняется, прячется;
- Меняет инструмент;
- Подсоединяет или устанавливает необходимые защитные устройства или ограждения
положением (позой) работника или действием людей
- Не подвергает ли кто-нибудь себя опасности получения травмы;
- Безопасны и правильны приемы работ;
- Не находится ли кто-либо в небезопасном положении, в результате которого, возможны падение, столкновение, удар, захват;
- Вдыхание опасных веществ;
- Поглощение опасных веществ;
- Поражение электротоком
правильным применением спецодежды, спецобуви и других средств индивидуальной защиты
- Соответствует ли спецодежда и СИЗ характеру выполняемых работ;
- В наличии ли регламентированные для данных работ СИЗ;
- Используют ли работники, положенные средства индивидуальной защиты;
- - Правильно ли используются СИЗ? Если нет, то почему? Возможно, что СИЗ неудобны в ношении или мешают выполнению работ
состоянием инструментов и оборудования
- Находится ли оборудование в исправном и безопасном состоянии;
- Используется ли в соответствии с правилами эксплуатации, по назначению;
- Не используются ли самодельные, кустарно выполненные приспособления и ручной инструмент
выполнением требований инструкций, правил и процедур
- Доступны ли процедуры и инструкции;
- Адекватны ли правила, инструкции выполняемым работам;
- Идентифицированы и описаны ли все потенциальные опасности, риски и методы управления ими;
- Соблюдаются ли установленные правила;
- Правильно ли выписаны наряды — допуски, разрешения на выполнение опасных работ;
- Проведены ли замеры воздушной среды
порядком на рабочем месте.
- Поддерживается ли порядок на рабочем месте;
- Обеспечено ли рациональное размещение инструментов, деталей, оборудования;
- Не допущено ли загромождение, захламленность проездов и проходов, убраны ли неиспользуемые инструменты и оборудование;
- Препятствия у лестниц, площадок
Важно помнить, что поведенческий аудит безопасности – а это интерактивный процесс, то есть основан на взаимодействии между аудитором и работником, за поведением которого ведется процесс наблюдения.
Информация, полученная в ходе проведения поведенческого аудита безопасности, подлежит регистрации и анализу. Для этого каждая организация регламентирует форму отчета. Как правило, в данный отчет включается следующее: участок, на котором проводился ПАБ; дата проведения ПАБ; ФИО аудиторов; количество работников, за которыми наблюдали во время ПАБ; продолжительность ПАБ в часах; количество наблюдаемых опасных действий и условий, при этом выявленные опасные действия (условия) необходимо отнести к определенной категории (см. категории наблюдения) и оценить в свете тяжести потенциальных последствий («3» — потенциально смертельный случай, «2» — потенциально тяжелая травма, «1» — потенциально легкая травма); корректирующие действия (принятые немедленно и долгосрочные, решаемые в рабочем порядке или же с привлечением вышестоящего руководства) с указанием сроков и ответственных за исправление. Отчет не должен содержать имен сотрудников, в отношении которых проводился аудит.
Необходимо понимать, что без заинтересованности со стороны аудитов, без диалога на тему безопасности между аудитором и работником, без желания выявить истинные при-чины нарушений со стороны работников, без желания совершенствовать слабые места в СУОТ, без системы обработки отчетов, без анализа корректирующих мер поведенческий аудит безопасности проводить бесполезно. Весь процесс ПАБ сведется к «заполнению бумажек».
Безопасное поведение — это норма, а поведенческий аудит безопасности – это способ формирования данной идеи у всех работников!
Аудит безопасности банка
Аудит информационной безопасности может не только дать банку право осуществления определенных видов деятельности, но и показать слабые места в системах банка. Поэтому подходить к решению о проведении и выборе формы аудита необходимо взвешенно.
Согласно Федеральному закону №307-ФЗ «Об аудиторской деятельности», аудит — это «независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности». К информационной безопасности данный термин, упомянутый в этом законе, отношения не имеет. Однако так уж сложилось, что специалисты по информационной безопасности достаточно активно его используют в своей речи. В этом случае под аудитом понимается процесс независимой оценки деятельности организации, системы, процесса, проекта или продукта. В тоже время надо понимать, что в различных отечественных нормативных актах термин «аудит информационной безопасности» применяется не всегда — его часто заменяют либо термин «оценка соответствия», либо немного устаревший, но все еще употребляемый термин «аттестация». Иногда еще применяется термин «сертификация», но применительно к международным зарубежным нормативным актам.
Аудит информационной безопасности проводится либо с целью проверки выполнения нормативных актов, либо с целью проверки обоснованности и защищенности применяемых решений.
Но какой бы термин не использовался, по сути, аудит информационной безопасности проводится либо с целью проверки выполнения нормативных актов, либо с целью проверки обоснованности и защищенности применяемых решений. Во втором случае аудит носит добровольный характер, и решение о его проведении принимается самой организацией. В первом же случае отказаться от проведения аудита невозможно, та как это влечет за собой нарушение установленных нормативными актами требований, что приводит к наказанию в виде штрафа, приостановлению деятельности или иным формам наказания.
