Юридические аспекты (содержание и полнота контракта)
У каждой организации существуют свои требования к заключаемым договорам и соответственно к аспектам, которые должны быть обязательно отражены и регламентированы. Каждая организация также самостоятельно определяет и находит компромисс по стоимости услуг по каждому виду аутсорсингового сервиса, а также по порядку расчетов. Основные вопросы, которые рекомендуется регулировать в рамках договора на аутсорсинг и соответственно принимать во внимание при проведении аудита, перечислены ниже (вопросы формирования цены не рассматриваются в рамках данной статьи):
• срок действия такого договора и процедуры его пролонгации на следующий период;
• процедуры внесения изменений, включая наличие возможности добавления новых услуг или расширения существующих;
• перечень изменений, вносимых в одностороннем порядке без согласования с клиентом (например, исполнитель вводит дополнительные механизма защиты);
• двусторонняя ответственность за нарушение договора;
• порядок и условия расторжения договора (в случае двустороннего и одностороннего расторжения);
• порядок и период обеспечения конфиденциальности информации;
• действия, совершаемые исполнителем при расторжении договора:
— передача всех информационных ресурсов и данных клиенту;
— уничтожение резервных копий и архивов;
— помощь в миграции;
• соблюдение вопросов лицензирования, авторских прав и интеллектуальной собственности.
Отметим, что вышеперечисленные критерии/вопросы не являются исчерпывающими и в то же время догмой. Ведь в любом случае все невозможно предвидеть и зарегулировать, поэтому между двумя организациями должна существовать определенная доля доверия. Тем не менее, правильно адресовав риски, можно намного упростить жизнь своей организации. А выявить эти риски как раз и поможет аудит.
Аудит и доверие информационной зопасности
Информационная безопасность — один из видов безопасности, определяется с учетом [18] и [19] через «состояние защищенности», неявно адресуя нас к категориям психологии, в частности уверенности и доверия в безопасности. Эта уверенность ориентирована на социум — человека или группу лиц, ожидающих или же стремящихся достичь некоторых целей и предпринимающих в этой связи некие действия.
В комментарии [46] для международного бизнеса Консультативного комитета Организации по экономическому сотрудничеству и развитию (ОЭСР) по предпринимательству и промышленности и Международной торговой палаты «Доверие информационной безопасности для руководящих работников» по директивам ОЭСР от 2002 г. по безопасности сетей и информационных систем, относящимся к культуре безопасности, отмечается:
«Весь бизнес представляет собой вопрос доверия. Доверие может развиться только в том случае, когда участники сделки ощущают надежность и безопасность».
Наша уверенность может базироваться только на знаниях относительно некоторого объекта (системы, процесса — объекта доверия), получаемых и накапливаемых или же в результате наблюдений, или же в результате специально предпринимаемых мер как самостоятельно, так и с привлечением других сторон. Отмеченные комментарии ОЭСР и Международной торговой палаты [46], например, были выпущены в целях повышения осведомленности (накопления знаний) в деловых кругах о широком спектре рисков информационной безопасности, связанных в данном случае с использованием Интернета и электронной торговли, а также осознания решений, мер, практических приемов и политик, которые могут способствовать минимизации этих рисков. Эти знания были получены в течение многих лет многими организациями и странами и были обобщены в едином высокоуровневом документе.
Приведенные в [46] комментарии дают общее представление о содержании решений, мер, практических приемов и политик, среди которых представлены оценочные меры. Оценочные меры позволяют получить знания, необходимые нам для формирования ощущения уверенности.
Уверенность осознается посредством пересмотра данных доверия, полученных в результате процессов оценивания и мероприятий во время разработки, развертывания и действия, и в результате опыта по реальному использованию объекта доверия. Любые мероприятия, которые могут уменьшить неопределенность путем представления данных, свидетельствующих о правильности, эффективности и качестве атрибутов (например, свойств) объекта доверия, формируют основу доверия безопасности.
Существует много методов доверия, ориентированных на различные сущности или их совокупности, например применительно к системе (организации) в целом, продукции, процессам ее производства, но лишь ограниченное их количество предназначено для безопасности. В то же время прямо не относящиеся к безопасности методы доверия, такие, например, как сертификация системы менеджмента качества организации по ISO 9000, могут оказать содействие в формировании доверия безопасности. При этом является важным, знаем ли мы изначально, насколько тот или иной существующий метод доверия имеет отношение (прямое или косвенное) к области безопасности.
