ПРИМЕР !
ДОКЛАД
ЗА
РЕЗУЛТАТИТЕ ОТ ПРОВЕДЕН ВЪТРЕШЕН ОДИТ
ЗА
ПЪРВОНАЧАЛНО УСТАНОВЯВАНЕ НА СЪСТОЯНИЕТО
ПО
ИНФОРМАЦИОННАТА СИГУРНОСТ
В ОРГАНИЗАЦИЯТА
Март,
2016 г.
СОФИЯ
Този ДОКЛАД се основава на предоставената от представители на одитираната
организация (ОРГАНИЗАЦИЯТА) информация и данни по време на провеждането на
вътрешен одит (Одит/а) по Информационната сигурност.
Този ДОКЛАД не може да се приема като сертификационен, под
каквато и да е форма.
1.
Основание
за провеждане на Одита – в съответствие с изискванията
на Договор № .... от.... между ............. (Възложител) и
............(Изпълнител)
2.
Цели
на Одита:
- да
установи първоначално, текущо състояние на Информационната сигурност в ОРГАНИЗАЦИЯТА
- да
препоръча конкретни мерки за развитие и подобряване на Информационната
сигурност в ОРГАНИЗАЦИЯТА
3.
Обхват
на Одита
Отчитайки дейностите на ОРГАНИЗАЦИЯТА и основните информационни активи (данни,
информация, автоматизирани системи, софтуер, хардуер, персонал и обкръжаваща
среда), осигуряващи / свързани с изпълнението на тези дейности, Одита обхвана
следните основни направления:
А.
Съответствие с основни изисквания за Информационна сигурност, свързани с:
- Идентифицирането
и описанието на информационните активи,
подлежащи на защита;
- Разработването
и изпълнението на цялостна Политика за информационна сигурност;
- Избора
и прилагането на подход / метод за оценка на риска към Информационните активи;
- Идентифицирането
и описание на заплахи към сигурността на Информационните активи;
- Планирането
на въвеждането на решения за противодействие на разкрити рискове към
сигурността на информационните активи;
Б.
Степен на прилагане на основни техники за постигане на Информационна сигурност,
в т.ч. контролни / защитни механизми в следните области:
- Политики за Информационна
сигурност;
- Организиране на
Информационната сигурност;
- Управление на
информационните активи;
- Персонална сигурност;
- Физическа сигурност и
сигурност на работната среда
- Управление на
комуникациите и дейностите;
- Контрол на достъпа (логически
контрол на достъпа);
- Придобиване, разработване
и поддръжка на информационни системи;
- Управление на инциденти по
сигурността в информационните системи;
- Управление на
непрекъснатостта на бизнеса;
4.
Приложена
методология за провеждане на Одита
За
съпоставяне на приложените от ОРГАНИЗАЦИЯТА
механизми и средства за защита на информационните активи с основни изисквания
за Информационна сигурност и техниките за нейното постигане, като база за
сравнение е използван стандарта ISO 27002 - „Information technology —
Security techniques — Code of practice for information security management”
Извършен
е „Gap Analysis” на
база получена информация / данни от
проведени интервюта със съответните длъжностни лица и / или на представените документирани
доказателства за въведени контроли (защитни механизми) от всякакъв тип –
политики, процедури, инструкции, технически средства, софтуер, организационни
мерки и др.
Оценката
на текущото състояние на Информационната сигурност в ОРГАНИЗАЦИЯТА, в
съответствие с обхвата на Одита (т.3 от този Доклад) е извършена на база
оценъчна схема (Таблица 1), базираща
се на Модела за ниво (зрялост) на способностите
(Capability Maturity Model – CMM),
приложен за всеки контролен / защитен механизъм, обект на проверка.