В случае обязательности аудита он может проводиться как самой организацией, например, в форме самооценки (правда, в этом случае о «независимости» уже речи не идет и термин «аудит» применять здесь не совсем правильно), так и внешними независимыми организациями — аудиторами. Третий вариант проведения обязательного аудита — контроль со стороны регулирующих органов, наделенных правом осуществлять соответствующие надзорные мероприятия. Этот вариант чаще называется не аудитом, а инспекционной проверкой.
Так как добровольный аудит может проводиться абсолютно по любому поводу (для проверки защищенности системы ДБО, контроля активов приобретенного банка, проверки вновь открываемого филиала и т.п.), то данный вариант рассматривать не будем. В этом случае невозможно ни четко очертить его границы, ни описать формы его отчетности, ни говорить о регулярности — все это решается договором между аудитором и проверяемой организацией. Поэтому рассмотрим лишь формы обязательного аудита, присущие именно банкам.
Международный стандарт ISO 27001
Иногда можно услышать о прохождении тем или иным банком аудита на соответствие требованиям международного стандарта «ISO/IEC 27001» (его полный российский аналог — «ГОСТ Р ИСО/МЭК 27001 — Информационная технология — Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности — Требования»). По сути, данный стандарт — это набор лучших практик по управлению информационной безопасностью в крупных организациях (небольшие организации, в том числе и банки, не всегда в состоянии выполнить требования этого стандарта в полном объеме).
Как и любой стандарт в России, ISO 27001 — сугубо добровольный документ, принимать который или не принимать решает каждый банк самостоятельно. Но ISO 27001 является стандартом де-факто по всему миру, и специалисты многих стран используют этот стандарт как некий универсальный язык, которым следует руководствоваться, занимаясь информационной безопасностью.
С ISO 27001 связаны и несколько не самых очевидных и не часто упоминаемых моментов.
Однако с ISO 27001 связаны и несколько не самых очевидных и не часто упоминаемых моментов. Во-первых, аудиту по данному стандарту подлежит не вся система обеспечения информационной безопасности банка, а только одна или несколько из ее составных частей. Например, система защиты ДБО, система защиты головного офиса банка или система защиты процесса управления персоналом. Иными словами, получение сертификата соответствия на один из оцениваемых в рамках аудита процессов не дает гарантии, что остальные процессы находятся в таком же близком к идеальному состоянию. Второй момент связан с тем, что ISO 27001 является стандартом универсальным, то есть применимым к любой организации, а значит, не учитывающим специфику той или иной отрасли. Это привело к тому, что в рамках международной организации по стандартизации ISO уже давно ведутся разговоры о создании стандарта ISO 27015, который является переложением ISO 27001/27002 на финансовую отрасль. В разработке этого стандарта активное участие принимает и Банк России. Однако Visa и MasterCard против проекта этого стандарта, который уже разработан. Первая считает, что проект стандарта содержит слишком мало нужной для финансовой отрасли информации (например, по платежным системам), а если ее туда добавить, то стандарт надо переносить в другой комитет ISO. MasterCard также предлагает прекратить разработку ISO 27015, но мотивация другая — мол, в финансовой отрасли и так полно регулирующих тему информационной безопасности документов. В-третьих, необходимо обращать внимание, что многие предложения, встречающиеся на российском рынке, говорят не об аудите соответствия, а о подготовке к аудиту. Дело в том, что право проводить сертификацию соответствия требованиям ISO 27001 имеет всего несколько организаций в мире. Интеграторы же всего лишь помогают компаниям выполнить требования стандарта, которые затем будут проверены официальными аудиторами (их еще называют регистраторами, органами по сертификации и т.д.).
Пока продолжаются споры о том, внедрять банкам ISO 27001 или нет, отдельные смельчаки идут на это и проходят 3 стадии аудита соответствия:
• Предварительное неформальное изучение аудитором основных документов (как на территории заказчика аудита, так и вне нее).
• Формальный и более глубокий аудит внедренных защитных мер, оценка их эффективности и изучение разработанных необходимых документов. Этим этапом обычно заканчивается подтверждение соответствия, и аудитор выдает соответствующий сертификат, признаваемый во всем мире.
• Ежегодное выполнение инспекционного аудита для подтверждения ранее полученного сертификата соответствия.
Кому же нужен ISO 27001 в России? Если рассматривать этот стандарт не только как набор лучших практик, которые можно внедрять и без прохождения аудита, но и как процесс сертификации, знаменующий собой подтверждение соответствия банка международным признанным требованиям по безопасности, то ISO 27001 имеет смысл внедрять либо банкам, входящим в международные банковские группы, где ISO 27001 является стандартом, либо банкам, планирующим выход на международную арену. В остальных случаях аудит соответствия ISO 27001 и получение сертификата, на мой взгляд, не нужно. Но только для банка и только в России. А все потому, что у нас есть свои стандарты, построенные на базе ISO 27001.
