Читайте также:
|
|
В настоящее время и в Российской Федерации и за рубежом отсутствует единый и общепринятый стандарт в области аудита информационной безопасности. В рамках ИСО проведение таких работ рассматривается, но результаты планируется получить не ранее 2007-2009 годов, что приводит к необходимости опираться на имеющиеся в мировой практике подходы. За рубежом в настоящее время используются самые различные как национальные, так и международные стандарты, прямо или косвенно имеющие отношение к проведению аудита ИБ. На международном и национальном уровне за рубежом принят ряд документов, в той или иной мере рассматривающих вопросы осуществления аудиторской деятельности в областях безопасности СИТ и ИБ организаций. К таким документам в первую очередь следует отнести:
«Цели управления для информационной и смежных технологий» (ControlObjectivesforInformationandrelatedTechnology, CobiT);
ISO/IEC 17799:2000 «Информационная технология - Кодекс установившейся практики для менеджмента информационной безопасностью» (ISO/IEC 17799:2000 Information technology - Code of practice for information security management);
BS 7799 2:2002 Information security management systems - Specification with guidance for use;
BSI PD 3003:2002 «Are you ready for a BS 7799-2 audit?»(BSI PD 3003:2002 «Готовы ли Вы к аудиту по требованиям BS 7799-2?»);
BSI PD 3004:2002 «Guide to the implementation and auditing of BS 7799 controls.»(BSI PD 3004:2002 «Руководство по реализации и аудиту средств управле-ния BS 7799»);
«Стандарты, руководящие указания и процедуры для специалистов в сфере аудита и управления информационными системами», опубликованы советом по стандартам ISACA в поддержку деятельности по аудиту по требованиям CobiT («IS Standards, GuidelinesandProceduresforAuditingandControlProfessionals»)
Положения стандартов ИСО/МЭК 17799, BS 7799 2:2002 и CobiT устанавливают определенные критерии для проведения аудиторской деятельности в отношении СИТ и организаций. Документ «Принципы аудита» стандарта CobiT и руководства серии BSI PD 3000 (в т. ч. BSI PD 3003 и BSI PD 3004) для национального стандарта Великобритании BS 7799-2, в первую очередь, предназначены для проведения внутреннего аудита информационных систем (включая средства ИБ) и систем менеджмента информационной безопасности (СМИБ) организаций. В то же время положения стандарта Великобритании BS 7799-2, совместно с рядом процедурных стандартов, таких как ИСО 19011, ИСО/МЭК 17025, ИСО/МЭК 65 формируют основу для сертификационного аудита ИБ СМИБ организаций, результаты которого признаются в определенных кругах международного бизнес-сообщества.
Дата добавления: 2015-04-20; просмотров: 28 | Поможем написать вашу работу | Нарушение авторских прав |