SlideShare ist ein Scribd-Unternehmen logo

Про аудиты ИБ для студентов фин.академии

Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Про аудиты ИБ для студентов фин.академии

Technologie
1 von 24
Downloaden Sie, um offline zu lesen
Что такое аудит ИБ и каким он бывает? Прозоров Андрей, CISM http://80na20.blogspot.ru 11-2014
2
Мой любимый «трудный» вопрос по ИБ: Уничтожение информации - это нарушение конфиденциальности, целостности или доступности (КЦД)? 3
4
5 Второй любимый «трудный» вопрос по ИБ: Что такое Аудит ИБ?
6
Часто аудитом ИБ называют нечто не являющееся аудитом. Я называю это «заблуждением ИТ-специалиста» 7
Термины по ГОСТ 19011-2012 •Аудит – систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита. •Критерии аудита – совокупность политик, процедур или требований, используемых в качестве эталона, в соотношении с которыми сопоставляют свидетельства аудита, полученные при проведении аудита. •Свидетельства аудита – записи, изложение фактов или другая информация, которые связаны с критериями аудита и могут быть проверены. 8
Еще термины •Выводы (наблюдения) аудита – результаты оценки собранных свидетельств аудита на соответствие критериям аудита. •Заключение по результатам аудита – выходные данные аудита после рассмотрения целей аудита и всех выводов аудита. •Область аудита (scope) – содержание и границы аудита. 9
Стороны аудита •Внутренний аудит: –Аудит первой стороны проводится самой организацией или от ее имени. -> Декларация соответствия •Внешний аудит: –Аудит второй стороны проводят стороны, заинтересованные в деятельности организации (например, потребители) –Аудит третьей стороны проводят внешние независимые органы (регулирующие или надзорные органы, сертифицирующие организации) 10
Принципы аудита 1.Целостность – основа профессионализма 2.Беспристрастность – обязательство предоставлять правдивые и точные отчеты 3.Профессиональная осмотрительность – прилежание и умение принимать правильные решения при проведении аудита 4.Конфиденциальность – сохранность информации 5.Независимость – основа беспристрастности и объективности заключений по результатам аудита 6.Подход, основанный на свидетельствах – разумная основа для достижения надежных и воспроизводимых заключений аудита в процессе систематического аудита 11
Методы аудита •Проведение интервью •Заполнение опросных листов •Анализ документации •Наблюдения за выполняемой работой •«Технический» аудит 12
13 Заключения по результатам аудита Анализ Выводы аудита Оценка по критериям аудита Свидетельства аудита Сбор выборочных данных Источники информации Упрощенная схема
Отчет по аудиту (1) Отчет по аудиту должен содержать полные, точные, четко сформулированные и понятные записи по аудиту, в соответствии с процедурами аудита, должен включать в себя или содержать ссылку на следующее: •Цели аудита •Область аудита •Идентификация заказчика аудита •Идентификация членов группы по аудиту и представителей проверяемой организации, принимавших участие •Даты и места проведения аудита на месте •Критерии аудита •Выводы аудита •Заключение по результатам аудита •Заявление о степени соответствия критериям аудита 14
Отчет по аудиту (2) При необходимости в отчет могут быть включены: •План аудита, включая график •Итоговое изложение процесса аудита, включая неопределенности и/или любые встретившиеся препятствия при его проведении, которые могут уменьшить достоверность заключений по результатам аудита •Подтверждение достижения целей аудита •Итоговая сводка, содержащая заключения по результатам аудита и подтверждающая выводы (наблюдения) аудита •Неразрешенные противоречия между группой по аудиту и проверяемой организацией •Возможности для улучшения, если это предусмотрено целями аудита •Вываленные сильные стороны и лучшие практики •Согласованный план действий по результатам аудита, если такой план имеется •Заявление о конфиденциальном характере содержимого отчета •Любые последствия для программы аудита или последующих аудитов •Перечень рассылки отчета по аудиту 15
Аудиты ИБ в РФ •152-ФЗ (ПДн) – не формализовано •ISO 27001 (ISMS) •PCI DSS •СТО БР ИББС •382-П •ISO 20000 (ITSM), ISO 9000 (QMS) 16
Из 152-ФЗ Ст.18.1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим ФЗ и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим ФЗ или другими федеральными законами. К таким мерам могут, в частности, относиться: •… 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; 17
18 Редкий вид аудитов – оценка процессов: •Модель зрелости процессов - Maturity Model (COBIT 4.1, CMMI) •Модель возможностей процессов - Process Capability Model (COBIT 5, ISO 15504)
Модель зрелости процессов 19
Модель возможностей процессов 20
Процессы COBIT5 21
SS SD ST SO CSI •Стратегическое управление ИТ- услугами •Управление портфелем услуг •Управление финансами для ИТ-услуг •Управление спросом •Управление взаимоотноше- ниями с бизнесом •Координация проектирования •Управление каталогом услуг •Управление уровнем услуг •Управление доступностью •Управление мощностями •Управление непрерывнос- тью ИТ-сервисов •Управление информацион- ной безопасностью •Управление подрядчиками •Планирование и поддержка преобразования •Управление изменениями •Управление сервисными активами и конфигурациями •Управление релизами и развертыванием •Подтверждение и тестирование услуг •Оценка изменения •Управление знаниями •Управление событиями •Управление инцидентами •Управление запросами на обслуживание •Управление проблемами •Управление доступом Функции: •Служба поддержки пользователей •Управление технической поддержкой •Управление эксплуатацией ИТ •Управление приложениями •Семишаговый процесс совершенствования Процессы и функции ITIL v3 22
Полезные ссылки •Блоги по ИБ в РФ - http://80na20.blogspot.ru/p/blog-page_7.html •Твиттеры по ИБ РФ - https://twitter.com/3dwave/lists/is-experts-ru •IIA - https://na.theiia.org •ISACA - https://www.isaca.org •NIST - http://nist.gov •PCI - https://www.pcisecuritystandards.org 23
Спасибо!  24