Де-факто инспекционные проверки Банка России проводились до недавнего времени именно в соответствии с требованиями СТО БР ИББС.
Комплекс документов Банка России СТО БР ИББС
Таким стандартом, а точнее набором стандартов, является комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учетом требований российского законодательства. В основе данного набора документов (далее СТО БР ИББС), содержащего три стандарта и пять рекомендаций по стандартизации, лежит и ISO 27001 и ряд других международных стандартов по управлению информационными технологиями и информационной безопасностью.
Вопросы аудита и оценки соответствия требованиям стандарта, как и для ISO 27001, прописаны в отдельных документах — «СТО БР ИББС-1.1-2007. Аудит информационной безопасности», «СТО БР ИББС-1.2-2010. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010» и «РС БР ИББС-2.1-2007. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
Во время оценки соответствия по СТО БР ИББС проверяется выполнение 423 частных показателей ИБ, сгруппированных в 34 групповых показателя. Результатом оценки является итоговый показатель, который должен находиться на 4-м или 5-м уровне по пятибалльной шкале, установленной Банком России. Это, кстати, очень сильно отличает аудит по СТО БР ИББС от аудита по другим нормативным актам в области ИБ. В СТО БР ИББС не бывает несоответствия, просто уровень соответствия может быть разный: от нуля до пяти. И только уровни выше 4-го считаются положительными.
По состоянию на конец года около 70–75% банков внедрили или находятся в процессе внедрения этого набора стандартов. Несмотря ни на что они де-юре носят рекомендательный характер, но де-факто инспекционные проверки Банка России проводились до недавнего времени именно в соответствии с требованиями СТО БР ИББС (хотя явно это никогда и нигде не звучало).
Ситуация изменилась когда в полную силу вступил закон «О национальной платежной системе» и разработанные для его исполнения нормативные документы Правительства России и Банка России. С этого момента вопрос необходимости проведения аудита соответствия требованиям СТО БР ИББС вновь встал на повестке дня. Дело в том, что методика оценки соответствия, предложенная в рамках законодательства о национальной платежной системе (НПС), и методика оценки соответствия СТО БР ИББС могут очень сильно расходиться в итоговых значениях. При этом оценка по первой методике (для НПС) стала обязательной, в то время как оценка по СТО БР ИББС по-прежнему де-юре носит рекомендательный характер. Да и в самом Банке России на момент написания статьи еще не было принято решение о дальнейшей судьбе этой оценки. Если раньше все нити сходились в Главное управление безопасности и защиты информации Банка России (ГУБЗИ), то с разделением полномочий между ГУБЗИ и Департаментом регулирования расчетов (LHH) вопрос пока остается открытым.
Уже сейчас ясно, что законодательные акты о НПС требуют обязательной оценки соответствия, то есть аудита.
Законодательство о национальной платежной системе
Законодательство о НПС находится только на заре своего становления, и нас ждет немало новых документов, в том числе и по вопросам обеспечения информационной безопасности. Но уже сейчас ясно, что выпущенное и утвержденное Положение 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» требует в п.2.15 обязательной оценки соответствия, то есть аудита. Такая оценка осуществляется либо самостоятельно, либо с привлечением сторонних организаций. Как уже сказано выше, проводимая в рамках 382-П оценка соответствия похожа по своей сути на то, что описано в методике оценки соответствия СТО БР ИББС, но выдает совершенно иные результаты, что связано с вводом специальных корректирующих коэффициентов, которые и определяют отличающиеся результаты.
Никаких особых требований к привлекаемым для аудита организациям положение 382-П не устанавливает, что вступает в некоторое противоречие с Постановлением Правительства №584 «О защите информации в платежной системе», которое также требует организации и проведения контроля и оценки выполнения требований к защите информации один раз в 2 года. Однако Постановление Правительства, разработанное ФСТЭК, требует, чтобы внешний аудит проводился только организациями, имеющей лицензию на деятельность по технической защите конфиденциальной информации.
Дополнительные требования, которые сложно отнести к одной из форм аудита, но которые накладывают на банки новые обязанности, перечислены в разделе 2.16 Положения 382-П. Согласно этим требованиям оператор платежных систем обязан разработать, а банки, присоединившиеся к этой платежной системе, обязаны выполнять, требования по регулярному информированию оператора платежной системы о различных вопросах информационной безопасности в банке: о выполнении требований по защите информации, о выявленных инцидентах, о проведенных самооценках, о выявленных угрозах и уязвимостях.
Дополнительно к аудиту, проводимому на договорной основе, ФЗ-161 о НПС также устанавливает, что контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в 584-м Постановлении и Банком России в 382-м Положении, осуществляются ФСБ ФСТЭК и Банком России соответственно. На момент написания статьи ни ФСТЭК, ни ФСБ не имели разработанного порядка проведения такого надзора, в отличие от Банка России, который выпустил Положение №380-П «О порядке осуществления наблюдения в национальной платежной системе» (для кредитных организаций) и Положение №381-П «О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального Закона № 161-ФЗ «О национальной платежной системе», принятых в соответствии с ним нормативных актов Банка России».
