- •Введение
- •1. Сущность и задачи комплексной защиты информации
- •1.1 Понятийный аппарат в области обеспечения безопасности информации
- •1.2 Цели, задачи и принципы построения ксзи
- •1.3 О понятиях безопасности и защищенности
- •1.4 Разумная достаточность и экономическая эффективность
- •1.5 Управление безопасностью предприятия. Международные стандарты
- •1.6 Цели и задачи защиты информации в автоматизированных системах
- •1.7 Современное понимание методологии защиты информации
- •1.7.1 Особенности национального технического регулирования
- •1.7.2 Что понимается под безопасностью ит
- •1.7.3 Документы пользователя
- •1.7.4 Требования к средствам обеспечения безопасности
- •2. Принципы организации и этапы разработки ксзи
- •2.1 Методологические основы организации ксзи
- •2.2 Разработка политики безопасности и регламента безопасности предприятия
- •2.3 Основные положения теории сложных систем
- •2.4 Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими подразделениями
- •2.5 Требования, предъявляемые к ксзи
- •2.5.1 Требования к организационной и технической составляющим ксзи
- •2.5.2 Требования по безопасности, предъявляемые к изделиям ит
- •2.5.2.1. Порядок задания требований
- •2.5.2.2. Разработка изделия ит
- •2.5.2.3. Обеспечение поддержки доверия к безопасности изделия ит при эксплуатации
- •2.5.2.4 Подтверждение соответствия изделий ит требованиям безопасности информации
- •2.5.2.5. Поставка и ввод в действие. Эксплуатация изделия
- •2.6 Этапы разработки ксзи
- •3. Факторы, влияющие на организацию ксзи
- •3.1 Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2 Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •Юридические лица, являющиеся коммерческими организациями
- •3.3 Характер основной деятельности предприятия
- •3.4 Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5 Структура и территориальное расположение предприятия
- •3.6 Режим функционирования предприятия
- •3.7 Конструктивные особенности предприятия
- •3.8 Количественные и качественные показатели ресурсообеспечения
- •3.9 Степень автоматизации основных процедур обработки защищаемой информации
- •4. Определение и нормативное закрепление состава защищаемой информации
- •4.1 Классификация информации по видам тайны и степеням конфиденциальности
- •4.2 Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение Задачи 1
- •4.2.2 Решение задачи 2
- •4.2.3 Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3 Методика определения состава защищаемой информации
- •4.4 Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •5. Определение объектов защиты
- •5.1 Значение носителей защищаемой информации, как объектов защиты
- •5.2 Методика выявления состава носителей защищаемой информации
- •5.4 Особенности взаимоотношений с контрагентами, как объект защиты информации ограниченного доступа
- •5.5 Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.6 Особенности помещений для работы с защищаемой информацией, как объектов защиты
- •Основные принципы оборудования сигнализацией
- •5.7 Транспортные средства и особенности транспортировки
- •5.8 Состав средств обеспечения, подлежащих защите
- •6. Дестабилизирующие воздействия на информацию и их нейтрализация
- •6.1 Факторы и угрозы информационной безопасности. Последствия реализации угроз
- •6.2 Угрозы безопасности информации
- •6.3 Модели нарушителей безопасности ас
- •6.4 Подходы к оценке ущерба от нарушений иб
- •6.5 Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6 Реагирование на инциденты иб
- •6.7 Резервирование информации и отказоустойчивость
- •7. Определение потенциальных каналов и методов несанкционированного доступа к информации
- •7.1 Технические каналы утечки информации, их классификация
- •7.2 Задачи ксзи по выявлению угроз и куи
- •7.3 Особенности защиты речевой информации
- •7.4 Особенности защиты компьютерной информации от утечки по каналам пэмин
- •8. Определение возможностей несанкционированного доступа к защищаемой информации
- •8.1 Методы и способы защиты информации
- •8.2 Классификация сзи нсд
- •8.3 Механизмы обеспечения безопасности информации
- •8.3.1. Идентификация и аутентификация
- •8.2.2. Разграничение доступа
