Концепция аудита ИБ от ФСТЭК

Концепция аудита ИБ от ФСТЭК
Вчера я рассказал про проект РД ФСТЭК по жизненному циклу изделий ИТ в контексте информационной безопасности. Но это еще не все. В списке разработанных проектов была и концепция аудита ИБ систем ИТ и организаций.


Предпосылка создания документа была описана в преамбуле: "Вместе с тем, в стране отсутствует единая система взглядов на государствен-ное регулирование процессов аудита информационной безопасности организаций и систем информационных технологий. На национальном рынке услуг, отвечая по-требностям рынка, различными частными фирмами предлагаются услуги по прове-дению аудита информационной безопасности организаций и их систем информаци-онных технологий. В то же время в отсутствии необходимых национальных регуля-торов такая деятельность может нанести непоправимый вред организациям".

В этом документе рассматривался целый ряд интересных вопросов - от основных видов аудита ИБ и критериев аудита до выстраивания программы аудита (security program) и вопросов взаимоотношений аудитора и проверяемых. Напомню, что это 2004-й год!


Концепция должна была стать "методологической основой для разработки нормативно-распорядительных и методических документов, направленных на решение следующих задач:

  • определение основ аудита информационной безопасности организаций различных форм собственности и их систем информационных технологий;
  • разработка методик по проведению аудита информационной безопасности организаций и их систем информационных технологий;
  • определение основ аккредитации и лицензирования (регистрации) деятельности физических и юридических лиц по аудиту информационной безопасности организаций и их систем информационных технологий;
  • сертификация программно-аппаратных средств инструментальной поддержки основных процессов аудита информационной безопасности организаций и их систем информационных технологий".
Проект концепции активно использовал подходы, изложенные в 27-й серии (на тот момент 17799) и документах BSI по аудиту безопасности. При этом сфера документа была сознательно сужена тремя типами проверяемых организаций:
  • Организации, любой формы собственности, эксплуатирующие объекты ключевых систем информационной инфраструктуры
  • Организации, любой формы собственности, использующие в своей деятельности конфиденциальную информацию, являющуюся собственностью государства
  • Не государственные организации, использующие в своей деятельности конфиденциальную информацию, не являющуюся соб-ственностью государства.
Не буду подробно цитировать этот 50-тистраничный документ. На мой взгляд ему не очень подходит понятие "Концепция"; скорее это то, что у ISO носит название "технический отчет", который описывает "что и как" - требования к аудиторам, требования к процессу аудита, виды заключений, требования к достаточности свидетельств аудита, требования к документации по аудиту и т.п.

Как и в случае с предыдущим документом если бы он был принят в 2005-м году, рынок ИБ у нас мог бы быть более цивилизованным и прозрачным, а результаты аудита были бы воспроизводимыми (про воспроизводимость результатов в Концепции тоже есть) и отношение потребителей к аудиторам и аудиту было бы не как к шаманам :-) Но увы, не срослось.

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!