Нормативные акты в области защиты информации в национальной платежной системе находятся только в начале подробной разработки. Банк России начал их апробацию и сбор фактов по правоприменительной практике. Поэтому сегодня преждевременно говорить о том, как будут применяться эти нормативные акты, как будет проводиться надзор по 380-П, какие выводы будут делаться по итогам самооценки, проводимой раз в 2 года и отправляемой в Банк России.
Стандарт безопасности платежных карт PCI DSS
Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных платежных карт, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), который был учрежден международными платежными системами Visa, MasterCard, American Express, JCB и Discover. Стандарт PCI DSS представляет собой совокупность 12 высокоуровневых и свыше 200 детальных требований по обеспечению безопасности данных о держателях платежных карт, которые передаются, хранятся и обрабатываются в информационных системах организаций.
Требования стандарта распространяются на все компании, работающие с международными платежными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный уровень с соответствующим набором требований, которые эти компании должны выполнять. Эти уровни отличаются в зависимости от платежной системы.
Успешное прохождение аудита еще не означает, что с безопасностью в банке все хорошо — существует множество уловок, позволяющих проверяемой организации скрыть какие-то недочеты в своей системе защиты.
Проверка выполнения требований стандарта PCI DSS осуществляется в рамках обязательной сертификации, требования к которой отличаются в зависимости от типа проверяемой компании — торгово-сервисное предприятие, принимающее платежные карты за оплату товаров и услуг, или поставщик услуг, оказывающий услуги торгово-сервисным предприятиям, банкам-эквайерам, эмитентам и т.п. (процессинговые центры, платежные шлюзы и т.п.).
Такая оценка может осуществляться в разных формах:
• ежегодные аудиторские проверки с помощью аккредитованных компаний, имеющих статус Qualified Security Assessors (QSA);
• ежегодное проведение самооценки;
• ежеквартальное сканирование сетей с помощью уполномоченных организаций, имеющих статус Approved Scanning Vendor (ASV).
Законодательство о персональных данных
Последний нормативный документ, также имеющий отношение к банковской индустрии и устанавливающий требования по оценке соответствия, — Федеральный закон «О персональных данных». Однако ни форма такого аудита, ни его периодичность, ни требования к организации, проводящей такой аудит, пока не установлены. Возможно, этот вопрос будет снят осенью 2012 года, когда выйдет очередная порция документов Правительства РФ, ФСТЭК и ФСБ, вводящих новые нормативы в области защиты персональных данных. Пока же банки могут спать спокойно и самостоятельно определять особенности аудита вопросов защиты персональных данных.
Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных 19-й статьей 152-ФЗ, осуществляются ФСБ и ФСТЭК, но только для государственных информационных систем персональных данных. Контроль коммерческих организаций в области обеспечения информационной безопасности персональных данных пока осуществлять по закону некому. Чего не скажешь о вопросах защиты прав субъектов персональных данных, то есть клиентов, контрагентов и просто посетителей банка. Эту задачу взял на себя Роскомнадзор, который очень активно осуществляет свои надзорные функции и считает банки одними из злостных нарушителей закона о персональных данных.
Заключительные положения
Выше рассмотрены основные нормативные акты в области информационной безопасности, касающиеся кредитных организаций. Этих нормативных актов немало, и каждый из них устанавливает свои требования по проведению оценки соответствия в той или иной форме — от самооценки в виде заполнения опросных листов (PCI DSS) до прохождения обязательного аудита один раз в два года (382-П) или один раз в год (ISO 27001). Между этими самыми распространенными формами оценки соответствия существуют и другие — уведомления оператора платежной системы, ежеквартальные сканирования и т.п.
Стоит также помнить и понимать, что в стране до сих пор отсутствует единая система взглядов не только на государственное регулирование процессов аудита информационной безопасности организаций и систем информационных технологий, но и вообще саму тему аудита информационной безопасности. В Российской Федерации существует целый ряд ведомств и организаций (ФСТЭК, ФСБ, Банк России, Роскомнадзор, PCI SSC и т.п.), ответственных за информационную безопасность. И все они действуют на основании своих собственных нормативных документов и руководств. Разные подходы, разные стандарты, разные уровни зрелости… Все это мешает установлению единых правил игры. Картину портит и появление фирм-однодневок, которые в погоне за прибылью предлагают очень некачественные услуги в области оценки соответствия требованиям по информационной безопасности. И к лучшему ситуация вряд ли изменится. Раз есть потребность, то будут и желающие ее удовлетворить, в то время как на всех квалифицированных аудиторов просто не хватит. При небольшом их числе (показано в таблице) и длительности аудита от нескольких недель до нескольких месяцев очевидно, что потребности в аудите серьезно превышают возможности аудиторов.