Empfohlen

Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Евгений Родыгин
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стандарты иб. Itsm
пр стандарты иб. Itsmпр стандарты иб. Itsm
пр стандарты иб. ItsmAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Книга про измерения (ITSM)
Книга про измерения (ITSM)Книга про измерения (ITSM)
Книга про измерения (ITSM)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итогпр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итогAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Empfohlen

Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Евгений Родыгин
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стандарты иб. Itsm
пр стандарты иб. Itsmпр стандарты иб. Itsm
пр стандарты иб. ItsmAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Книга про измерения (ITSM)
Книга про измерения (ITSM)Книга про измерения (ITSM)
Книга про измерения (ITSM)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итогпр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итогAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
About TM for CISO (rus)
About TM for CISO (rus)About TM for CISO (rus)
About TM for CISO (rus)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости DlpAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр серия стандартов Iso 22301
пр серия стандартов Iso 22301пр серия стандартов Iso 22301
пр серия стандартов Iso 22301Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерAlexey Evmenkov
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kSergey Chuchaev
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
пр Принципы измерения ИБ
пр Принципы измерения ИБпр Принципы измерения ИБ
пр Принципы измерения ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...LETA IT-company
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр серия стандартов Iso 27k
пр серия стандартов Iso 27kпр серия стандартов Iso 27k
пр серия стандартов Iso 27kAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC insideAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Weitere ähnliche Inhalte

Was ist angesagt?

пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерAlexey Evmenkov
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kSergey Chuchaev
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...LETA IT-company
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 

Was ist angesagt? (20)

пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)
 
About TM for CISO (rus)
About TM for CISO (rus)About TM for CISO (rus)
About TM for CISO (rus)
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости Dlp
 
пр серия стандартов Iso 22301
пр серия стандартов Iso 22301пр серия стандартов Iso 22301
пр серия стандартов Iso 22301
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мер
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27k
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
 
пр Принципы измерения ИБ
пр Принципы измерения ИБпр Принципы измерения ИБ
пр Принципы измерения ИБ
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
 
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
 
пр серия стандартов Iso 27k
пр серия стандартов Iso 27kпр серия стандартов Iso 27k
пр серия стандартов Iso 27k
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
 

Andere mochten auch

пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Andere mochten auch (9)

пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
 
Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]
 