Если исходить из предпосылок, что безопасность — это в первую очередь стремление к порядку (роли и ответственности, права и обязанности), то, учитывая малое число существующих специфичных для безопасности методов (стандартов, относящихся к обеспечению безопасности на различных стадиях жизненного цикла систем, процессов, продукции, доверия к персоналу и т.д.), каждый из существующих методов доверия привносит свой вклад в уверенность в безопасности. Все, что может быть использовано для создания аргументации для уверенности в безопасности и уменьшения в связи с этим неопределенности (риска), имеет большое значение.
Например, несмотря на то что ISO 9000 [13] является стандартом доверия к качеству, первоначально разработанному для промышленных организаций, он также содержит элементы доверия к процессу, применимому, например, для программного обеспечения и, по существу, для программных продуктов и систем безопасности. В сравнении с этим SSE-CMM [43] является методом доверия безопасности. Этот метод формирует данные доверия, оценивая процессы проектирования безопасности в организации, а не непосредственно объект доверия, например системы.
Все отмеченные факторы оказывают влияние на формирование доверия безопасности и, в частности, на выбор метрик — методов измерений/оценки. Аудиты (внутренние/внешние), как и другие направления оценивания информационной безопасности, предназначены обеспечить свидетельства в реализации заявленных требований или целей безопасности, что, в свою очередь, направлено на формирование уверенности в безопасности.
Например, внутренние аудиты систем менеджмента информационной безопасности являются в соответствии с [24] составной частью процессов, реализуемых на стадии проверки цикла PDCA СМИБ. Результаты аудиторских проверок используются в качестве одного из видов входной информации для процессов анализа СМИБ руководством, осуществляемого с целью обеспечения контроля адекватности и эффективности СМИБ. Отсюда очевидно, что весьма важными являются следующие вопросы:
• насколько достоверными являются результаты аудита?
• насколько результаты аудита адекватны реальному состоянию дел?
• насколько результаты аудита позволяют оценить степень достижения целей информационной безопасности организацией и влияния информационной безопасности на бизнес-цели организации?
Первая группа вопросов связана с качеством методики проведения аудита, квалификацией и опытом аудиторов, степенью достоверности представляемых в процессе аудита свидетельств, т.е. теми аспектами, которые определяют отношение заинтересованной стороны к результатам аудита информационной безопасности. Методика проведения аудита, как правило, является «ноу-хау» аудиторской организации, аудитора, т.е. в конечном счете все сводится к уровню способности аудиторской организации к данному виду деятельности. Данные аспекты регулируются во всех сферах аудиторской деятельности либо на правовом уровне, либо на уровне стандартов.
Так, в Федеральном законе «Об аудиторской деятельности» установлены особые положения об аудиторе и аудиторской организации, их независимости, их ответственности за заведомо ложное аудиторское заключение, контроле качества работы аудиторских организаций и индивидуальных аудиторов. Особо оговорены процедура аттестации физических лиц на право осуществления аудиторской деятельности и процедура лицензирования аудиторской деятельности. Законом предусмотрен также уполномоченный федеральный орган государственного регулирования аудиторской деятельности, одними из основных функций которого являются организация системы надзора за соблюдением аудиторскими организациями и индивидуальными аудиторами лицензионных требований и условий и контроль за соблюдением аудиторскими организациями и индивидуальными аудиторами федеральных правил (стандартов) аудиторской деятельности. В ГОСТ Р ИСО 19011 [33] основным содержанием являются вопросы проведения аудита, а также компетентности и оценки аудиторов.
Вторая группа вопросов связана с обеспечением полноты проверки, проверяемых материалов, т.е. с программой аудита, что в конечном итоге позволяет создать уверенность в достижении целей аудита безопасности. Эти обстоятельства также регулируются во всех сферах аудиторской деятельности либо на правовом уровне, либо на уровне стандартов. Законом «Об аудиторской деятельности» аудитору предоставляются права проверять в полном объеме документацию, связанную с финансово-хозяйственной деятельностью аудируемого лица, а также фактическое наличие любого имущества, учтенного в этой документации, получать у должностных лиц аудируемого лица разъяснения в устной и письменной формах по возникшим в ходе аудиторской проверки вопросам вплоть до права отказаться от проведения аудиторской проверки или от выражения своего мнения о достоверности финансовой (бухгалтерской) отчетности в аудиторском заключении в случае непредставления аудируемым лицом всей необходимой документации. ГОСТ Р ИСО 19011 содержит целый раздел, в котором описывается процесс управления программой аудита. Особо оговариваются цели и объем программы аудита, оговаривается ответственность за программу аудита, описываются необходимые ресурсы и процедуры, излагаются положения по внедрению программы аудита, устанавливаются требования к записям по программе аудита, раскрываются положения по мониторингу и анализу программы аудита.