В так и не принятой ФСТЭК «Концепции аудита информационной безопасности систем информационных технологий и организаций» была такая фраза: «в то же время в отсутствие необходимых национальных регуляторов такая деятельность /по нерегулируемому законодательством аудиту со стороны частных фирм/ может нанести непоправимый вред организациям». В заключение, авторы Концепции предлагали унифицировать подходы к аудиту и законодательно установить правила игры, включая правила аккредитации аудиторов, требования к их квалификации, процедуре проведения аудита и т.п., но воз и ныне там. Хотя, учитывая то внимание, которое отечественные регуляторы в области информационной безопасности (а у нас их 9) уделяют вопросам защиты информации (только за прошедший календарный год было принято или разработано 52 нормативных акта по вопросам информационной безопасности — один нормативный акт в неделю!), не исключаю, что к этой теме вскоре вновь вернутся.
Аудит безопасности информационных систем
Аудит информационной безопасности (ИБ) является основным инструментом контроля состояния защищенности информационных активов компании/организации. Сервис может выполняться как в совокупности с общим ИТ-аудитом, так и в виде самостоятельного проекта. Часто аудит является неотъемлемой частью комплексных проектов по обеспечению безопасности информации и выполняется в качестве стартового этапа проекта.
Аудит ИБ включает в себя технический аудит и организационно-методический аудит. В свою очередь, технический аудит обычно разделяется на общий аудит и инструментальный аудит.
IBS выполняет аудит на соответствие требованиям в одной или нескольких предметных областях:
• законодательство и требования по защите персональных данных (ФЗ-152, 21-й приказ ФСТЭК и др.);
• требования по защите информации в государственных информационных системах (17-й приказ ФСТЭК и др.);
• законодательство и требования в области защиты информации в национальной платежной системе (ФЗ-161 и др.);
• отраслевые требования, стандарты и рекомендации по защите информации в финансовых организациях, финансовом процессинге (СТО БР ИББС-1.0, 382-П и др.);
• аудит в области процессов (ISO 27001 и другие).
Результатом аудита является заключение о степени соответствия компании/организации критериям аудита, а также рекомендации по совершенствованию ИТ-инфраструктуры, защиты информации, процессов обеспечения и управления ИБ и документационного обеспечения заказчика.
Инструментальный аудит включает в себя следующие направления:
• аудит защищенности ИТ-инфраструктуры и информационных систем;
• тест на проникновение (pen-тест);
• аудит информационных потоков в компании/организации;
• контроль исходного кода приложений на уязвимости/закладки.
Логическим продолжением аудита является разработка корпоративных документов верхнего уровня по вопросам безопасности информации в компании/организации, среди которых:
• корпоративная политика ИБ;
• концепция обеспечения ИБ;
• корпоративная модель угроз безопасности информации.
Разработанные верхнеуровневые документы обеспечивают базис для выстраивания всего комплекса работ по приведению процессов и технологий обеспечения и управления ИБ в компании/организации в соответствие требованиям законодательства, нормативным документам, лучшим практикам ИБ.
Формирование и выстраивание процессов обеспечения ИБ и управления ИБ является неотъемлемой составляющей процессной модели функционирования компаний на средних и высоких уровнях зрелости ИТ.
Для публичных компаний аудит ИБ является элементом неотъемлемой составляющей независимой внешней оценки рыночной стоимости компании, внося таким образом свой вклад в капитализацию компании.
В результате выполнения проекта в зависимости от его масштаба и границ заказчик получит независимую оценку состояния обеспечения ИБ в его компании/организации, степень его соответствия обязательным законодательным, нормативным и отраслевым требованиям по вопросам защиты информации, степени уязвимости его ИТ- и ИБ-инфраструктуры и информационных систем к современным угрозам, а также могут быть выявлены свидетельства противоправной деятельности в его информационном пространстве различной природы.
Аудит промышленной безопасности
Промышленная безопасность – состояние защищённости жизненно важных интересов личности и общества от аварий на опасных производственных объектах и последствий указанных аварий. Поэтому очень важно своевременно выявить несоответствия и нарушения которые могут привести к авариям на опасных производственных объектов, кроме того, периодический аудит в области промышленной безопасности позволит выявить динамику оптимизации предприятия и вовлеченность работников, эксплуатирующих опасные производственные объекты к соблюдению требований безопасности. Аудит в области промышленной безопасности интересен в основном организациям, эксплуатирующим опасные производственные объекты.
В результате аудита в области промышленной безопасности выявляются нарушения промышленного законодательства, устранение которых до проведения плановой проверки надзорных органов, позволит исключить штрафные санкции налагаемые на организации в результате выявления последних надзорными органами. Административная ответственность за нарушения в области промышленной безопасности достигает до 1 миллиона рублей (ст.9.1 КоАП РФ).
Аудит в области промышленной безопасности включает в себя:
• Планирование проведения проверки.
• Определение объема проверяемого объекта (учитываются все пожелания Заказчика).