Таблица 1
Индекс на нивото на способност
|
Категория на постигнато ниво на способност
|
Описание на постигнатото ниво на способност
(за контролен
/ защитен механизъм от съответната област, описана в т.3, Б в този Документ)
|
0
|
Не съществува
|
Контролния
(защитния) механизъм:
-
е приложим;
-
не е въведен;
-
не е предвиден за оценка на неговата необходимост от прилагане;
|
1
|
Първоначално
|
Контролния
(защитния) механизъм:
-
е приложим;
-
е необходим (на база оценка за необходимостта от неговото прилагане) ;
-
не е въведен
|
2
|
Ограничено
|
Контролния
(защитния) механизъм:
-
е приложим;
-
е необходим (на база оценка за необходимостта от неговото прилагане) ;
-
е в процес на разработване или е частично внедрен;
-
е частично документиран
|
3
|
Определено
|
Контролния
(защитния) механизъм:
-
е приложим;
-
е необходим (на база оценка за необходимостта от неговото прилагане) ;
-
е внедрен;
-
е достатъчно документиран
-
не е част от Система за управление на информационната сигурност
|
4
|
Управлявано
|
Контролния
(защитния) механизъм:
-
е приложим;
-
е необходим (на база оценка за необходимостта от неговото прилагане) ;
-
е внедрен;
-
е напълно документиран
-
е част от частично изградена Система за управление на информационната
сигурност
|
5
|
Оптимизирано
|
Контролния
(защитния) механизъм:
-
е приложим;
-
е необходим (на база оценка за необходимостта от неговото прилагане) ;
-
е внедрен;
-
е напълно документиран
-
е част от изградена Система за управление на информационната сигурност,
сертифицирана на база международен стандарт за съответствие (напр. ISO
27001),
или приложима национална нормативна уредба.
|
6
|
Неприложимо
|
Контролния
(защитния) механизъм е неприложим
|
5.
Използвана
терминология и определения
За целите на този
документ се прилагат следните термини и определения:
Актив - Всичко, което има стойност
за организацията (ISO/IEC 13335-1:2004), в т.ч. данни, информация, хардуер,
софтуер, персонал .
Механизъм за контрол (контролен / защитен механизъм) - Начин за управление
на риска, включващ политики, процедури, указание, практики или организационни
структури, които могат да бъдат в административен, технически, управленски или
законов характер.
Забележка:
Израза „Механизъм за контрол” също така се използва и като синоним за
предпазване или контрамярка.
Информационна сигурност - Запазването
на конфиденциалността, целостта и наличността на информацията. Като допълнение
могат да бъдат включени и други свойства като автентичност, поемане на
отговорност, електронен подпис и надеждност.
Пробив на информационната сигурност - Идентифицирана
поява на състояние в система, услуга или мрежа, показващо възможно нарушаване
на политика по информационна сигурност, отказ на защити или незабелязана до
момента ситуация, засягаща сигурността.
(ISO/IEC TR 18044:2004)
Инцидент по сигурността на информацията - Единично
или поредица от неочаквани събития по сигурността на информацията, които има
голяма вероятност да навредят на бизнес операциите и да застрашат
информационната сигурност(ISO/ IEC TR 18044: 2004)
Политика - Общо намерение и
насоки, официално изразени от ръководството.на ОРГАНИЗАЦИЯТА
Управление на риска - Координирани
действия за насочване и контрол на ОРГАНИЗАЦИЯТА по отношение на риска.
Забележка:
Управлението на риска обикновено включва оценка на риска, третиране на риска,
приемане на риска и оповестяване. (ISO/IEC
Guide 73:2002)
Третиране на риска - Процес
за подбор и прилагане на мерки с цел изменение на риска. (ISO/IEC Guide 73:2002)
Заплаха - Потенциална
причина за нежелан инцидент, която може да увреди система или организация. (ISO/IEC 13335-1:2004)
Уязвимост - Слабост на актив или
група от активи, която може да бъде използвана от една или повече заплахи (ISO/IEC 13335-1:2004)
6.
Резултати
от проведения Одит
Обобщените резултати
от съпоставянето на въведените в ОРГАНИЗАЦИЯТА контролни / защитни механизми, с
тези, описани в ISO 27002 „Information technology
— Security techniques — Code of practice for information security management”
са показани в Таблица 2
Таблица 2
Индекс на
нивото на способност
|
Категория на постигнато ниво на способност
|
Брой на
контролните / защитни механизми
(по
индекс и ниво на постигната способност)
|
% от общия брой контролни / защитни механизми
|
0
|
Не съществува
|
12
|
9
%
|
1
|
Първоначално
|
15
|
11
%
|
2
|
Ограничено
|
48
|
36
%
|
3
|
Определено
|
55
|
42
%
|
4
|
Управлявано
|
0
|
0
%
|
5
|
Оптимизирано
|
0
|
0%
|
6
|
Неприложимо
|
3
|
2 %
|
|
ОБЩ БРОЙ
|
133
|
100 %
|
Детайлните резултати,
описващи областта за сигурност, съответните цели и контролите / защитните
механизми, и оценката на постигнатото ниво на способност в ОРГАНИЗАЦИЯТА (индекс
и категория) са представени в Приложение
1 към този Доклад (не е показан в този ПРИМЕРЕН документ)
7.