- •8.2.3. Регистрация и аудит
- •8.2.4. Криптографическая подсистема
- •8.2.5. Межсетевое экранирование
- •8.3 Методика выявления нарушителей, тактики их действий и состава интересующей их информации
- •9.1 Особенности синтеза сзи ас от нсд
- •9.2 Методика синтеза сзи
- •9.2.1 Общее описание архитектуры ас, системы защиты информации и политики безопасности
- •9.2.2 Формализация описания архитектуры исследуемой ас
- •9.2.3 Формулирование требований к системе защиты информации
- •9.2.4 Выбор механизмов и средств защиты информации
- •9.2.5 Определение важности параметров средств защиты информации
- •9.3 Оптимальное построение системы защиты для ас
- •9.4 Выбор структуры сзи ас
- •9.5 Проектирование системы защиты информации для существующей ас
- •10. Определение условий функционирования ксзи
- •10.1 Содержание Концепции построения ксзи
- •10.2 Объекты защиты
- •10.3 Цели и задачи обеспечения безопасности информации
- •10.4 Основные угрозы безопасности информации ас организации
- •10.5 Основные положения технической политики в области обеспечения безопасности информации ас организации
- •10.6 Основные принципы построения ксзи
- •10.7 Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов
- •10.8 Первоочередные мероприятия по обеспечению безопасности информации ас организации
- •11. Разработка модели ксзи
- •11.1 Общая характеристика задач моделирования ксзи
- •11.2 Формальные модели безопасности и их анализ
- •11.2.1 Классификация формальных моделей безопасности
- •11.2.2 Модели обеспечения конфиденциальности
- •11.2.3 Модели обеспечения целостности
- •11.2.4 Субъектно-ориентированная модель
- •11.3 Прикладные модели защиты информации в ас
- •11.4 Формальное построение модели защиты: пример
- •11.4.1 Описание объекта защиты
- •11.4.2 Декомпозиция ас на субъекты и объекты
- •11.4.3 Модель безопасности: неформальное описание
- •11.4.3.1 Неформальное описание правил разграничений доступа
- •11.4.3.2 Идентификация активов и определение их ценности
- •11.4.3.3 Некоторые особенности определения правил разграничения доступа
- •11.4.4 Декомпозиция системы защиты информации
- •11.4.5 Противостояние угрозам. Реализация системы защиты информации субъекта ас субъектно-объектной модели
- •11.5 Формализация модели безопасности
- •11.5.1 Процедура создания пары субъект-объект, наделение их атрибутами безопасности
- •11.5.2 Осуществление доступа субъекта к объекту
- •11.5.3 Взаимодействие с внешними сетями
- •11.5.4 Удаление субъекта-объекта
- •12. Технологическое и организационное построение ксзи
- •12.1 Общее содержание работ по организации ксзи
- •Раздел 1. Характеристика предприятия, как объекта защиты.
- •Раздел 2. Цели ксзи формулируются в Концепции исходя из изложенных нами выше, применительно к специфике деятельности предприятия.
- •Раздел 3. Типовые задачи ксзи:
- •Раздел 4. Принципы создания и функционирования ксзи (типовые):
- •Раздел 5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия, в том числе:
- •Раздел 6. Организация защиты информации на предприятии:
- •12.2 Характеристика основных стадий создания ксзи Организационное направление работ по созданию ксзи
- •Техническое направление работ по созданию ксзи
- •12.3 Назначение и структура технического задания (общие требования к содержанию)
- •12.4 Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию
- •13 Кадровое обеспечение функционирования комплексной системы защиты информации
- •13.1 Специфика персонала предприятия как объекта защиты
- •13.2 Распределение функций по защите информации
- •13.2.1 Функции руководства предприятия
- •13.2.2 Функции службы защиты информации
- •13.2.3 Функции специальных комиссий
- •13.2.4 Обязанности пользователей защищаемой информации
- •13.3 Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа
- •13.4 Подбор и обучение персонала
- •14. Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации
- •14.1 Значение материально-технического обеспечения функционирования ксзи, его состав
- •Перечень вопросов зи, требующих документационного закрепления
- •15. Назначение, структура и содержание управления ксзи
- •15.1 Понятие, сущность и цели управления ксзи
- •15.2 Принципы управления ксзи
