Аудит информационных систем (тезисы)

СОДЕРЖАНИЕ

Процесс аудита ИС
• Определения: Аудит и Аудитор
• Процесс планирования аудита
• Анализ риска
• Внутренний контроль
• Классификация аудита
• Фазы процесса аудита
• Аудит, основанный на оценке рисков
• Свидетельства
• CAAT’S
• CSA

Руководство ИТ
• Корпоративное руководство/Руководство ИТ
• Практики и процедуры
• Руководство информационной безопасностью (ИБ)
• Стратегия информационных систем (ИС)
• IT политики
• Документ политики информационной безопасности (ИБ)
• Процедуры
• Процесс управления риском
• Методы анализа рисков
• Управление персоналом
• Инсорсинг и Аутсорсинг
• Управление изменениями организации
• Менеджмент качества ИС/ИБ
• Управление производительностью

Управление жизненным циклом систем
• Структура управления проектами
• Практическое управление проектами
• Разработка бизнес-приложений
• Менеджмент качества ИС/ИБ
• Риски разработки ПО
• Альтернативные методы
• Разработка и приобретение инфраструктуры
• Сопровождение (поддержка) ИС
• Инструменты и вспомогательные средства
• Способы совершенствования процессов
• Управление приложениями
• Аудит управления приложениями
• Разработки, приобретения, поддержка приложений
• Бизнес-приложения и системы

Эксплуатация и сопровождение ИТ-сервисов. Ч1
• Функционирование ИС
• Аппаратное обеспечение ИС
• Управление аппаратным обеспечением

Архитектура информационных систем и программное обеспечение. (Эксплуатация и сопровождение ИТ-сервисов Ч2).
• Операционные системы
• Управления доступом (ПО)
• Передачи данных (ПО)
• Управление данными
• Управление носителями информации
• Утилиты
• Лицензирование ПО

Сетевая инфраструктура информационных систем. (Эксплуатация и сопровождение ИТ-сервисов Ч3).
• Архитектура сетей
• Модель ISO
• LAN и WAN
• VPN
• Беспроводные сети

Защита информационных активов
1. Критичность управления информационными системами
• Ключевые элементы, роли и ответственности
• Классификация информационных активов
• Предоставление доступа к системе
• Мандатное и дискретное управление доступом
• Роль аудитора информационных систем
• Взаимодействие с внешними сторонами
2. Управление логическим доступом к ИС.
• Логический доступ к системам (пути и уязвимости)
• Механизмы идентификации и аутентификации
• Авторизация и модель ААА
• Хранение, восстановление, передача, и уничтожение данных
3. Безопасность сетевой инфраструктуры.
• LAN
• WAN. Интернет
• Беспроводные сети и мобильные устройства
• Безопасность клиент-серверной архитектуры
4. Криптография.
• Типы шифров
• Криптографические методы
• Симметричные системы
• Ассиметричные системы
• Управление ключами и инфраструктура открытых ключей (PKI)
• Структурированные и неструктурированные атаки
• Целостность и подлинность
5. Аудит структуры информационной безопасности организации.
6. Аудит безопасности сетевой инфраструктуры.
7. Физическая безопасность и безопасность среды.

Непрерывность бизнеса и восстановление после аварий.
• Стандарты и лучшие практики
• Процесс управления непрерывностью бизнеса (BCP)
• Компоненты BCP
• Организация и назначение ответственности
• Анализ влияния на бизнес (BIA)
• Стратегии восстановления

…………………………………………………………………………………………………….

 

Введение в CISA (Certified Information Systems Auditor)
• Почему становиться CISA?
• Экзамен CISA
• Ключ к успеху

Почему CISA?
• Сертификация является подтверждением ваших знаний и опыта в области аудита информационных систем (далее — ИС) и информационной безопасности.
• Оценка знаний и опыта – один из камней из которых вы построите успешную карьеру
• Растет спрос на аудиторов Инфо Систем
• CISA является глобально признанной сертификацией в своей индустрии
• Более 50 000 людей сделали карьеру благодаря сертификации.
• CISA имеет аккредитацию ISO/IEC 17024: 2003

Цели CISA
• Установить процесс тестирования для оценки компетенций в проведении аудита ИС.
• Мотивация аудиторов ИС к дальнейшему совершенствованию знаний и навыков в проведении аудита.
• Отслеживать успех программы поддержки.
• Предложить критерии руководству в выборе сотрудников на позицию аудитора ИС.