пр про CISM
пр про CISMпр про CISM
пр про CISM
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 

Ähnlich wie Про аудиты ИБ для студентов фин.академии

Аудит_публикация
Аудит_публикацияАудит_публикация
Аудит_публикацияMikhail Khazanchuk
 
руководство для внутр аудитора.Ppt (1)
руководство для внутр аудитора.Ppt (1)руководство для внутр аудитора.Ppt (1)
руководство для внутр аудитора.Ppt (1)frolovame13
 
процессы смк
процессы смкпроцессы смк
процессы смкtrenders
 
Пришло ли время аудита?
Пришло ли время аудита?Пришло ли время аудита?
Пришло ли время аудита?Iryna Velychko
 
Assessment, Assurance, Control, Audit. В чем разница и зачем все это нужно?
Assessment, Assurance, Control, Audit. В чем разница и зачем все это нужно?Assessment, Assurance, Control, Audit. В чем разница и зачем все это нужно?
Assessment, Assurance, Control, Audit. В чем разница и зачем все это нужно?Cleverics
 
GCP для разработчиков (спонсоров). Организация системы качества клинических и...
GCP для разработчиков (спонсоров). Организация системы качества клинических и...GCP для разработчиков (спонсоров). Организация системы качества клинических и...
GCP для разработчиков (спонсоров). Организация системы качества клинических и...idkpharma
 
Комплексная оценка ИТ: практика контраудита
Комплексная оценка ИТ: практика контраудитаКомплексная оценка ИТ: практика контраудита
Комплексная оценка ИТ: практика контраудитаCleverics
 
Методы оценки качества требований и работы аналитика
Методы оценки качества требований и работы аналитикаМетоды оценки качества требований и работы аналитика
Методы оценки качества требований и работы аналитикаAlexander Novichkov
 
МC & BC - Coordination v2 PDF
МC & BC - Coordination v2 PDFМC & BC - Coordination v2 PDF
МC & BC - Coordination v2 PDFPavel V.
 
ИТ-аудит от компании Engler Outsourcing
ИТ-аудит от компании Engler OutsourcingИТ-аудит от компании Engler Outsourcing
ИТ-аудит от компании Engler OutsourcingManzhela Boris
 
Глава_4_4_5_6_проверки.ppt
Глава_4_4_5_6_проверки.pptГлава_4_4_5_6_проверки.ppt
Глава_4_4_5_6_проверки.pptDenysYLebedev
 
3. 10 shagov k pci compliance
3. 10 shagov k pci compliance3. 10 shagov k pci compliance
3. 10 shagov k pci complianceInformzaschita
 
Система менеджмента качества ISO 9000:2000 (В рамках программы “Электронная к...
Система менеджмента качества ISO 9000:2000 (В рамках программы “Электронная к...Система менеджмента качества ISO 9000:2000 (В рамках программы “Электронная к...
Система менеджмента качества ISO 9000:2000 (В рамках программы “Электронная к...Юрий Ж
 
PraxisCom аудит бизнес процессов
PraxisCom аудит бизнес процессовPraxisCom аудит бизнес процессов
PraxisCom аудит бизнес процессовPraxisCom LLC
 

Ähnlich wie Про аудиты ИБ для студентов фин.академии (20)

04 Dorofeev
04 Dorofeev04 Dorofeev
04 Dorofeev
 
Podgotovka k auditu
Podgotovka k audituPodgotovka k auditu
Podgotovka k auditu
 
Аудит_публикация
Аудит_публикацияАудит_публикация
Аудит_публикация
 
руководство для внутр аудитора.Ppt (1)
руководство для внутр аудитора.Ppt (1)руководство для внутр аудитора.Ppt (1)
руководство для внутр аудитора.Ppt (1)
 
процессы смк
процессы смкпроцессы смк
процессы смк
 
Пришло ли время аудита?
Пришло ли время аудита?Пришло ли время аудита?
Пришло ли время аудита?
 
Assessment, Assurance, Control, Audit. В чем разница и зачем все это нужно?
Assessment, Assurance, Control, Audit. В чем разница и зачем все это нужно?Assessment, Assurance, Control, Audit. В чем разница и зачем все это нужно?
Assessment, Assurance, Control, Audit. В чем разница и зачем все это нужно?
 