- •15.3 Структура процессов управления
- •15.4 Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •16. Принципы и методы планирования функционирования ксзи
- •16.1 Понятие и задачи планирования функционирования ксзи
- •16.2 Способы и стадии планирования
- •16.3 Факторы, влияющие на выбор способов планирования
- •16.4 Основы подготовки и принятия решений при планировании
- •16.5 Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6 Организация выполнения планов
- •17 Сущность и содержание контроля функционирования комплексной системы защиты информации
- •17.1 Виды контроля функционирования ксзи
- •17.2 Цель проведения контрольных мероприятий в ксзи
- •17.3 Анализ и использование результатов проведения контрольных мероприятий
- •18. Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций
- •18.1 Понятие и основные виды чрезвычайных ситуаций
- •18.2 Технология принятия решений в условиях чс
- •18.3 Факторы, влияющие на принятие решений в условиях чс
- •18.4 Подготовка мероприятий на случай возникновения чс
- •19. Общая характеристика подходов к оценке эффективности ксзи
- •19.1 Вероятностный подход
- •19.2.Оценочный подход
- •19.3 Требования рд свт и рд ас
- •19.4 Задание требований безопасности информации и оценка соответствия им согласно гост 15408-2002
- •19.5. Экспериментальный подход
- •20. Методы и модели оценки эффективности ксзи
- •20.1 Показатель уровня защищенности, основанный на экспертных оценках
- •20.2. Методы проведения экспертного опроса
- •20.3. Экономический подход к оценке эффективности ксзи
- •20.3.1. Определение размеров ущерба с использованием моделей «осведомленность – эффективность»
- •20.3.2. Определение размеров ущерба с использованием экспертных оценок
- •20.3.3. Определение упущенной выгоды в результате ограничений на распространение информации
- •20.3.4. Определение затрат на защиту информации
- •Литература
19.5. Экспериментальный подход
Под экспериментальным подходом понимается организация процесса определения эффективности существующих КСЗИ путем попыток преодоления защитных механизмов системы специалистами, выступающими в роли злоумышленников – активный аудит КСЗИ. Активный аудит может выполняться как своими силами (при наличии специалистов), так и за счет привлечения сторонней организации.
В настоящее время ФСТЭК разработан проект «Концепции аудита информационной безопасности систем информационных технологий и организаций».
Данный проект документа содержит следующие разделы:
6
Введение 7
1. Сущность и задачи комплексной защиты информации 10
1.1 Понятийный аппарат в области обеспечения безопасности информации 10
1.2 Цели, задачи и принципы построения КСЗИ 15
1.3 О понятиях безопасности и защищенности 21
1.4 Разумная достаточность и экономическая эффективность 24
1.5 Управление безопасностью предприятия. Международные стандарты 31
1.6 Цели и задачи защиты информации в автоматизированных системах 34
1.7 Современное понимание методологии защиты информации 39
1.7.1 Особенности национального технического регулирования 39
1.7.2 Что понимается под безопасностью ИТ 41
1.7.3 Документы пользователя 43
1.7.4 Требования к средствам обеспечения безопасности 45
2. Принципы организации и этапы разработки КСЗИ 48
2.1 Методологические основы организации КСЗИ 48
2.2 Разработка политики безопасности и регламента безопасности предприятия 51
2.3 Основные положения теории сложных систем 58
2.4 Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими подразделениями 66
2.5 Требования, предъявляемые к КСЗИ 69
2.5.1 Требования к организационной и технической составляющим КСЗИ 69
2.5.2 Требования по безопасности, предъявляемые к изделиям ИТ 71
2.5.2.1. Порядок задания требований 72
2.5.2.2. Разработка изделия ИТ 74
2.5.2.3. Обеспечение поддержки доверия к безопасности изделия ИТ при эксплуатации 77
2.5.2.4 Подтверждение соответствия изделий ИТ требованиям безопасности информации 79
2.5.2.5. Поставка и ввод в действие. Эксплуатация изделия 80
2.6 Этапы разработки КСЗИ 81
3. Факторы, влияющие на организацию КСЗИ 85
3.1 Влияние формы собственности на особенности защиты информации ограниченного доступа 85
3.2 Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа 89