Экзамен CISA
• Проводится дважды в году в июне и декабре.
• Окончательная регистрация в течении 60 дней до экзамена.
• 4 часа на то, чтобы ответить на 200 вопросов с несколькими вариантами выбора.
www.isaca.org
• Члены ISACA платят 360$ не члены 480$
• О результате вы будете уведомлены по e-mail обычной почтой.

6 областей экзамена CISA
• Область 1: Процесс аудита ИС (10%)
• Область 2: Управление информационными технологиями (15%)
• Область 3: Управление жизненным циклом систем и инфраструктуры (16%)
• Область 4: Предоставление и поддержка ИТ-сервисов (14%)
• Область 5: Защита информационных активов (31%)
• Непрерывность бизнеса и восстановление после аварий (14%)

Ключи к успеху
• Опишите каждый слайд и сделайте пометки.
• Просмотрите каждый слайд дважды.
• Используйте инструменты: windows server security audit, cisco secure acs for windows, syslog

Пример аудита windows.

 

 

Процесс аудита ИС (Ч1)

• Определения: Аудит и Аудитор
• Процесс планирования аудита
• Анализ риска
• Внутренний контроль

Аудит и Аудитор
• Аудит – это оценка организации, системы, процесса, проекта или продукта.
• Аудит проводится компетентными, независимыми и объективными людьми, известными как аудиторы, которые затем выдают отчет о результатах аудита.
• Аудит Информационных технологий (ИТ), или аудит информационных систем (ИС) аудит рассматривает (оценивает) средства управления (controls) входящие в ИТ инфраструктуру предприятия. Ранее аудит ИС назывался аудитом электронной обработки данных (Electronic Data Processing (EDP)). ИТ-аудит — это процесс сбора и оценки доказательств информационных систем организации, методов и операций. Полученные данные оценки могут дать ответы на вопросы:
– Обеспечивается ли сохранность активов?
– Поддерживается ли целостность данных?
– Работает ли ИС эффективно для достижения целей организации или целей?
• Есть два типа аудиторов:
– Внутренний аудитор — сотрудник компании, нанятый для анализа и оценки системы внутреннего контроля компании. Чтобы сохранить независимость, они представят свои отчеты непосредственно Совету директоров или топ-менеджменту.
– Внешний аудитор — независимых сотрудник, работающих в аудиторской компании, выполняющей оценку и анализ финансовой отчетности своих клиентов или другие согласованные оценки.

Планирование: краткосрочное и долгосрочное
• Вопросы реализации и внедрения новых средств управления (controls)
• Изменение/Обновление технологий
• Бизнес-процессы/требования/цели
• Методы аудита и оценки
• Используйте качественный пошаговый процесс аудита
• Плохое планирование — Плохой план

Процесс планирования аудита
1. Сбор информации
2. Идентификация заявленных компонентов
3. Оценка риска
4. Выполнение анализа риска
5. Анализ внутренних средств управления (internal control review)
6. Определение области и целей аудита
7. Разработка стратегии аудита
8. Распределение ресурсов
Анализ риска
• Анализ рисков — процедура выявления факторов рисков и оценки их значимости (анализ вероятности того, что произойдут определенные нежелательные события и отрицательно повлияют на достижение целей процесса). Анализ рисков включает оценку рисков и методы снижения рисков или уменьшения связанных с ним неблагоприятных последствий.
• Риск – это вероятность того, что источник угрозы воспользуется уязвимостью актива (группы активов), что приведет к потере или повреждению актива.
• ИС/ИТ = угроза, воздействие, вероятность
Оценка контрмер
• Анализ затрат / выгод – подход при котором стоимость контрмер сравнивается с полученными выгодами, от реализации этих контрмер.
• Оценка риск-аппетита руководства
• Вывод о предпочтительных способах снижения риска: устранение риска, минимизация потенциала, минимизация воздействия, передача ответственности (страхование)
• Оценка риска/Снижение риска/Переоценка риска
Анализ риска
• помогает аудитору идентифицировать угрозы и области для реализации средств управления
• помогает аудитору оценить контрмеры/средства управления
• помогает аудитору определить цели аудита
• помогает принимать решения по аудиту, основанные на оценке рисков
• приводит к реализации подходящих средств управления

Средства управления: цели и процедуры
• Практики, методы, механизмы, структуры, реализованные для снижения риска
• Обеспечивают некоторый уровень гарантии руководству, что риски идентифицированы и предотвращены
• Связаны с ключевыми целями бизнеса/операционными целями, и предотвращением (смягчением) нежелательных событий
• Средства управления можно разделить на: превентивные, детективные, коррективные