• Определение схемы аудита (дистанционная документарная проверка (экспертная оценка легитимности внутренней локальной документации), фактическая проверка объекта).
• Проведение непосредственно аудита согласно выбранной схеме.
• Подготовка Отчета по результатам аудита, который включает в себя информацию о выявленных несоответствиях, измеримых согласно выбранной шкале потенциальных рисков по несоблюдению требований промышленного законодательства, рекомендации по устранению выявленных нарушений.
Работы по техническому аудиту включают в себя:
1. Проверка правильности идентификации ОПО:
- проверка соответствия Сведений, характеризующих ОПО, качественным и количественным характеристикам объектов;
- проверка правильности присвоения класса опасности ОПО;
- проверка правильности присвоения наименований ОПО;
- проверка правильности и целесообразности в соответствии с требованиями.
2. Проверка соблюдения лицензионных требований при эксплуатации опасных производственных объектов I, II и III классов опасности:
• проверка эксплуатации технических устройств, применяемых на объектах, в пределах назначенных показателей эксплуатации этих технических устройств (назначенного срока службы и (или) назначенного ресурса);
• проверка наличия и функционирования приборов и систем контроля, управления, сигнализации, оповещения и противоаварийной автоматической защиты технологических процессов на объектах – в случаях, если обязательность наличия таких приборов и систем предусмотрена федеральными нормами и правилами в области промышленной безопасности или до их вступления в силу – требованиями промышленной безопасности, установленными нормативными документами федеральных органов исполнительной власти, предусмотренными статьей 49 Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с реализацией положений Федерального закона «О техническом регулировании», в соответствии со статьей 9 Федерального закона «О промышленной безопасности опасных производственных объектов»;
• проверка соответствия технических устройств, применяемых на объектах, требованиям технических регламентов, федеральных норм и правил в области промышленной безопасности или до их вступления в силу - требованиям промышленной безопасности, установленным нормативными документами федеральных органов исполнительной власти, предусмотренными статьей 49 Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с реализацией положений Федерального закона «О техническом регулировании»;
• проверка разработанных Заказчиком Планов мероприятий по локализации и ликвидации последствий аварий на опасных производственных объектах I, II и III классов опасности, предусмотренных пунктами 1, 4, 5 и 6 приложения 1 Федерального закона №116-ФЗ «О промышленной безопасности опасных производственных объектов» и Постановление Правительства РФ №730 «Об утверждении Положения о разработке планов мероприятий по локализации и ликвидации последствий аварий на опасных производственных объектах»;
• проверка разработанной Заказчиком документации Системы управления промышленной безопасностью (при наличии);
• проверка на предмет соответствия действующему законодательству организации и осуществления производственного контроля на ОПО, в соответствии с требованиями постановления Правительства РФ №263 «Об организации и осуществлении производственного контроля за соблюдением требований промышленной безопасности на опасном производственном объекте»;
• проверка разработанных Заказчиком Деклараций промышленной безопасности (при наличии) и проверка заключений экспертизы промышленной безопасности на данные декларации;
• проверка договоров обязательного страхования гражданской ответственности за причинение вреда в результате аварии на объектах;
• проверка договоров на обслуживание с профессиональными аварийно-спасательными службами или формированиями либо собственных, создаваемых в установленном законодательством Российской Федерации порядке, профессиональных аварийно-спасательных служб или формирований.
3. Оценка качества проведенных ранее экспертиз промышленной безопасности технических устройств, зданий и сооружений на ОПО с проведением выборочного контроля неразрушающими методами объектов данных экспертиз.
4. Анализ соответствия разрешительной и эксплуатационной документации требованиям промышленной безопасности, определение недостающей документации.
5. Выдача рекомендаций по устранению предписаний Ростехнадзора.
6. Разработка рекомендаций по повышению уровня безопасной эксплуатации ОПО.
7. Определение перечня приоритетных объектов, требующих мониторинга состояния в реальном режиме времени.
8. Разработка рекомендаций по повышению уровня промышленной безопасности с использованием системы комплексного диагностического мониторинга ОПО.
9. Разработка рекомендаций по автоматизации системы контроля технического состояния ОПО.
По результатам технического аудита объектов Заказчика на предмет соответствия обязательным требованиям промышленной безопасности предоставляется Технический отчет, включающий:
А) Сведения:
• об объекте проведения аудита;
• о лицензиях организации-заказчика;
• об эксплуатируемых и неучтенных опасных производственных объектов;
• о планировании мероприятий по локализации и ликвидации последствий аварий;
• об организации расследования причин инцидентов, аварий, их учета и анализа;
• об организации системы управления промышленной безопасностью, производственном контроле;
• о страховании гражданской ответственности владельца ОПО;
• о декларациях промышленной безопасности ОПО;
• о персонале, эксплуатирующем ОПО;
• о технических устройствах, зданиях, строениях и сооружениях, эксплуатируемых на ОПО;
• об организации производства (инструкции, технологический регламент, проектная документация, эксплуатационная и исполнительная документация).
