10. Проверка и оценка информационной безопасности организации БС РФ

10. ПРОВЕРКА И ОЦЕНКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ОРГАНИЗАЦИИ БС РФ

10.1. Проверка и оценка ИБ организации может быть произведена с помощью аудита, самооценки и мониторинга ИБ.

10.2. Аудит ИБ организации БС РФ может быть внутренним или внешним (см. п. 7.3.4). Цель, порядок и периодичность проведения аудитов ИБ организации в целом (или ее отдельных структурных подразделений) или АБС определяется руководством организации на основе потребностей в такой деятельности и фиксируется в программе аудита ИБ.

10.3. Цель аудита ИБ организации состоит в проверке и оценке соответствия ИБ требованиям настоящего стандарта. Заключение по результатам проведения аудита ИБ организации должно показывать:

- текущий уровень ИБ организации;

- уровень зрелости процессов менеджмента ИБ организации;

- уровень осознания ИБ организации.

10.4. При проведении аудита ИБ организации должны использоваться стандартные процедуры документальной проверки, опрос и интервью с руководством и персоналом организации. При необходимости уточнения результатов документальной проверки, опросов и интервью в рамках внутреннего аудита ИБ в качестве дополнительного способа может применяться "проверка на месте", которая проводится для обеспечения уверенности в том, что конкретные защитные меры реализуются, правильно используются и проверяются с помощью тестирования. Обстоятельства, при которых требуется дополнительный способ в рамках внутреннего аудита ИБ, должны быть определены и согласованы в плане проведения аудита ИБ в организации.

10.5. При проведении внутреннего аудита ИБ могут использоваться журналы регистрации инцидентов ИБ, ведущиеся службами безопасности организации и формируемые на основе данных мониторинга ИБ.

10.6. При проведении внешнего аудита ИБ руководство организации должно обеспечить документальное и, если это необходимо, техническое подтверждение того, что:

- политика ИБ отражает требования бизнеса и цели организации;

- организационная структура управления ИБ создана;

- процессы выполнения требований ИБ исполняются и удовлетворяют поставленным целям;

- защитные меры (например, межсетевые экраны, средства управления физическим доступом) настроены и используются правильно;

- остаточные риски оценены и остаются приемлемыми для организации;

- система управления ИБ соответствует определенному уровню зрелости управления ИБ;

- рекомендации предшествующих аудитов ИБ реализованы.

10.7. Аудиторский отчет должен храниться в организации в течение установленного времени. Доступ к аудиторскому отчету должен быть разрешен только руководству организации и руководителям подразделения (лицам), ответственным за ИБ в организации.

10.8. Хорошей практикой подготовки к аудиту ИБ и проверки уровня ИБ организации БС РФ является проведение самооценки ИБ. Самооценка ИБ проводится собственными силами и по инициативе руководства организации. При проведении самооценки ИБ должны использоваться журналы регистрации инцидентов ИБ, ведущиеся службами безопасности организации и формируемые на основе данных мониторинга ИБ, проверяться эффективность реализованных защитных мер путем тестовых проверок (могут быть проверки на проникновение).

10.9. Мониторинг ИБ должен проводиться персоналом организации, ответственным за ИБ, с целью обнаружения и регистрации отклонений функционирования защитных мер от требований ИБ и оценки полноты реализации положений политики ИБ, инструкций и руководств обеспечения ИБ в организации.

Основными целями мониторинга ИБ в организации являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные руководством цели. Такими целями анализа могут быть:

- контроль за реализацией положений нормативных актов по обеспечению ИБ в организации;

- выявление нештатных (или злоумышленных) действий в АБС организации;

- выявление инцидентов ИБ.

Для целей оперативного и постоянного наблюдения объектов мониторинга могут использоваться как специализированные (например, программные) средства, так и штатные (входящие в коммерческие продукты и системы) средства регистрации действий пользователей, процессов и т.п.