Средства управления: цели и процедуры
• Превентивные – предназначены для предотвращения инцидента
• Детективные – помогают выявить связанную с инцидентом деятельность
• Коррективные – предназначены для исправления компонентов или систем после инцидента

Цели средств управления
• Контроль учетных записей
• Контроль непрерывности бизнес-функций
• Управление политикой и администрированием
• Защита организационных активов
• Соответствие
• ААА сервисы
• Контроль входных и выходных данных
• Надежность, отказоустойчивость, резервное копирование/восстановление
• Управление изменениями и конфигурациями

Основные средства управления
• Внутренний аудит
• Операционный контроль
• Административный контроль
• Политика безопасности организации
• Контроль документацией
• Физическая безопасность
• Управление ИТ-ресурсами

 

Процесс аудита ИС (Ч2)
• Классификация аудита
• Фазы процесса аудита
• Аудит основанный на оценке рисков
• Свидетельства
• CAAT’S
• CSA

Классификация аудита
• Финансовый
• Операционный
• Комплексный (фин.+ операц.)
• Административный
• Информационных систем
• Специализированный
• Исследовательский (forensic)

Фазы процесса аудита
•Объект
• Цели
• Область
• Планирование
• Сбор данных
• Процедуры оценки результатов
• Процесс управления коммуникациями
• Метод подготовки отчета

Риск аудита
• неотъемлемый риск
• общий риск аудита
• риск контроля
• риск обнаружения

Аудит основанный на оценке рисков
• Сбор данных и планирование аудита
• Оценка внутренних средств управления
• Выполнение тестирования соответствия
• Выполнение основного тестирования
• Проведение аудита

Свидетельства аудита
• Записи, изложение фактов или другая информация, связанная с критериями аудита и которая может быть проверена.
• Свидетельствами аудита могут быть: результаты интервью, результаты тестирования, внутренняя документация и корреспонденция и т.д.
• Надежность свидетельств аудита:
– Насколько независим источник свидетельств?
– Насколько квалифицирован аудитор (собиратель свидетельств)?
– Насколько объективны свидетельства?
– Когда были собраны свидетельства?

Методы сбора свидетельств
• Наблюдение за деятельностью организации
• Анализ политик, процедур, стандартов
• Изучение документации
• Опросы и наблюдение за персоналом
• Наблюдение за процессами
• Определение выборки (в случае ограничений по времени)
• Использование других аудиторов и экспертов
• Методы аудита с использование компьютера

Самооценка средств управления
• Принцип, который гарантирует, что внутренние средства управления соответствуют предъявляемым к ним требованиям
• Анализ ключевых бизнес-целей, риска и средств управления реализованных для обработки (управления) риска
• Самооценка средств управления – формальный, документированный процесс, производный от опросов, анкет, семинаров.
• Достоинства: ранняя идентификация рисков, совершенствование средств управления, осведомленность сотрудников, улучшение коммуникаций, совершенствование процесса аудита, гарантии для заинтересованных сторон

 

Руководство ИТ (Ч1)
• Корпоративное руководство/Руководство ИТ
• Практики и процедуры
• Руководство информационной безопасностью (ИБ)
• Стратегия информационных систем (ИС)

Определение руководства
• Этическое поведение руководства
• Распределение прав и обязанностей между лицами, принимающими решения в отношении корпоративных дел
• Создание структуры, с помощью которой цели будут выполнены
• Может включать требования регуляторов, руководящие стандарты, политики
• Руководство ИТ – все включающее и сфокусированное на групповом и индивидуальном опыте
• Руководство ИТ сфокусировано на ценности для бизнеса и снижении рисков

Структура отношений

• Аудитор ИТ, ИС, ИБ
– Рекомендации, Инициативы, наблюдения, Анализ, Отчет

Практики и процедуры
• Убедитться, что ИТ соответствуют целям предприятия
• Использовать возможности достижения преимуществ
• Должным образом управлять ресурсами и рисками ИТ
• Понимать роль аудита в руководстве ИТ
• Отчетность должна быть своевременной и тщательной
• Создать Совет по стратегии ИТ
• Разделить ответственность между Советом по стратегии ИТ и Комитетом по управлению организацией

Руководство ИБ
• Направлено на целостность данных, непрерывность сервисов, и защиту информационных активов предприятия
• Сложность, важность и критичность безопасности информации и руководства ИБ должны поддерживаться на высшем уровне
• Цель руководства ИБ — интеграция общей безопасности сферы ИТ-систем и данных (независимо от обработки, переработки, транспортировки и хранения) во все процессы
• Руководство ИБ – ответственность совета директоров или генерального руководства