Третья группа вопросов связана с принципиальной возможностью разрешения с помощью аудита проблемы обеспечения видимости состояния защищенности организации от угроз в информационной сфере, т.е. информационной безопасности, и ее вклада в достижение главных целей деятельности любой организации. В конечном итоге — это вопрос о формировании уверенности в достижении целей информационной безопасности.
Решение вопроса об обеспечении уверенности в достижении системой менеджмента в любой сфере предметной деятельности своих целей является неотъемлемой частью цикла РОСА. К сожалению, в международном стандарте IS0/IEC 27001: 2005 [24], несмотря на близость его происхождения к методологии стандарта ИСО 9000: 2000, вопрос этот по сравнению с «родственником» проработан недостаточно ясно.
Если следовать методологии, использованной при разработке словаря в ГОСТ Р ИСО 9000 (аутентичном тексту международного стандарта IS0 9000-2000), то целями деятельности в рамках стадии проверки цикла PDCA СМИБ можно было бы определить «часть менеджмента информационной безопасности, направленную на создание уверенности в том, что требования к информационной безопасности будут выполнены».
Как ни странно, но ИСО в своей деятельности давно выделило этот вопрос в особое направление — обеспечение доверия к информационной безопасности. В рамках этого направления разрабатывается документ IS0/IEC 15443 «Information technology — Security techniques — A framework for IT security assurance». Документ предназначен дать общий подход к формированию уверенности относительно тех или иных объектов доверия, включая краткий обзор, как специфичных методов доверия безопасности ([21, 22, 23, 24] и др.), так и иных, дающих дополнительные недостающие свидетельства ([12, 13, 32, 35] и др.).
При этом целесообразно различать уверенность (доверие) правильности и уверенность (доверие) эффективности.
Доверие правильности относится к оцениванию некоторого объекта доверия, чтобы проверить правильность реализации требований, примером такого оценивания является оценка соответствия, включая аудит, системы менеджмента информационной безопасности организации требованиям международного стандарта 150/1ЕС 27001 [24].
Доверие эффективности относится к возможностям функций (процессов) безопасности объекта доверия, например, на уровне организации, противостояния воспринимаемым или идентифицированным угрозам безопасности, включая адаптацию к изменениям как внутри, так и во вне организации. Подходы к такой оценке рассмотрены в п. 3.3.2.
На практике из всего отмеченного следует, что целесообразна комбинация определенных мер доверия к безопасности, где есть место и мерам оценки правильности (оценки соответствия требованиям), и мерам оценки эффективности (результативности и зрелости, например, для того, чтобы измерить степень их возможности процессов к самосовершенствованию и развитию).
Следует отметить и еще один важный аспект. Доверие способствует уменьшению риска: доверие уменьшает неопределенность, связанную с уязвимостями объекта доверия, ведя к снижению общего риска (за счет более точного прогноза), связанного с объектом доверия. При этом доверие не добавляет никаких дополнительных защитных мер, чтобы противостоять риску, связанному с безопасностью, скорее, мероприятия доверия пытаются доказать, что объект доверия соответствует своим целям безопасности. Это включает формирование соответствующих свидетельств доверия и логических обоснований, чтобы дать уверенность, что уже реализованные защитные меры уменьшат ожидаемый (прогнозируемый) риск.
Возможная обобщенная логическая модель обеспечения доверия к информационной безопасности, построенная на основе методологии документа 150/1ЕС 15443, приведена на рисунке 31. Здесь под объектом доверия понимается защитная мера информационной безопасности, система, услуга, процесс или фактор среды (т.е. персонал, организация). Уверенность понимается как убеждение в том, что объект доверия будет действовать ожидаемым или заявленным образом (т.е. должным образом, реализуя в полной мере политику безопасности, обеспечивая эффективность). В целом мера доверия — это процесс или мероприятие метода доверия, само по себе признанное (в рамках некоторого сообщества) приносящим воспроизводимые результаты. Под доказательством доверия понимается совокупность структурированных заявлений (утверждений) о доверии, подкрепленных свидетельством доверия и обоснованием, которые четко показывают, каким образом удовлетворены потребности доверия.