3.3 Характер основной деятельности предприятия 91
3.4 Состав, объекты и степень конфиденциальности защищаемой информации 94
3.5 Структура и территориальное расположение предприятия 97
3.6 Режим функционирования предприятия 100
3.7 Конструктивные особенности предприятия 101
3.8 Количественные и качественные показатели ресурсообеспечения 101
3.9 Степень автоматизации основных процедур обработки защищаемой информации 102
4. Определение и нормативное закрепление состава защищаемой информации 104
4.1 Классификация информации по видам тайны и степеням конфиденциальности 104
4.2 Нормативно-правовые аспекты определения состава защищаемой информации 108
4.2.1. Решение Задачи 1 109
4.2.2 Решение задачи 2 114
4.2.3 Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия 127
4.3 Методика определения состава защищаемой информации 128
4.4 Порядок внедрения Перечня сведений, составляющих КТ, внесение в него изменений и дополнений 136
5. Определение объектов защиты 138
5.1 Значение носителей защищаемой информации, как объектов защиты 138
5.2 Методика выявления состава носителей защищаемой информации 142
5.4 Особенности взаимоотношений с контрагентами, как объект защиты информации ограниченного доступа 145
5.5 Факторы, определяющие необходимость защиты периметра и здания предприятия 148
5.6 Особенности помещений для работы с защищаемой информацией, как объектов защиты 151
5.7 Транспортные средства и особенности транспортировки 164
5.8 Состав средств обеспечения, подлежащих защите 165
6. Дестабилизирующие воздействия на информацию и их нейтрализация 166
6.1 Факторы и угрозы информационной безопасности. Последствия реализации угроз 166
6.2 Угрозы безопасности информации 173
6.3 Модели нарушителей безопасности АС 182
6.4 Подходы к оценке ущерба от нарушений ИБ 187
6.5 Обеспечение безопасности информации в непредвиденных ситуациях 198
6.6 Реагирование на инциденты ИБ 201
6.7 Резервирование информации и отказоустойчивость 203
7. Определение потенциальных каналов и методов несанкционированного доступа к информации 206
7.1 Технические каналы утечки информации, их классификация 206
7.2 Задачи КСЗИ по выявлению угроз и КУИ 213
7.3 Особенности защиты речевой информации 225
7.4 Особенности защиты компьютерной информации от утечки по каналам ПЭМИН 229
8. Определение возможностей несанкционированного доступа к защищаемой информации 233
8.1 Методы и способы защиты информации 233
8.2 Классификация СЗИ НСД 235
8.3 Механизмы обеспечения безопасности информации 237
8.3.1. Идентификация и аутентификация 238
8.2.2. Разграничение доступа 246
8.2.3. Регистрация и аудит 248
8.2.4. Криптографическая подсистема 251
8.2.5. Межсетевое экранирование 260
8.3 Методика выявления нарушителей, тактики их действий и состава интересующей их информации 263
9.1 Особенности синтеза СЗИ АС от НСД 264
9.2 Методика синтеза СЗИ 266
9.2.1 Общее описание архитектуры АС, системы защиты информации и политики безопасности 266
9.2.2 Формализация описания архитектуры исследуемой АС 269
9.2.3 Формулирование требований к системе защиты информации 270
9.2.4 Выбор механизмов и средств защиты информации 273
9.2.5 Определение важности параметров средств защиты информации 276
9.3 Оптимальное построение системы защиты для АС 279
9.4 Выбор структуры СЗИ АС 289
9.5 Проектирование системы защиты информации для существующей АС 291
10. Определение условий функционирования КСЗИ 293
10.1 Содержание Концепции построения КСЗИ 293
10.2 Объекты защиты 295
10.3 Цели и задачи обеспечения безопасности информации 298
10.4 Основные угрозы безопасности информации АС организации 301
10.5 Основные положения технической политики в области обеспечения безопасности информации АС организации 304
10.6 Основные принципы построения КСЗИ 306
10.7 Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов 306
10.8 Первоочередные мероприятия по обеспечению безопасности информации АС организации 322
11. Разработка модели КСЗИ 328
11.1 Общая характеристика задач моделирования КСЗИ 328
11.2 Формальные модели безопасности и их анализ 331
11.2.1 Классификация формальных моделей безопасности 331
11.2.2 Модели обеспечения конфиденциальности 332