Руководство ИБ (2)
• гражданско-правовая ответственность и требования регуляторов
• ответственность за критическую информацию в переходный период
• обеспечение гарантий соответствия политике
• повышенная непрерывность бизнес операций – сниженные риски и неопределенности
• основа для управления рисками, совершенствования процессов и процедур быстрого реагирования на инциденты
• оптимизация ограниченных ресурсов, выделяемых на безопасность
• гарантия того, что важные решения принимаются на основании точных (объективных) данных

Результат руководства ИБ
1. Стратегическая связь с целями бизнеса/организации
2. Общее управление риском
3. Оптимизация инвестиций
4. Управление ресурсами
5. Отчетность по эффективности/результатам (документирование)

Управление, мониторинг, отчётность

Многоуровневая структура руководства ИБ
• Комплексная стратегия, совпадающая с целями предприятия
• Политика безопасности, которая соответствует требованиям стратегии, регуляторов и контроля
• Полный набор стандартов для каждой реализованной политики и процедуры
• Структура безопасности без конфликта интересов
• Эффективный процесс мониторинга и отчетности

Ключевые участники процесса руководства ИБ
• Совет директоров/высший менеджмент
• Исполнительный менеджмент
• Директор по ИТ/ИБ
• Комитет по управлению

Стратегия ИБ
• Стратегическое планирование (3-5 лет)
• Роль высшего руководства (Комитета по управлению)
• Основные стратегические функции

 

Руководство ИТ (Ч2)
• IT политики
• Документ политики информационной безопасности (ИБ)
• Процедуры
• Процесс управления риском
• Методы анализа рисков

Политики
• Высокоуровневый документ, отображающий организационную философию и стратегию заинтересованных сторон/старшего менеджмента – краткие и понятные формулировки.
• Представляет, главные цели, направления, задачи, виденье.
• Низкоуровневые документы для подразделений, отделов, с использованием подхода сверху-вниз от высокоуровневых документов.
• Руководство должно осуществлять переоценку политик, чтобы учесть изменения структуры, технологий, требований и т.д.
• Аудитор ИС должен сфокусироваться на политиках информационной безопасности.

Документ Политика информационной безопасности
• Доводит стандарты безопасности пользователям, менеджменту и техническому персоналу после (одобрения) утверждения и опубликования.
• Первый шаг в построении структуры безопасности ИТ.
• Должен содержать:
– Определения, цели, область применения, цели управления,
– Основу для оценки/управления риска(ом) и выбора средств управления.
– Резюме политик, принципов, соответствия, стандартов,
– Ссылки на поддерживающую документацию.
• Документ Политики ИБ должен регулярно анализироваться руководством.


Анализ со стороны руководства
• Входы:
– Обратная связь, результаты анализа (регулярного и предшествующего)
– Отчеты по состоянию деятельности, отчеты по повышению соответствия.
– Резюме отчетов по управлению изменениями, анализ тенденций.
– Инциденты и их обработка, рекомендации.
• Выходы:
– Совершенствование

Процедуры
• Детальные документы производные от политик и приводящие в жизнь заявления политики.
• Динамические документы отражающие специфику и регулярные изменения в бизнес-целях и инфраструктуре.
• Аудитор анализирует процедуры, чтобы идентифицировать, оценить, протестировать средства управления.
• Процедуры могут быть полностью раскрыты – они должны быть верифицированы независимой стороной.
• Используется модель зрелости (CMMI)

Capability Maturity Model Integration (CMMI)
• CMMI for Acquisition (CMMI-ACQ)
• CMMI for Development, (CMMI-DEV)
• CMMI for Services (CMMI-SVC)
• People CMM

Обработка риска
• Избегание
• Снижение
• Передача
• Принятие
• Игнорирование

Риск-менеджмент
• Идентификация и классификация (таксономия)
• Оценка угроз и уязвимостей
• Анализ воздействия
• Представление общего видения риска
• Оценка существующих и планируемых средств управления

Управление рисками ИТ
• Операционный уровень
• Проектный уровень
• Стратегический уровень

Методы анализа рисков
• Качественные
• Количественные
• Комбинированные

 

Руководство ИТ (Ч3)
• Управление персоналом
• Инсорсинг и Аутсорсинг
• Управление изменениями организации
• Менеджмент качества ИС/ИБ
• Управление производительностью

