Translate

понеделник, 28 март 2016 г.





ПРИМЕР !

ДОКЛАД

ЗА РЕЗУЛТАТИТЕ ОТ ПРОВЕДЕН  ВЪТРЕШЕН ОДИТ
ЗА ПЪРВОНАЧАЛНО  УСТАНОВЯВАНЕ НА СЪСТОЯНИЕТО
ПО ИНФОРМАЦИОННАТА СИГУРНОСТ
В ОРГАНИЗАЦИЯТА

Март, 2016 г.
СОФИЯ

Този  ДОКЛАД се основава на предоставената от представители на одитираната организация (ОРГАНИЗАЦИЯТА) информация и данни по време на провеждането на вътрешен одит (Одит/а) по Информационната сигурност.
Този  ДОКЛАД не може да се приема като сертификационен, под каквато и да е форма.

1.    Основание за провеждане на Одита – в съответствие с изискванията на Договор № .... от.... между ............. (Възложител) и ............(Изпълнител)

2.    Цели на Одита:
-         да установи първоначално, текущо състояние на Информационната сигурност в ОРГАНИЗАЦИЯТА
-         да препоръча конкретни мерки за развитие и подобряване на Информационната сигурност в ОРГАНИЗАЦИЯТА

3.    Обхват на Одита

Отчитайки дейностите на ОРГАНИЗАЦИЯТА  и основните информационни активи (данни, информация, автоматизирани системи, софтуер, хардуер, персонал и обкръжаваща среда), осигуряващи / свързани с изпълнението на тези дейности, Одита обхвана следните основни направления:

А. Съответствие с основни изисквания за Информационна сигурност, свързани с:

- Идентифицирането и описанието  на информационните активи, подлежащи на защита;
- Разработването и изпълнението на цялостна Политика за информационна сигурност;
- Избора и прилагането на подход / метод за оценка на риска към Информационните активи;
- Идентифицирането и описание на заплахи към сигурността на Информационните активи;
- Планирането на въвеждането на решения за противодействие на разкрити рискове към сигурността на информационните активи;

Б. Степен на прилагане на основни техники за постигане на Информационна сигурност, в т.ч. контролни / защитни механизми в следните области:

- Политики за Информационна сигурност;
- Организиране на Информационната сигурност;
- Управление на информационните активи;
- Персонална сигурност;
- Физическа сигурност и сигурност на работната среда
- Управление на комуникациите и дейностите;
- Контрол на достъпа (логически контрол на достъпа);
- Придобиване, разработване и поддръжка на информационни системи;
- Управление на инциденти по сигурността в информационните системи;
- Управление на непрекъснатостта на бизнеса;


4.    Приложена методология за провеждане на Одита

      За съпоставяне  на приложените от ОРГАНИЗАЦИЯТА механизми и средства за защита на информационните активи с основни изисквания за Информационна сигурност и техниките за нейното постигане, като база за сравнение е използван стандарта ISO 27002 - „Information technology — Security techniques — Code of practice for information security management”

Извършен е  „Gap Analysisна база получена информация / данни  от проведени интервюта със съответните длъжностни лица и / или на представените документирани доказателства за въведени контроли (защитни механизми) от всякакъв тип – политики, процедури, инструкции, технически средства, софтуер, организационни мерки  и др.

Оценката на текущото състояние на Информационната сигурност в ОРГАНИЗАЦИЯТА, в съответствие с обхвата на Одита (т.3 от този Доклад) е извършена на база оценъчна схема (Таблица 1), базираща се на Модела за ниво (зрялост) на способностите (Capability Maturity Model – CMM), приложен за всеки контролен / защитен механизъм, обект на проверка.