Критерии доверия здесь необходимо понимать как критерии, отражающие соответствие объекта доверия степени уверенности в нем со стороны заинтересованного лица. В соответствии с документом Б0/1ЕС 15443 уровень обеспечения доверия — это требуемое и(или) оцененное значение, определяемое согласно некоторой шкале, использованной методом обеспечения доверия. При этом уровень обеспечения доверия объекта доверия может измеряться неколичественной мерой, а усилиями, затраченными на выполнение деятельности.
Относительно понятия «стадия доверия» в документе ИСО определено, что это стадия жизненного цикла объекта доверия, в отношении которой используется определенный метод обеспечения доверия. При этом уверенность в объекте доверия основывается на результатах применения методов обеспечения доверия на всем жизненном цикле объекта доверия. Под методом обеспечения доверия понимается общепризнанная спецификация, например стандарт, предназначенная для получения воспроизводимых результатов доверия, а в свою очередь результаты обеспечения доверия — это документированные количественные или качественные формулировки в отношении объекта доверия, например аудиторское заключение, отчет об оценке.
Два документа ИСО 1Б0/1ЕС 15443 и Б0/1ЕС 21827 однозначно определяют понятие «свидетельство доверия» как результаты обеспечения доверия или любые элементы, созданные в результате деятельности, направленной на обеспечение/достижение уверенности, включая отчеты (обоснования), которые используются для поддержки заявления (утверждения) о доверии. Свидетельство может состоять из результатов наблюдения, результатов тестов, результатов анализа и оценочных документов. Под заявлением о доверии необходимо понимать утверждение или поддерживающее утверждение о том, что объект доверия удовлетворяет потребностям безопасности. При этом заявления могут осуществляться как относительно непосредственных угроз (например, утверждение о том, что обеспечивается защита системных данных от атак, осуществляемых посторонними лицами), так и относительно косвенных угроз (например, утверждение о том, что
Создает, |
Разработчик, интегратор, эксплуатирующее подразделение,... |
Делает |
Служит основанием |
Орган доверия |
Рис. 31. Логическая модель обеспечения доверия к ИБ |
текст программ операционной системы обладает минимальными дефектами). Орган доверия здесь — это лицо, организационная структура или организация (социум), обладающее полномочиями принимать решения относительно доверия, связанного с объектом доверия, которые, в конечном счете, приводят к вселению уверенности в объекте доверия. При этом решения могут приниматься относительно выбора методов доверия, спецификации требований доверия, принятия доверия и реализации мер обеспечения доверия, а в некоторых системах (оценки или доверия) или организациях термин «орган доверия» может изменяться, например, на «орган оценки».
Даже из краткого описания упрощенной модели обеспечения доверия к информационной безопасности становится очевидно, что в изложении Б0/1ЕС 15443 система обеспечения доверия информационной безопасности, а тем более на уровне организации, — это целая совокупность организационной структуры и упорядоченных процессов, в рамках которой аудит информационной безопасности является одним из значимых компонентов. Поэтому его назначение, процедура проведения, роль и т.д. должны рассматриваться именно с позиций обеспечения доверия к информационной безопасности, а вся соответствующая стадия жизни СМИБ — проверка должна быть выстроена не в виде разрозненной совокупности процессов как в 1Б0/1ЕС 27001: 2005, а как полноценная и полноразмерная система обеспечения доверия к информационной безопасности, о чем авторы и надеются рассказать в следующей книге.
Список использованных источников
1. Прангишвили И.В. Системный подход и общесистемные закономерности. — М.: Синтег, 2000.
2. Маторин СМ. Системология и объектно-ориентированный подход //НТИ. Серия 2. — 2001, № 8.
3. Богданов A.A. Всеобщая организационная наука (тектология). — М.: Книга, 1925.
4. Винер Н. Кибернетика. — М.: Сов. радио, 1968.
5. Садовский В.И. Основания общей теории систем. — М., 1974.
6. Сетров М.И. Основы функциональной теории организации. — Л.: Наука, 1972.
7. Мельников f.П. Системология и языковые аспекты кибернетики. —■ М.: Сов. радио, 1978.
8. Месарович М., Такахара Я. Общая теория систем. — М.: Мир, 1978.
9. Боулинг К. Общая теория систем — скелет науки //Исследования по общей теории систем. — М.: Прогресс, 1969.