11.2.3 Модели обеспечения целостности 340
11.2.4 Субъектно-ориентированная модель 342
11.3 Прикладные модели защиты информации в АС 344
11.4 Формальное построение модели защиты: пример 347
11.4.1 Описание объекта защиты 347
11.4.2 Декомпозиция АС на субъекты и объекты 348
11.4.3 Модель безопасности: неформальное описание 352
11.4.3.1 Неформальное описание правил разграничений доступа 352
11.4.3.2 Идентификация активов и определение их ценности 354
11.4.3.3 Некоторые особенности определения правил разграничения доступа 355
11.4.4 Декомпозиция системы защиты информации 358
11.4.5 Противостояние угрозам. Реализация системы защиты информации субъекта АС субъектно-объектной модели 365
11.5 Формализация модели безопасности 368
11.5.1 Процедура создания пары субъект-объект, наделение их атрибутами безопасности 368
11.5.2 Осуществление доступа субъекта к объекту 371
11.5.3 Взаимодействие с внешними сетями 372
11.5.4 Удаление субъекта-объекта 373
12. Технологическое и организационное построение КСЗИ 375
12.1 Общее содержание работ по организации КСЗИ 375
12.2 Характеристика основных стадий создания КСЗИ 381
12.3 Назначение и структура технического задания (общие требования к содержанию) 383
12.4 Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию 385
13 Кадровое обеспечение функционирования комплексной системы защиты информации 394
13.1 Специфика персонала предприятия как объекта защиты 394
13.2 Распределение функций по защите информации 398
13.2.1 Функции руководства предприятия 398
13.2.2 Функции службы защиты информации 401
13.2.3 Функции специальных комиссий 403
13.2.4 Обязанности пользователей защищаемой информации 405
13.3 Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа 409
13.4 Подбор и обучение персонала 413
14. Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации 415
14.1 Значение материально-технического обеспечения функционирования КСЗИ, его состав 415
Перечень вопросов ЗИ, требующих документационного закрепления 417
15. Назначение, структура и содержание управления КСЗИ 423
15.1 Понятие, сущность и цели управления КСЗИ 423
15.2 Принципы управления КСЗИ 428
15.3 Структура процессов управления 433
15.4 Основные процессы, функции и задачи управления КСЗИ 434
15.5. Основные стили управления 437
15.6. Структура и содержание общей технологии управления КСЗИ 439
16. Принципы и методы планирования функционирования КСЗИ 443
16.1 Понятие и задачи планирования функционирования КСЗИ 443
16.2 Способы и стадии планирования 448
16.3 Факторы, влияющие на выбор способов планирования 449
16.4 Основы подготовки и принятия решений при планировании 454
16.5 Методы сбора, обработки и изучения информации, необходимой для планирования 460
16.6 Организация выполнения планов 465
17 Сущность и содержание контроля функционирования комплексной системы защиты информации 469
17.1 Виды контроля функционирования КСЗИ 470
17.2 Цель проведения контрольных мероприятий в КСЗИ 471
17.3 Анализ и использование результатов проведения контрольных мероприятий 475
18. Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций 486
18.1 Понятие и основные виды чрезвычайных ситуаций 486
18.2 Технология принятия решений в условиях ЧС 487
18.3 Факторы, влияющие на принятие решений в условиях ЧС 489
18.4 Подготовка мероприятий на случай возникновения ЧС 489
19. Общая характеристика подходов к оценке эффективности КСЗИ 507
19.1 Вероятностный подход 507
19.2.Оценочный подход 517
19.3 Требования РД СВТ и РД АС 521
19.4 Задание требований безопасности информации и оценка соответствия им согласно ГОСТ 15408-2002 527
19.5. Экспериментальный подход 532
20. Методы и модели оценки эффективности КСЗИ 544
20.1 Показатель уровня защищенности, основанный на экспертных оценках 544
20.2. Методы проведения экспертного опроса 548
20.3. Экономический подход к оценке эффективности КСЗИ 554
20.3.1. Определение размеров ущерба с использованием моделей «осведомленность – эффективность» 554
20.3.2. Определение размеров ущерба с использованием экспертных оценок 561
20.3.3. Определение упущенной выгоды в результате ограничений на распространение информации 568
20.3.4. Определение затрат на защиту информации 569
Литература 572
.
