Главная страница | Контакты | Случайная страница Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Отечественные законы и стандарты по основам аудита информационной безопасности

В настоящее время и в Российской Федерации и за рубежом отсутствует единый и общепринятый стандарт в области аудита информационной безопасности. В рамках ИСО проведение таких работ рассматривается, но результаты планируется получить не ранее 2007-2009 годов, что приводит к необходимости опираться на имеющиеся в мировой практике подходы. За рубежом в настоящее время используются самые различные как национальные, так и международные стандарты, прямо или косвенно имеющие отношение к проведению аудита ИБ. На международном и национальном уровне за рубежом принят ряд документов, в той или иной мере рассматривающих вопросы осуществления аудиторской деятельности в областях безопасности СИТ и ИБ организаций. К таким документам в первую очередь следует отнести:

«Цели управления для информационной и смежных технологий» (ControlObjectivesforInformationandrelatedTechnology, CobiT);

ISO/IEC 17799:2000 «Информационная технология - Кодекс установившейся практики для менеджмента информационной безопасностью» (ISO/IEC 17799:2000 Information technology - Code of practice for information security management);

BS 7799 2:2002 Information security management systems - Specification with guidance for use;

BSI PD 3003:2002 «Are you ready for a BS 7799-2 audit?»(BSI PD 3003:2002 «Готовы ли Вы к аудиту по требованиям BS 7799-2?»);

BSI PD 3004:2002 «Guide to the implementation and auditing of BS 7799 controls.»(BSI PD 3004:2002 «Руководство по реализации и аудиту средств управле-ния BS 7799»);

«Стандарты, руководящие указания и процедуры для специалистов в сфере аудита и управления информационными системами», опубликованы советом по стандартам ISACA в поддержку деятельности по аудиту по требованиям CobiT («IS Standards, GuidelinesandProceduresforAuditingandControlProfessionals»)

Положения стандартов ИСО/МЭК 17799, BS 7799 2:2002 и CobiT устанавливают определенные критерии для проведения аудиторской деятельности в отношении СИТ и организаций. Документ «Принципы аудита» стандарта CobiT и руководства серии BSI PD 3000 (в т. ч. BSI PD 3003 и BSI PD 3004) для национального стандарта Великобритании BS 7799-2, в первую очередь, предназначены для проведения внутреннего аудита информационных систем (включая средства ИБ) и систем менеджмента информационной безопасности (СМИБ) организаций. В то же время положения стандарта Великобритании BS 7799-2, совместно с рядом процедурных стандартов, таких как ИСО 19011, ИСО/МЭК 17025, ИСО/МЭК 65 формируют основу для сертификационного аудита ИБ СМИБ организаций, результаты которого признаются в определенных кругах международного бизнес-сообщества.