Читаем Обеспечение информационной безопасности бизнеса полностью

Независимая оценка достигается путем проведения оценки группой оценки, члены которой независимы от объекта оценки. Организатор оценки может относиться к той же организации, к которой относится объект оценки, но не обязательно к оцениваемому объекту оценки. Степень независимости может варьироваться в соответствии с целью и областью оценки. В случае внешнего организатора оценки предполагается наличие взаимного соглашения между организатором оценки и организацией, к которой относится объект оценки. Представитель объекта оценки принимает участие в формировании свидетельств оценки, обеспечивает взаимодействие группы оценки с владельцами активов. Их участие в проведении оценки дает возможность определить и учесть особенности объекта оценки, обеспечить достоверность результатов. Самооценка выполняется организацией с целью оценки собственной СОИБ. Организатор самооценки обычно входит в состав объекта оценки, как и члены группы оценки.

Область оценки может включать, например, один или несколько процессов объекта оценки, например, организатор может сосредоточить внимание на одном или нескольких критических процессах и /или защитных мерах. Выбор объекта оценки должен отражать намеченное использование организатором выходных данных оценки. Например, если выходные данные предназначены для использования при совершенствовании деятельности по обеспечению ИБ, то область оценки должна соответствовать области намеченных работ по совершенствованию. Область оценки может быть любой: от отдельного процесса до всей организации. В контексте оценки должно быть представлено подробное описание объекта оценки, включающее размеры объекта оценки, область применения продуктов или услуг объекта оценки, основные характеристики (например, объем, критичность, сложность и качество) продуктов или услуг объекта оценки.

К ограничениям оценки можно отнести возможную недоступность основных активов, используемых в обычной деловой деятельности организации; недостаточный временной интервал, выделенный для проведения оценивания; необходимость исключения определенных частей объекта оценки из-за стадии жизненного цикла. Кроме того, могут быть наложены ограничения на количество и вид данных, которые должны быть собраны и изучены.

Содержание контекста оценки должно быть согласовано руководителем группы оценки с организатором и уполномоченным представителем объекта оценки и задокументировано до начала процесса оценки. Фиксирование контекста оценки важно, так как он содержит исходные элементы процесса оценки.

Во время выполнения оценки могут происходить изменения в контексте оценки. Изменения должны быть одобрены организатором оценки и уполномоченным представителем объекта оценки. Если эти изменения оказывают влияние на временной график и ресурсы проведения оценки, то планирование оценки должно быть соответствующим образом пересмотрено.

Сбор свидетельств оценки и проверка их достоверности. Назначение мероприятия: сбор свидетельств оценки с соблюдением условий обеспечения достоверной оценки ИБ.

Независимая оценка ИБ может быть осуществлена с помощью внутреннего и внешнего аудита ИБ. В [26] аудит ИБ определяется как систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению ИБ, установления степени выполнения в организации критериев ИБ, а также допускающий возможность формирования профессионального аудиторского суждения об информационной безопасности организации.

Необходимыми условиями обеспечения достоверной оценки ИБ при проведении аудита являются:

— использование доверенного процесса аудита и соблюдение основных принципов аудита;

— менеджмент программы аудита ИБ;

— использование наиболее достоверных источников свидетельств оценки;

— определение объема выборки с учетом заданной достоверности свидетельств оценки;

— учет факторов, влияющих на аудиторский риск, с целью снижения аудиторского риска.

Доверенный процесс аудита ИБ должен отвечать требованиям принятого в организации нормативного документа, описывающего процесс аудита ИБ, либо требованиям признаваемого сообществом международного (национального) нормативного документа (стандарта, рекомендации). Таким нормативным документом для банковской системы РФ является СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности», принятый и введенный в действие распоряжением Банка России от 28 апреля 2007 г. № Р-345. В стандарте изложены принципы проведения аудита ИБ организации, описана последовательность этапов проведения аудита ИБ, установлены требования к этапам проведения аудита ИБ организаций и к взаимоотношениям представителей аудиторской организации с представителями проверяемой организации.