10. Шрейдер Ю.А. Теория множеств и теория систем. — М.: Наука, 1978.
11. Урманцев Ю.А. Общая теория систем. — М.: Мысль, 1988.
12. IS0/IEC IS 15288-2002 Systems engineering. System Life Cycle Processes.
14. ISO/ТС 176/SC 2/N 544R2, ISO 9000 Introduction and Support Package: Guidance on the Concept and Use of the Process Approach for management systems, 13 May 2004.
15. Draft Federal Information Processing Standards Publication 183, Integration definition for function modeling (IDEFO), 21 December 1993 (http://www.itl.nist.gov/fipspubs/idef02.doc).
16. Draft Federal Information Processing Standards Publication 184, Integration definition for information modeling (IDEF1X), 21 December 1993 (http://www.itl.nist.gov/fipspubs/ideflx.doc).
17. P 50.1.028-2001 «Информационные технологии поддержки жизненного цикла продукции. Методология функционального моделирования».
18. Закон РФ от 5 марта 1992 г. № 2446-1 «О безопасности» (с изм. от 25 декабря 1992 г., 24 декабря 1993 г., 25 июля 2002 г., 7 марта 2005 г.).
19. «Доктрина информационной безопасности Российской Федерации», утв. Президентом РФ 9 сентября 2000 г.
20. Елиферов В.Г., Репин В.В. Бизнес-процессы: Регламентация и управление: Учебник. — М.: ИНФРА-М, 2004.
21. IS0/IEC 13335 Information Technology. Security techniques. Management of information and communications technology security.
22. ISO TR 13569-2005 Banking and related financial services. Information security guidelines.
23. ISO/IEC TR 18044-2004 Information Technology. Security techniques. Information security incident management.
24. ISO/IEC 27001-2005 Information technology. Security techniques. Information security management systems. Requirements.
25. Гольдштейн Г.Я. Основы менеджмента: Учебное пособие, изд. 2-е, доп. и перераб. — ТРТУ, 2003.
26. ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения».
27. ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты».
28. Taylor W.F. Principles of Scientific Management. — New York: Harper & Row, 1911.
29. Нив Г.Р. Пространство доктора Деминга: Принципы построения устойчивого бизнеса /Пер. с англ. — М.: Альпина Бизнес Букс, 2005.
30. Deming W. Edward. Out of the Crisis: Quality, Productivity, and Competitive Position. — Cambridge (Mass.) Mass. Inst, of Technology, Center for Advanced Engineering Study: Cambridge University Press, 1982.
31. Курило А.П. и др. Обеспечение информационной безопасности бизнеса. — М.: Издательская группа «БДЦ-пресс», 2005.
32. IS0/IEC 15504 Information technology — Process assessment.
33. ГОСТ P ИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента».
34. www.informationcommissioner.gov.uk.
35. Control Objectives for Information and related Technology (COBIT) 3rd Edition, July 2000.
36. BS 15000 Specification for IT service management.
37. ISO/IEC 20000 Information technology — Service management.
38. ISO/IEC 15408-1999 Information technology — Security techniques — Evaluation criteria for IT security.
39. ISO/IEC 17799 Information technology — Code of practice for information security management.
40. Supervisory Memorandum — 1001, Rating Systems for Commercial Banks, Trust Departments, Foreign Bank Agencies, and Electronic Data Processing Operations Supervised by the Department of Banking, Texas Department of Banking, December 31, 1998 (rev).
42. Technical Report CMU/SEI-93-TR-024, ESC-TR-93-177, Capability Maturity Model for Software, Version 1.1, February 1993.
43. ISO/IEC 21827 Systems Security Engineering — Capability Maturity Model.
44. ISO/IEC 3rd WD 27004:2005-11 Information technology — Security techniques — Information security management measurements.
45. «Systems Security Engineering Capability Maturity ModeL (SSE-CMM) AppraisaL Method — Version 2.0» (SSAM).
46. Information Security Assurance for Executives, BIAC& ICC, October 7, 2003.
47. Системный анализ в управлении: Учеб. пособие /Под. ред. А.А.Емельянова. — М.: Финансы и статистика, 2002.
48. BSI PAS 56 Guide to Business Continuity Management (BCM).
49. ISO/IEC ЛТС 1/SC 27 N4801 ISO/IEC 2nd CD 27005 Information technology — Security techniques — Information security risk management.
Участники проекта «Аудит информационной безопасности»