Б) Анализ и замечания, выявленные при проведении технического аудита:
• соответствия разрешительной и эксплуатационной документации требованиям промышленной безопасности рекомендации по безопасной эксплуатации ОПО;
• результаты рассмотрения технической документации;
• рекомендации по устранению предписаний Ростехнадзора.
В) Определение и указание перечня приоритетных объектов, требующих мониторинга состояния в реальном режиме времени.
Г) Представление рекомендаций по повышению уровня промышленной безопасности с использованием системы комплексного диагностического мониторинга ОПО.
Д) Представление рекомендаций по автоматизации системы контроля технического состояния ОПО.
Е) Представление рекомендаций по повышению уровня безопасной эксплуатации ОПО.
Внутренний аудит информационной безопасности
Аудит информационной безопасности предприятия — это совокупность мероприятий, включающих тестирование информационных систем на проникновение, внутренний аудит информационной безопасности, анализ защищенности программного обеспечения и разработку рекомендаций по устранению выявленных уязвимостей.
По сути, аудит безопасности информационных систем представляет собой независимую экспертизу, которая подразделяется на внешнюю и внутреннюю. Внешняя экспертиза является разовым мероприятием, инициатором которого выступает руководитель или совет акционеров. Внутренний аудит проводится непрерывно, чтобы своевременно выявить уязвимости в сфере информационной безопасности.
Аудит преследует следующие цели:
• оценку актуальной степени защиты систем информации;
• оценку защиты каналов, по котором может быть осуществлена утечка конфиденциальной информации;
• анализ средств информационной защиты, приведение их в соответствие с современными стандартами;
• корректировку документации, относящейся к сфере информационной безопасности, приведение ее к современным мировым стандартам;
• моделирование ситуаций, в ходе которых может случиться утечка информации;
• предоставление рекомендаций по устранению уязвимости информационных систем.
Виды проводимого информационного аудита зависят от способов и средств проверки, результата проверки и эталонного идеала, к которому в итоге необходимо стремиться.
Аудит информационной безопасности можно условно поделить на: активный аудит, экспертный аудит и аудит на соответствие стандартам.
Активный. Это независимая экспертиза защищенности информационных систем предприятия с точки зрения хакера. Его суть сводится к оценке системы сетевой защиты с помощью специального программного обеспечения и уникальных методов. Отдельное внимание уделяется активному внутреннему аудиту информационной безопасности, который сводится к моделированию возможных действий внутреннего злоумышленника.
Экспертный. Предполагает сравнение описания информационной безопасности предприятия с идеальной системой, основанной на мировом и частном опыте.
Аудит на соответствие стандартам. Это сравнение состояния информационной безопасности с неким абстрактным описанием на основе международных и национальных стандартов.
Аудит информационной безопасности можно проводить как собственными силами, так и с привлечением независимых экспертов. Преимущества второго способа очевидны — высокий профессионализм сотрудников, постоянное совершенствование знаний и навыков, использование передовых методов выявления уязвимостей.
Независимо от формы, аудит безопасности состоит из 4-х основных этапов:
1. Формирование регламента проведения независимой экспертизы. Документ разрабатывается совместно с заказчиком и включает состав и порядок проведения работ. Приоритетная цель регламента аудита информационной безопасности — определение границ, в рамках которых будет проводиться обследование информационных систем. В нем прописывается все обязанности и права сторон — заказчика и исполнителя.
2. Сбор данных для обследования. На этом этапе осуществляется сбор сведений о информационной системе безопасности предприятия через интервьюирование сотрудников, анализ информационно-распорядительной документации, информации об общесистемном ПО и т.д.
3. Анализ имеющейся информации. На данном этапе проводится оценка текущего уровня защищенности автоматизированной информационной системы заказчика с помощью разнообразных методов. На практике используется 2 группы методов аудита информационной безопасности. Первая группа методов позволяет оценить уровень риска информационной системы предприятия посредством анализа соответствия определенному набору требований по обеспечению защиты сведений. Вторая группа методов проведения аудита информационной безопасности предусматривает определение вероятности наступления атак и финансового ущерба от них.
4. Разработка рекомендаций по предотвращению выявленных уязвимостей или повышению уровня информационной безопасности системы в целом. Специалисты подробно расписывают действия, направленные на минимизацию выявленных угроз. Они могут включать снижение рисков за счет внедрения дополнительных средств защиты, изменение архитектуры и схемы информационных потоков и т.д.
Аудит информационной безопасности организации — наиболее эффективный инструмент, позволяющий получить объективные сведения о текущем уровне защищенности информационных систем. План аудита информационной безопасности должен учитывать все возможные риски компрометации системы, только в этом случае экспертиза принесет реальную пользу.
Регламент аудита информационной безопасности устанавливает состав и порядок проведения работ во время аудита. Являясь основным документом, определяющим границы проводимого обследования, регламент четко определяет обязанности сторон.