Анализ
на резултатите от одита
Регистрираните
резултати от провеждането на Одита, показват както положителни страни, така и слабости,
свързани с различни аспекти на
Информационната сигурност в ОРГАНИЗАЦИЯТА.
Положителни страни:
- Ангажираност
на Ръководството с въпросите на Информационната сигурност;
- Създадени,
прилагани и развивани множество от „добри”
практики за защита / контрол на информационните активи на ОРГАНИЗАЦИЯТА – данни
и информация, хардуер, софтуер, системи и персонал;
- Наличност
на основна, вътрешна нормативна база, регламентираща извършването на различни
дейности, свързани с Информационната сигурност;
- Много
добро познаване, от страна на ИТ отдела на основните бизнес процеси и
автоматизираните системи, които осигуряват тяхната работа, в т.ч. и внедрените
контролни / защитни механизми – административни и/или технологични;
- Познаване
на националната законова база, свързана с Информационната сигурност и приложима
за съответния сектор;
- Наличие
на много добра система за физическа сигурност – физически контрол на достъпа,
видеонаблюдение и др.;
- Прилагане
на Метод за оценка на операционния риск в интерес и на Информационната сигурност;
- Въведените
в ОРГАНИЗАЦИЯТА контролни / защитни механизми покриват, като обхват, всички
зони (области) за сигурност от ISO 27002
Оснони слабости:
- Липсва
изградена система за определяне важността на информационните активи към бизнес
процесите (дейностите) които обслужват. В този смисъл, не се поддържа актуален списък
на информационните активи, подлежащи на контрол и защита;
- Не
са ясно определени и собствениците на информационните активи (в контекста на
Информационната сигурност), съответно, техните задължения по сигурността на
тези активи;
- Липсва
разработена и документирана Политика за Информационна сигурност – основен,
стратегически документ, показващ основните задачи и намеренията на
организацията в областта на защитата на информационните активи;
- Не
се прилага специализиран метод за оценка и анализ на риска към Информационната
сигурност, като неразделна част от определянето на операционния риск.
Резултатите от оценката и анализа на риска към Информационната сигурност е
базата за вземане на обосновано решение за въвеждане на контролни / защитни
механизми за съответните информационни активи;
- Липсва
единна организация по въпросите на Информационната сигурност – не е ясно кой е
отговорен за планирането, управлението, контрола, координирането и изпълнението на задачите по Информационната
сигурност
Като цяло, на база
получените резултати от Одита, може да се направи основния извод, че в ОРГАНИЗАЦИЯТА
са въведени значителен брой, отделни
контролни /защитни механизми, документирани частично и не обвързани в цялостна Система за управление на Информационната
сигурност.
В този смисъл и
съгласно приложената методология за оценка, обобщеното ниво на способности (за всички въведени и
оценени контролни / защитни механизми) на ОРГАНИЗАЦИЯТА по Информационната сигурност се оценява като „ОПРЕДЕЛЕНО” (индекс 3,
по Таблица 1)
8.
Препоръки за подобрени на Информационната сигурност в ОРГАНИЗАЦИЯТА
С цел
развитие и подобряване на Информационната сигурност, отчитайки резултатите от Одита, постигнатото
обобщено ниво на способности, и наличиния потенциал на ОРГАНИЗАЦИЯТА – опитни специалисти в ИТ отдела, наличие на
специализирано звено за оценка и анализ
на риска, звено за вътрешен одит (със специалист
по ИТ), отдел за сигурност и класифицирана информация – могат да се направят следните
основни препоръки:
- Ръководството на ОРГАНИЗАЦИЯТА да предприеми съответните действия за преход от внедряване
на отделни контролни / защитни механизми
към изграждане на цялостна Система за Управление на Информационната Сигурност
(СУИС), в съответствие с изискванията на ISO 27001 – „Информационни технологии – Техники за
сигурност – Системи за управление на информационната сигурност – Изисквания”;
- Ръководството на ОРГАНИЗАЦИЯТА да създаде единна
организация за планиране, управление и координация на всички въпроси по
сигурността – в т.ч. физическа сигурност, информационна сигурност, сигурност на
персонала, защита на класифицираната информация;
- Звеното за оценка и анализ на риска да разшири обхвата на прилаганата методика за оценка на операционния риск,
чрез добавяне на метод за оценка на риска към Информационната сигурност - напр.