GCP для разработчиков (спонсоров). Организация системы качества клинических и...
GCP для разработчиков (спонсоров). Организация системы качества клинических и...GCP для разработчиков (спонсоров). Организация системы качества клинических и...
GCP для разработчиков (спонсоров). Организация системы качества клинических и...
 
Комплексная оценка ИТ: практика контраудита
Комплексная оценка ИТ: практика контраудитаКомплексная оценка ИТ: практика контраудита
Комплексная оценка ИТ: практика контраудита
 
Методы оценки качества требований и работы аналитика
Методы оценки качества требований и работы аналитикаМетоды оценки качества требований и работы аналитика
Методы оценки качества требований и работы аналитика
 
МC & BC - Coordination v2 PDF
МC & BC - Coordination v2 PDFМC & BC - Coordination v2 PDF
МC & BC - Coordination v2 PDF
 
ИТ-аудит от компании Engler Outsourcing
ИТ-аудит от компании Engler OutsourcingИТ-аудит от компании Engler Outsourcing
ИТ-аудит от компании Engler Outsourcing
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
 
Quality Management System
Quality Management SystemQuality Management System
Quality Management System
 
Глава_4_4_5_6_проверки.ppt
Глава_4_4_5_6_проверки.pptГлава_4_4_5_6_проверки.ppt
Глава_4_4_5_6_проверки.ppt
 
3. 10 shagov k pci compliance
3. 10 shagov k pci compliance3. 10 shagov k pci compliance
3. 10 shagov k pci compliance
 
Система менеджмента качества ISO 9000:2000 (В рамках программы “Электронная к...
Система менеджмента качества ISO 9000:2000 (В рамках программы “Электронная к...Система менеджмента качества ISO 9000:2000 (В рамках программы “Электронная к...
Система менеджмента качества ISO 9000:2000 (В рамках программы “Электронная к...
 
PraxisCom аудит бизнес процессов
PraxisCom аудит бизнес процессовPraxisCom аудит бизнес процессов
PraxisCom аудит бизнес процессов
 
Пособие по аудиту для сайта
Пособие по аудиту для сайтаПособие по аудиту для сайта
Пособие по аудиту для сайта
 
19011
1901119011
19011
 

Mehr von Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Mehr von Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 