Как правило, в регламенте содержится:
• список объектов, подлежащих аудиту, и их местоположение;
• порядок и время проведения программного и инструментального обследования системы;
• состав рабочих групп как со стороны заказчика, так и со стороны Исполнителя;
• перечень ресурсов, подлежащих обследованию;
• перечень информации, которую предоставят исполнителю;
• Модель угроз информационной безопасности;
• категории пользователей, считающихся потенциальными нарушителями.
На основе составленного регламента аудита информационной безопасности осуществляется все взаимодействие исполнителя и заказчика.
План аудита согласуется с заказчиком и, как правило, содержит следующие данные:
• цель проведения аудита ИБ;
• критерии проведения аудита ИБ;
• область аудита ИБ;
• даты и срока проведения аудита ИБ;
• роли членов аудиторской группы;
• результаты анализа на выходе.
Методы аудита информационной безопасности можно классифицировать как экспертно-аналитические, экспертно-инструментальные и моделирование действий злоумышленника.
Экспертно-аналитические методы заключаются в анализе и оценке состояния безопасности информационной среды на основе экспертной оценки. Экспертно-инструментальные методы – проведение анализа при помощи специального инструментария. Моделирование действий злоумышленника или так называемый «дружественный взлом» системы защиты информации – реализуется уже после проведения ранее исследований как заключительный контрольный этап аудита информационной безопасности.
Результатами аудита информационной безопасности могут быть:
• уменьшение риска компрометации информационной системы за счет внедрения технических или организационных средств защиты, направленных на снижение вероятности;
• хакерской атаки или ущерба от нее;
• исключение возможности проведения информационной атаки за счет изменения схемы информационного потока и архитектуры;
• минимизация негативного воздействия от риска за счет применения мер по страхованию;
• уменьшение риска до тех пор, пока он перестает представлять опасность для информационной системы.
Аудит безопасности труда
Аудит безопасности человеческих ресурсов проводится, чтобы проверить, удовлетворяет ли организация целям и задачам безопасности. Он исследует процессы планирования безопасности, принятия решений, делегирования, выработки политики и ее осуществления.
Аудиты безопасности проводятся с использованием внешних ресурсов, но чем больше привлекается к нему менеджеров, работников и представителей организации, тем лучше. Часто аудиты проводятся под надзором комитета по охране труда и безопасности, при этом члены организации принимают в аудите активное участие.
Менеджеры также могут нести ответственность за проведение аудитов в своих подразделениях, и, что еще лучше, проведению аудита в конкретных областях можно научить отдельных сотрудников этих подразделений. Проведение аудита будет легче осуществить, если заранее подготовить перечни для проверки и простые формы для записи результатов. Некоторые организации для проведения независимых аудитов пользуются услугами аутстаффинга.
Аудит охраны труда и безопасности должен охватывать следующие аспекты:
1. Отвечает ли политика в отношении охраны труда и безопасности требованиям законодательства?
2. Занимаются ли руководители вопросами охраны труда и безопасности?
3. Каким образом руководители структурных подразделений занимаются вопросами охраны труда и безопасности?
4. Имеется ли отдел по охране труда и безопасности? Если нет, то почему?
Главной задачей аудита является выработка рекомендаций. Те, кто проводит аудит, должны оценить приоритеты и затраты, а затем составить программу действия для принятия ее руководителем.
Здоровье и безопасность заботят как линейных, так и функциональных руководителей, но основная ответственность лежит на руководстве вообще и на руководителях структурных подразделений в частности.
Приведем конкретные виды деятельности:
1. Руководство разрабатывает и внедряет политику по вопросам охраны труда и безопасности и обеспечивает процедуры проведения оценок риска, аудитов и инспекций по безопасности. Важно, что обязанностью руководителей является мониторинг и оценка показателей здоровья и безопасности, а также принятие корректирующих мер в случае необходимости.
2. Руководители структурных подразделений эффективнее могут оказывать влияние на вопросы охраны труда и безопасности человеческих ресурсов. Они осуществляют непосредственный контроль и именно они постоянно следят за возникновением небезопасных условий или методов работы и немедленно принимают меры. Они также несут прямую ответственность за уведомление работников об угрозе здоровью и безопасности, с тем чтобы те не совершали рискованных шагов.
3. Работники должны быть уведомлены о том, что представляют собой безопасные методы работы, поскольку такие методы оказывают влияние на самих работников и их товарищей по работе. Если руководство и руководители структурных подразделений несут ответственность за информацию и обучение, работники также несут ответственность за принятие во внимание того, что они услышали и чему научились в отношении методов выполнения своей работы.
4. Руководители отдела по охране труда и технике безопасности дают рекомендации в отношении здоровья и безопасности и практических методов работы. Они проводят аудиты по безопасности, а также расследования несчастных случаев совместно с руководителями структурных подразделений и представителями по вопросам охраны труда и техники безопасности, ведут статистику и докладывают о существующих тенденциях и необходимых мерах линейным руководителям.