Управление персоналом
• Настольная книга сотрудника с политиками и процедурами
• Политики найма и увольнения
• Продвижение
• Тренинг и непрерывное обучение
• Планирование и отчетность, отпуска, отдых
• Оценки

Пример Настольной книги сотрудника

Инсорсинг и Аутсорсинг
• Инсорсинг (Онсайт, Офсайт)
• Аутсорсинг (Офсайт)
• Гибридная (Офшор)

Инсорсинг и Аутсорсинг
• Руководящий комитет по ИБ должен анализировать стратегию
• Аудитор должен рассмотреть обоснование, сервисы, достоинства, недостатки, риски
• Аудитор должен рассмотреть контракты со сторонними организациями и SLA
• Управление услугами сторонних организаций

Управление изменениями
• Исследовать существующие процессы/документацию относящиеся к изменениям в инфраструктуре
• Компоненты ИБ – основная группа для технологических изменений
• Процесс коммуникации (MSFT SharePoint)
• Получение обратной связи от членов команды, консультантов
• Может включать управление изменениями финансов/бюджета

Менеджмент качества организации
• СМК – набор документов, руководств, и инструкций
• ISO 9001 Система менеджмента качества
• Включает следующие области:
– ежедневая деятельность,
– приобретение ПО и управление им,
– аудит безопасности и тестирование на проникновение, администрирование сетей и систем,
– управление персоналом
• Аудитор ИС оценивает:
– эффективные практики,
– документацию,
– результаты,
– критические бизнес-функции
• Бюджет может быть также подвергнут аудиту

Менеджмент качества организации
• Процессы должны быть на операционном уровне измеримы, повторимы, надежны и возможно сертифицированы
• Аудитор может выполнить аудит на соответствие ISO 9001
• Убедитесь, что функции относящиеся к ИС/ИБ организации реализованы и документированы
• Некоторые пункты ISO непосредственно относятся к аудитору
• Руководство по менеджменту качества

Управление производительностью
• Непрерывный процесс управляемый индикаторами/метриками производительности
• Установить и обновлять базис производительности
• Реализовать руководство отчетностью
• Собирать и анализировать данные
• Основные отчеты и резюме
• Используйте данные для измерения/управления продуктами/услугами
• Оптимизация производительности – основная цель
• Средства встроенные в ОС

 

Управление жизненным циклом систем (Ч1)
• Структура управления проектами
• Практическое управление проектами
• Разработка бизнес-приложений
• Менеджмент качества ИС/ИБ
• Риски разработки ПО

Структура управления проектами
• Pmi.org (PMBOK)
• Ogc.gov.uk (PRINCE 2)
• Ipma-hr.org

Структура управления проектами
• Проект имеет даты начала/окончания и промежуточные.
• Может быть комплексным и иметь элементы связанные с определенными рисками.
• Начинается с устава проекта и заканчивается после завершения.
• Проект может часто содержать подпроцессы:
• Инициация,
– планирование,
– координация,
– выполнение,
– управление,
– контроль разрывов,
– закрытие проекта.

Практическое управление проектами
• Применение широкого ряда компонентов и к многим задачам
• 3 элемента: время, стоимость, результат

Практическое управление проектами
1. Инициация (устав PID)
2. Планирование (FPA, бюджет, ПО по управлению проектами, планирование, GANTT, PERT, CPM, временные рамки)
3. Управление (автоматизация, оценка стоимости, мониторинг, прогнозирование, отчетность, использование СППР, использование методов PERT и CPM)
4. Контроль
5. Закрытие

ПО по управлению проектами:

Разработка бизнес-приложений
• Бизнес-приложения/системы часто управляют критическими активами/данными.
• SDLC – процесс реализации бизнес-приложений (БПр).
• V-модель = верификация и валидация
• Любые БПр и системы разрабатываются с ориентацией на организацию или конечного пользователя
• Техника водопада – старая и наиболее широко используемая методология разработки БПр.

Традиционные подход SDLC

Жизненный цикл систем
• Термины и определения
• Исследование возможности (выполнимости)
• Поиск и запись фактов
• Анализ
• Дизайн
• Спецификация системы
• Реализация и анализ

Риски разработки ПО
• Система не соответствует требованиям и/или ожиданиям пользователей.
• Проектные риски превышения бюджета временных, денежных и других (человеческих) ресурсов.
• Недостаток дисциплины и поддерживающей инфраструктуры.
• Недостаточный анализ (обзор) на каждой стадии проекта.