Таблица 1

Индекс на нивото на способност
Категория на постигнато ниво на способност
Описание на постигнатото ниво на способност
 (за контролен / защитен механизъм от съответната област, описана в т.3, Б в този Документ)
0
Не съществува
Контролния (защитния) механизъм:
- е приложим;
- не е въведен;
- не е предвиден за оценка на неговата необходимост от прилагане;
1
Първоначално
Контролния (защитния) механизъм:
- е приложим;
- е необходим (на база оценка за необходимостта от неговото прилагане) ;
- не е въведен
2
Ограничено
Контролния (защитния) механизъм:
- е приложим;
- е необходим (на база оценка за необходимостта от неговото прилагане) ;
- е в процес на разработване или е частично внедрен;
- е частично документиран
3
Определено
Контролния (защитния) механизъм:
- е приложим;
- е необходим (на база оценка за необходимостта от неговото прилагане) ;
- е внедрен;
- е достатъчно документиран
- не е част от Система за управление на информационната сигурност
4
Управлявано
Контролния (защитния) механизъм:
- е приложим;
- е необходим (на база оценка за необходимостта от неговото прилагане) ;
- е внедрен;
- е напълно документиран
- е част от частично изградена Система за управление на информационната сигурност

5
Оптимизирано
Контролния (защитния) механизъм:
- е приложим;
- е необходим (на база оценка за необходимостта от неговото прилагане) ;
- е внедрен;
- е напълно документиран
- е част от изградена Система за управление на информационната сигурност, сертифицирана на база международен стандарт за съответствие (напр. ISO 27001), или приложима национална нормативна уредба.
6
Неприложимо
Контролния (защитния) механизъм е неприложим


5.    Използвана терминология и определения

За целите на този документ се прилагат следните термини и определения:
Актив - Всичко, което има стойност за организацията (ISO/IEC 13335-1:2004), в т.ч. данни, информация, хардуер, софтуер, персонал .
Механизъм за контрол (контролен / защитен механизъм)  - Начин за управление на риска, включващ политики, процедури, указание, практики или организационни структури, които могат да бъдат в административен, технически, управленски или законов характер.
Забележка: Израза „Механизъм за контрол” също така се използва и като синоним за предпазване или контрамярка.
Информационна сигурност - Запазването на конфиденциалността, целостта и наличността на информацията. Като допълнение могат да бъдат включени и други свойства като автентичност, поемане на отговорност, електронен подпис и надеждност.
Пробив на информационната сигурност - Идентифицирана поява на състояние в система, услуга или мрежа, показващо възможно нарушаване на политика по информационна сигурност, отказ на защити или незабелязана до момента ситуация, засягаща сигурността.  (ISO/IEC TR 18044:2004)
Инцидент по сигурността на информацията - Единично или поредица от неочаквани събития по сигурността на информацията, които има голяма вероятност да навредят на бизнес операциите и да застрашат информационната сигурност(ISO/ IEC TR 18044: 2004)
Политика - Общо намерение и насоки, официално изразени от ръководството.на ОРГАНИЗАЦИЯТА
Управление на риска - Координирани действия за насочване и контрол на ОРГАНИЗАЦИЯТА по отношение на риска.
Забележка: Управлението на риска обикновено включва оценка на риска, третиране на риска, приемане на риска и оповестяване. (ISO/IEC Guide 73:2002)
Третиране на риска - Процес за подбор и прилагане на мерки с цел изменение на риска. (ISO/IEC Guide 73:2002)
Заплаха  - Потенциална причина за нежелан инцидент, която може да увреди система или организация. (ISO/IEC 13335-1:2004)
Уязвимост - Слабост на актив или група от активи, която може да бъде използвана от една или повече заплахи (ISO/IEC 13335-1:2004)

6.    Резултати от проведения Одит

Обобщените резултати от съпоставянето на въведените в ОРГАНИЗАЦИЯТА контролни / защитни механизми, с тези, описани в ISO 27002Information technology — Security techniques — Code of practice for information security management” са показани в Таблица 2

Таблица 2
Индекс на нивото на способност
Категория на постигнато ниво на способност
Брой на контролните / защитни механизми
(по индекс и ниво на постигната способност)
% от общия брой контролни / защитни механизми
0
Не съществува
12
9 %
1
Първоначално
15
11 %
2
Ограничено
48
36 %
3
Определено
55
42 %
4
Управлявано
0
0 %
5
Оптимизирано
0
0%
6
Неприложимо
3
2 %


ОБЩ БРОЙ

133

100 %




Детайлните резултати, описващи областта за сигурност, съответните цели и контролите / защитните механизми, и оценката на постигнатото ниво на способност в ОРГАНИЗАЦИЯТА (индекс и категория) са представени в Приложение 1 към този Доклад (не е показан в този ПРИМЕРЕН документ)

7.    Анализ на резултатите от одита

Регистрираните резултати от провеждането на Одита, показват както положителни страни, така и слабости, свързани с различни аспекти  на Информационната сигурност в ОРГАНИЗАЦИЯТА.