използвайки стандартизираната методика NIST Special Publication 800-30 – Risk Management Guide for Information Technology
Systems – Recommendations of National Institute of Standards and Technology
(USA);
- Ръководството
на ОРГАНИЗАЦИЯТА да планира изграждането на резервен комуникационно – информационен център, с цел осигуряване
на непрекъснатост на основните бизнес процеси на ОРГАНИЗАЦИЯТА и защита от
загуба на важни данни и/или информация, в случаи на крупни промишлени аварии, природни
бедствия или други извънредни обстоятелства;
- Изградените системи за видеонаблюдение и контрол на достъпа и
работното време да бъдат в разпореждане единствено и само на отдел „Сигурност и
класифицирана информация”, като съответните служители, бъдат обучени за
самостоятелна работа с тези системи, вкл. за преглед и анализ на записи за
минали периоди;
- Отдел „Информационни технологии” да извърши преглед и анализ на
ползите от внедряване на специализирани
системи за Информационна сигурност, осигуряващи:
§ Наблюдение, сбор, обработка и корелация на данни и/или информация,
свързана с възникнали събития по сигурността в мрежите и приложенията;
§ Превенция от загуба на данни и/или информация;
§ Управление на риска
§ Управление на заплахите
§ Управление на инцидентите / пробивите по сигурността
§ Криптографска защита на данните / информацията – при обмен и
съхраняване
За
реализиране в ОРГАНИЗАЦИЯТА на прехода
от внедряване на отделни контролни /
защитни механизми към изграждане на цялостна Система за Управление на
Информационната Сигурност (СУИС), в съответствие с изискванията на ISO 27001 – „Информационни технологии – Техники за
сигурност – Системи за управление на информационната сигурност – Изисквания”, могат да се препоръчат за организация и изпълнение
следните първоначални действия, в близкосрочен период от време:
- Провеждане
на курс за обучение на тема: „Подход и методология за изграждане на СУИС, в
съответствие с изискванията на ISO 27001
(Приложение 2 –Програма за
провеждане на курс за обучение по СУИС - не е показана в този ПРИМЕРЕН документ);
- Разработване и утвърждаване на Задание и Работна
програма за изграждане на СУИС в ОРГАНИЗАИИЯТА (Приложение 3 –Задание и Работна програма за изграждане на СУИС - не са показана в
този ПРИМЕРЕН документ)
9.
Интервюирани длъжностни лица от ОРГАНИЗАЦИЯТА, по време на
одита
За
придобиване на необходимата и достатъчна информация за оценка състоянието на
Информационната сигурност в ОРГАНИЗАЦИЯТА бяха проведени интервюта, по предварително структурирани
въпроси, в съответствие с методологията на Одита, с длъжностни лица от ОРГАНИЗАЦИЯТА, както е показано в
Таблица 3.
Таблица 3
№
|
Област на Одита
|
Интервюиран
|
Длъжност в ОРГАНИЗАЦИЯТА
|
1
|
Оценка и анализ на риска към
Информационната сигурност
|
|
|
2
|
Политики за Информационна сигурност
|
|
|
3
|
Организиране на Информационната сигурност
|
|
|
4
|
Управление на информационните активи
|
|
|
5
|
Персонална сигурност
|
|
|
6
|
Физическа сигурност и сигурност на работната
среда
|
|
|
7
|
Управление на комуникациите и дейностите
|
|
|
8
|
Контрол на достъпа (логически контрол на достъпа)
|
|
|
9
|
Придобиване, разработване и поддръжка на
информационни системи
|
|
|
10
|
Управление на инциденти по сигурността в
информационните системи
|
|
|
11
|
Управление на непрекъснатостта на бизнеса
|
|
|
12
|
Съответствие със законите и
нормативната уредба
|
|
|
ОДИТОР:
Пламен Каменов
Сертифициран Водещ одитор
по
ISO 27001 - Системи за управление
на
информационната сигурност
За повече
информация и въпроси:
Пламен
Каменов
Mobile phone: 0886 655 315
E-mail: infosecservicebg@gmail.com
Няма коментари:
Публикуване на коментар