Согласно данному документу, под аудитом информационной безопасности организации понимается периодический, независимый от объекта аудита и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организациях установленных требований по обеспечению информационной безопасности.
По содержанию аудит ИБ разделяется на следующие виды:
аудит ИБ АС, эксплуатирующихся в организации;
аудит ИБ организации.
Задачей аудита ИБ АС, эксплуатирующихся в организации, является проверка состояния защищенности конфиденциальной информации в организации от внутренних и внешних угроз, а также программного и аппаратного обеспечения, от которого зависит бесперебойное функционирование АС. Данный вид подразумевает, как документальный, так и инструментальный аудит состояния защищенности информации при ее сборе, обработке, хранении с использованием различных АС.
Задачей аудита ИБ организации является проверка состояния защищенности интересов (целей) организации в процессе их реализации в условиях внутренних и внешних угроз, а также предотвращение утечки защищаемой конфиденциальной информации, возможных несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Аудит ИБ АС, эксплуатирующихся в организации, может проводиться как самостоятельный вид аудита, а также являться частью аудита ИБ организации. При этом он может проводиться во время проведения аудита ИБ организации или же при проведении аудита ИБ организации могут использоваться результаты ранее проведенного аудита ИБ АС, эксплуатирующихся в организации.
По форме аудит ИБ может быть внутренним и внешним.
Внутренний аудит ИБ проводится самой организацией или от ее имени для внутренних целей и может служить основанием для принятия декларации о соответствии требованиям стандартов или нормативных документов по защите информации и обеспечению информационной безопасности.
Внешний аудит ИБ проводится внешними независимыми коммерческими организациями, имеющими лицензии на осуществление аудиторской деятельности в области ИБ.
Внешний аудит ИБ обязателен для всех государственных или негосударственных организаций, являющихся собственником или пользователем конфиденциальной информации, требующей защиты в соответствии с законодательством Российской Федерации, а также для всех организаций, эксплуатирующих объекты ключевых систем информационной и телекоммуникационной инфраструктуры Российской Федерации.
Внешний аудит ИБ осуществляется в соответствии с Федеральными законами, стандартами и иными нормативными или правовыми актами по проведению аудита ИБ.
Основной целью аудита ИБ является установление степени соответствия применяемых в организации защитных мер выбранным критериям аудита ИБ.
Целями аудита ИБ могут быть:
потребности руководства организации в оценке защищенности конфиденциальной информации и полноты и качества выполнения требований по обеспечению ИБ и защите информации;
оценка полноты и качества выполнения требований, предъявляемых к организации или АС, при их сертификации на соответствие законодательным требованиям, стандартам по ИБ, нормативным документам или политикам безопасности или требованиям, предусмотренным контрактом;
установление соответствия требованиям потребителей или потребностям заинтересованных сторон;
необходимость оценки поставщика услуг;
оценка результативности системы управления ИБ для достижения конкретных целей;
определение областей совершенствования обеспечения ИБ организации и защиты конфиденциальной информации.
Цели аудита ИБ определяет заказчик аудита ИБ. Исходя из целей аудита ИБ, заказчиком внешнего аудита ИБ может быть проверяемая организация или любая другая организация, имеющая регулирующее или контрактное право заказывать аудит ИБ.
Аудитором по ИБ является физическое лицо, отвечающее квалификационным требованиям и имеющее квалификационный аттестат аудитора по ИБ, выдаваемый уполномоченным Федеральным органом или органом по аккредитации аудиторской деятельности в области ИБ. Аудитор может осуществлять свою деятельность индивидуально или в составе аудиторской организации по ИБ.
Аудиторская организация по ИБ – это коммерческая организация, осуществляющая аудиторские проверки по ИБ оказывающая сопутствующие аудиту ИБ услуги. Аудиторская организация по ИБ осуществляет свою деятельность после получения лицензии от уполномоченного Федерального органа по аккредитации и лицензированию для выполнения аудита в области ИБ.