Положителни страни:

-       Ангажираност на Ръководството с въпросите на Информационната сигурност;
-       Създадени, прилагани и развивани  множество от „добри” практики за защита / контрол на информационните активи на ОРГАНИЗАЦИЯТА – данни и информация, хардуер, софтуер, системи и персонал;
-       Наличност на основна, вътрешна нормативна база, регламентираща извършването на различни дейности, свързани с Информационната сигурност;
-       Много добро познаване, от страна на ИТ отдела на основните бизнес процеси и автоматизираните системи, които осигуряват тяхната работа, в т.ч. и внедрените контролни / защитни механизми – административни и/или технологични;
-       Познаване на националната законова база, свързана с Информационната сигурност и приложима за съответния сектор;
-       Наличие на много добра система за физическа сигурност – физически контрол на достъпа, видеонаблюдение и др.;
-       Прилагане на Метод за оценка на операционния риск в интерес и на Информационната сигурност;
-       Въведените в ОРГАНИЗАЦИЯТА контролни / защитни механизми покриват, като обхват, всички зони (области) за сигурност от ISO 27002

Оснони слабости:

-       Липсва изградена система за определяне важността на информационните активи към бизнес процесите (дейностите) които обслужват. В този смисъл, не се поддържа актуален списък на информационните активи, подлежащи на контрол и защита;
-       Не са ясно определени и собствениците на информационните активи (в контекста на Информационната сигурност), съответно, техните задължения по сигурността на тези активи;
-       Липсва разработена и документирана Политика за Информационна сигурност – основен, стратегически документ, показващ основните задачи и намеренията на организацията в областта на защитата на информационните активи;
-       Не се прилага специализиран метод за оценка и анализ на риска към Информационната сигурност, като неразделна част от определянето на операционния риск. Резултатите от оценката и анализа на риска към Информационната сигурност е базата за вземане на обосновано решение за въвеждане на контролни / защитни механизми за съответните информационни активи;
-       Липсва единна организация по въпросите на Информационната сигурност – не е ясно кой е отговорен за планирането, управлението, контрола, координирането  и изпълнението на задачите по Информационната сигурност

Като цяло, на база получените резултати от Одита, може да се направи основния извод, че в ОРГАНИЗАЦИЯТА са въведени значителен брой, отделни контролни /защитни механизми, документирани частично и не обвързани в цялостна Система за управление на Информационната сигурност.
В този смисъл и съгласно приложената методология за оценка, обобщеното ниво на способности (за всички въведени и оценени контролни / защитни механизми) на ОРГАНИЗАЦИЯТА  по Информационната сигурност  се оценява като „ОПРЕДЕЛЕНО” (индекс 3, по Таблица 1)

8.    Препоръки за подобрени на Информационната сигурност в ОРГАНИЗАЦИЯТА

С цел развитие и подобряване на Информационната сигурност,  отчитайки резултатите от Одита, постигнатото обобщено ниво на способности, и наличиния потенциал на ОРГАНИЗАЦИЯТА – опитни специалисти в ИТ отдела, наличие на специализирано звено за оценка и  анализ на риска, звено за вътрешен одит (със специалист по ИТ), отдел за сигурност и класифицирана информация – могат да се направят следните основни препоръки:
-       Ръководството на ОРГАНИЗАЦИЯТА да предприеми съответните действия за преход от внедряване на  отделни контролни / защитни механизми към изграждане на цялостна Система за Управление на Информационната Сигурност (СУИС), в съответствие с изискванията на ISO 27001 – Информационни технологии – Техники за сигурност – Системи за управление на информационната сигурност  Изисквания”;

