32. Аудит начинается со вступительного совещания, на котором обсуждается повестка дня, программа аудита. После этого аудиторы приступают непосредственно к проверке.
33. На предварительном совещании руководитель группы ВА:
представляет руководителю подразделения Оператора членов группы аудиторов и разъясняет программу ВА СМИБ, а также цели и объем аудита;
2) решает с руководителем подразделения Оператора организационно-технические вопросы проведения внутреннего аудита: уточнение состава проверяемых лиц, обеспечение членов группы внутреннего аудита рабочими местами, необходимой документацией, средствами связи и другими необходимыми средствами, а также доступ к лог-файлам и настройкам ОС, информационных систем, службе каталогов и др. При проведении проверок настроек безопасности используется доступ «только для чтения» к программному обеспечению и данным.
34. Работник ИБ извещает проверяемого о проведении внутреннего аудита в любой доступной форме, и ознакамливает с программой аудита. Оригинал программы аудита хранится у работника ИБ.
35. Аудит документации является первым этапом проверки на соответствие требованиям ИБ. Вначале проверяются документы верхнего уровня: политика информационной безопасности ИС ЭВАК, стандарты и прочие НД по ИБ. Перечисленные документы должны отражать не только идеологию Оператора в целом в области ИБ, но и отражать распределение ответственности между работниками и руководством Оператора по обеспечению соответствующего уровня ИБ. Обязательно необходимо проверять осведомленность о содержании этих документов у работников и понимание целей, принципов и обязательства по защите активов ИС ЭВАК. Проверку документов нижних уровней целесообразно проводить на месте, т.е. при проверке конкретных процессов или мер по обеспечению безопасности.
36. Документация должна удовлетворять требованиям документированных процедур, прописанных в ТД по ИБ.
37. При аудите адекватности проверка документов осуществляется по следующим позициям:
проверка комплектности и полноты ТД по ИБ и всех вытекающих документов (актов, протоколов, журналов, отчетов);
соответствие названия, обозначений документа;
наличие подписей, их расшифровок, дат и должностей разработчиков, проверяющих, согласующих и утверждающих документ;
использование точных и однозначных терминов и определений;
описание процесса с достаточным уровнем детализации;
наличие условий для функционирования ТД по ИБ;
адекватность причин о дополнении или исключение ненужных пунктов в ТД по ИБ.
38. Аудитор должен поочередно пройти каждое заявленное в программе аудита и проверить выполнение необходимых требований. В ходе проверки может быть использовано интервьюирование, частная проверка процесса, проверка с помощью выборки.
39. Выявленные несоответствия в документах аудитором заносятся в протоколы (приложение 4 к Правилам).
40. По результатам аудита адекватности руководитель группы аудиторов корректирует (при необходимости) программу проведения аудита.
41. При проведении проверки на месте (аудит соответствия) устанавливается степень фактического выполнения работниками требований, установленных в ТД по ИБ, а также компетентность персонала. Данные получают путем опроса работников и наблюдения мероприятий и условий. Вся информация, указывающая на возможность несоответствия/уведомления, фиксируется независимо от того, входит она в программу аудита или нет.
42. Во время опроса аудитор должен внимательно слушать ответы, обеспечить взаимопонимание обеих сторон. Для проведения опроса аудиторы могут использовать заранее подготовленные чек-листы, примеры которых приведены в приложении 3 к Правилам.
43. Аудитор должен проверить способность работников обеспечить соответствие системы, процессов установленным для них требованиям, в том числе:
наличие персонала с необходимым уровнем квалификации и навыков;
наличие на рабочих местах необходимой документации и ее выполнение.
44. В течение рабочего дня группа аудиторов может собираться на свои промежуточные совещания для обмена информацией, обсуждения результатов, помощи друг другу, принятия оперативных решений, корректировке предварительных выводов.
45. Необходимость проведения инструментального аудита определяется руководством Оператора. Инструментальный аудит проводится не ранее чем через один год после внедрения СМИБ. Приобретение услуги по проведению инструментального аудита проводится в соответствии с законодательством РК, регулирующим вопросы государственных закупок.
46. Инструментальное обследование заключается в:
анализе конфигурационных настроек сетевого оборудования и сетевой топологии с точки зрения ИБ;
анализе конфигурационных настроек общесистемного и прикладного программного обеспечения с точки зрения ИБ;
инструментальном поиске уязвимостей.
47. Инструментальные средства автоматизации анализа выполнения требований ИБ должны позволять:
автоматизировать процесс оценки степени выполнения требований ИБ с учетом их важности;
оценивать эффективность различных вариантов защитных мер;
автоматизировать процессы анализа идентифицированных и зафиксированных внештатных действий пользователей и инцидентов ИБ;
генерировать документальные отчеты с результатами выполнения различных процедур.
48. Основным этапом в проведении инструментального аудита является сбор всех необходимых данных обо всех информационных активах:
перечень серверов, рабочих станций и коммуникационного оборудования;
информация о периферийном оборудовании;
информация об операционных системах, установленных на рабочих станциях и серверах;
данные о СУБД;
перечень прикладного ПО;
информация о производителе средств защиты;
конфигурационные настройки средств защиты;
схема установки средств защиты;
информация о типах каналов связи;
информация об используемых сетевых протоколах, IP-адресов;
схема информационных потоков
49. На заключительном этапе инструментального аудита формируется Отчет о результатах инструментального аудита защищенности и общие рекомендации по устранению выявленных недостатков в процессах обеспечения ИБ.
Достарыңызбен бөлісу: |