Про аудиты ИБ для студентов фин.академии

  • 1. Что такое аудит ИБ и каким он бывает? Прозоров Андрей, CISM http://80na20.blogspot.ru 11-2014
  • 2. 2
  • 3. Мой любимый «трудный» вопрос по ИБ: Уничтожение информации - это нарушение конфиденциальности, целостности или доступности (КЦД)? 3
  • 4. 4
  • 5. 5 Второй любимый «трудный» вопрос по ИБ: Что такое Аудит ИБ?
  • 6. 6
  • 7. Часто аудитом ИБ называют нечто не являющееся аудитом. Я называю это «заблуждением ИТ-специалиста» 7
  • 8. Термины по ГОСТ 19011-2012 •Аудит – систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита. •Критерии аудита – совокупность политик, процедур или требований, используемых в качестве эталона, в соотношении с которыми сопоставляют свидетельства аудита, полученные при проведении аудита. •Свидетельства аудита – записи, изложение фактов или другая информация, которые связаны с критериями аудита и могут быть проверены. 8
  • 9. Еще термины •Выводы (наблюдения) аудита – результаты оценки собранных свидетельств аудита на соответствие критериям аудита. •Заключение по результатам аудита – выходные данные аудита после рассмотрения целей аудита и всех выводов аудита. •Область аудита (scope) – содержание и границы аудита. 9
  • 10. Стороны аудита •Внутренний аудит: –Аудит первой стороны проводится самой организацией или от ее имени. -> Декларация соответствия •Внешний аудит: –Аудит второй стороны проводят стороны, заинтересованные в деятельности организации (например, потребители) –Аудит третьей стороны проводят внешние независимые органы (регулирующие или надзорные органы, сертифицирующие организации) 10
  • 11. Принципы аудита 1.Целостность – основа профессионализма 2.Беспристрастность – обязательство предоставлять правдивые и точные отчеты 3.Профессиональная осмотрительность – прилежание и умение принимать правильные решения при проведении аудита 4.Конфиденциальность – сохранность информации 5.Независимость – основа беспристрастности и объективности заключений по результатам аудита 6.Подход, основанный на свидетельствах – разумная основа для достижения надежных и воспроизводимых заключений аудита в процессе систематического аудита 11
  • 12. Методы аудита •Проведение интервью •Заполнение опросных листов •Анализ документации •Наблюдения за выполняемой работой •«Технический» аудит 12
  • 13. 13 Заключения по результатам аудита Анализ Выводы аудита Оценка по критериям аудита Свидетельства аудита Сбор выборочных данных Источники информации Упрощенная схема
  • 14. Отчет по аудиту (1) Отчет по аудиту должен содержать полные, точные, четко сформулированные и понятные записи по аудиту, в соответствии с процедурами аудита, должен включать в себя или содержать ссылку на следующее: •Цели аудита •Область аудита •Идентификация заказчика аудита •Идентификация членов группы по аудиту и представителей проверяемой организации, принимавших участие •Даты и места проведения аудита на месте •Критерии аудита •Выводы аудита •Заключение по результатам аудита •Заявление о степени соответствия критериям аудита 14
  • 15. Отчет по аудиту (2) При необходимости в отчет могут быть включены: •План аудита, включая график •Итоговое изложение процесса аудита, включая неопределенности и/или любые встретившиеся препятствия при его проведении, которые могут уменьшить достоверность заключений по результатам аудита •Подтверждение достижения целей аудита •Итоговая сводка, содержащая заключения по результатам аудита и подтверждающая выводы (наблюдения) аудита •Неразрешенные противоречия между группой по аудиту и проверяемой организацией •Возможности для улучшения, если это предусмотрено целями аудита •Вываленные сильные стороны и лучшие практики •Согласованный план действий по результатам аудита, если такой план имеется •Заявление о конфиденциальном характере содержимого отчета •Любые последствия для программы аудита или последующих аудитов •Перечень рассылки отчета по аудиту 15
  • 16. Аудиты ИБ в РФ •152-ФЗ (ПДн) – не формализовано •ISO 27001 (ISMS) •PCI DSS •СТО БР ИББС •382-П •ISO 20000 (ITSM), ISO 9000 (QMS) 16
  • 17. Из 152-ФЗ Ст.18.1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим ФЗ и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим ФЗ или другими федеральными законами. К таким мерам могут, в частности, относиться: •… 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; 17
  • 18. 18 Редкий вид аудитов – оценка процессов: •Модель зрелости процессов - Maturity Model (COBIT 4.1, CMMI) •Модель возможностей процессов - Process Capability Model (COBIT 5, ISO 15504)
  • 22. SS SD ST SO CSI •Стратегическое управление ИТ- услугами •Управление портфелем услуг •Управление финансами для ИТ-услуг •Управление спросом •Управление взаимоотноше- ниями с бизнесом •Координация проектирования •Управление каталогом услуг •Управление уровнем услуг •Управление доступностью •Управление мощностями •Управление непрерывнос- тью ИТ-сервисов •Управление информацион- ной безопасностью •Управление подрядчиками •Планирование и поддержка преобразования •Управление изменениями •Управление сервисными активами и конфигурациями •Управление релизами и развертыванием •Подтверждение и тестирование услуг •Оценка изменения •Управление знаниями •Управление событиями •Управление инцидентами •Управление запросами на обслуживание •Управление проблемами •Управление доступом Функции: •Служба поддержки пользователей •Управление технической поддержкой •Управление эксплуатацией ИТ •Управление приложениями •Семишаговый процесс совершенствования Процессы и функции ITIL v3 22
  • 23. Полезные ссылки •Блоги по ИБ в РФ - http://80na20.blogspot.ru/p/blog-page_7.html •Твиттеры по ИБ РФ - https://twitter.com/3dwave/lists/is-experts-ru •IIA - https://na.theiia.org •ISACA - https://www.isaca.org •NIST - http://nist.gov •PCI - https://www.pcisecuritystandards.org 23