-       Ръководството на ОРГАНИЗАЦИЯТА да създаде единна организация за планиране, управление и координация на всички въпроси по сигурността – в т.ч. физическа сигурност, информационна сигурност, сигурност на персонала, защита на класифицираната информация;

-       Звеното за оценка и анализ на риска да разшири обхвата на прилаганата методика за оценка на операционния риск, чрез добавяне на метод за оценка на риска към Информационната сигурност - напр. използвайки стандартизираната методика NIST Special Publication 800-30 – Risk Management Guide for Information Technology Systems – Recommendations of National Institute of Standards and Technology (USA);

-       Ръководството на ОРГАНИЗАЦИЯТА да планира изграждането на резервен комуникационно – информационен център, с цел осигуряване на непрекъснатост на основните бизнес процеси на ОРГАНИЗАЦИЯТА и защита от загуба на важни данни и/или информация, в случаи  на крупни промишлени аварии, природни бедствия или други извънредни обстоятелства;

-       Изградените системи за видеонаблюдение и контрол на достъпа и работното време да бъдат в разпореждане единствено и само на отдел „Сигурност и класифицирана информация”, като съответните служители, бъдат обучени за самостоятелна работа с тези системи, вкл. за преглед и анализ на записи за минали периоди;

-       Отдел „Информационни технологии” да извърши преглед и анализ на ползите от внедряване на специализирани системи за Информационна сигурност, осигуряващи:

§  Наблюдение, сбор, обработка и корелация на данни и/или информация, свързана с възникнали събития по сигурността в мрежите и приложенията;
§  Превенция от загуба на данни и/или информация;
§  Управление на риска
§  Управление на заплахите
§  Управление на инцидентите / пробивите по сигурността
§  Криптографска защита на данните / информацията – при обмен и съхраняване

За реализиране в ОРГАНИЗАЦИЯТА  на прехода от внедряване на  отделни контролни / защитни механизми към изграждане на цялостна Система за Управление на Информационната Сигурност (СУИС), в съответствие с изискванията на ISO 27001 – Информационни технологии – Техники за сигурност – Системи за управление на информационната сигурност  Изисквания”, могат  да се препоръчат за организация и изпълнение следните  първоначални   действия, в близкосрочен период от време:

-       Провеждане на курс за обучение на тема: „Подход и методология за изграждане на СУИС, в съответствие с изискванията на ISO 27001 (Приложение 2 –Програма за провеждане на курс за обучение по СУИС - не е показана в този ПРИМЕРЕН документ);
-        Разработване и утвърждаване на Задание и Работна програма за изграждане на СУИС в ОРГАНИЗАИИЯТА (Приложение 3 –Задание и Работна програма за изграждане на СУИС - не са показана в този ПРИМЕРЕН документ)

9.    Интервюирани длъжностни лица от ОРГАНИЗАЦИЯТА, по време на одита
За придобиване на необходимата и достатъчна информация за оценка състоянието на Информационната сигурност в ОРГАНИЗАЦИЯТА бяха проведени интервюта, по предварително структурирани въпроси, в съответствие с методологията на Одита, с длъжностни лица от ОРГАНИЗАЦИЯТА, както е показано в Таблица 3.


Таблица 3

Област на Одита
Интервюиран
Длъжност в ОРГАНИЗАЦИЯТА
1
Оценка и анализ на риска към Информационната сигурност


2
Политики за Информационна сигурност


3
Организиране на Информационната сигурност


4
Управление на информационните активи


5
Персонална сигурност


6
Физическа сигурност и сигурност на работната среда


7
Управление на комуникациите и дейностите


8
Контрол на достъпа (логически контрол на достъпа)


9
Придобиване, разработване и поддръжка на информационни системи


10
Управление на инциденти по сигурността в информационните системи


11
Управление на непрекъснатостта на бизнеса


12
Съответствие със законите и нормативната уредба



ОДИТОР:
            Пламен Каменов
            Сертифициран Водещ одитор
            по ISO 27001 - Системи за управление
на информационната сигурност
За повече информация и въпроси:
Пламен Каменов
Mobile phone:  0886 655 315



Няма коментари:

Публикуване на коментар