4.1.3. Приступая к работе
Требования стандарта ISO 17799 предъявляются к:
системе ИБ компании (например, нормативным документам по ИБ, выполнению проверок, связанных с ИБ, обучению пользователей по вопросам ИБ);
ИС компании (например, безопасным настройкам ИС и корректному проведению соответствующих процедур);
квалификации пользователей компании и специалистов служб ИТ и ИБ.
Соответственно, вопросы программы КОНДОР разделяются на вопросы к:
специалистам службы ИБ;
специалистам службы ИТ;
пользователям ИС компании.
Перед проведением аудита ИС на соответствие требованиям стандарта ISO 17799 необходимо разбить вопросы на три представленные категории и провести опрос сотрудников компании. Разбиение на категории в каждой компании будет индивидуальным, так как в каждой компании процедуры, влияющие на обеспечение ИБ, выполняются различными сотрудниками. Обязанности специалистов служб ИТ и ИБ могут различаться в зависимости от компании. По результатам опросов осуществляется заполнение программы КОНДОР.
4.1.4. Алгоритм
Для проведения анализа рисков необходимо определить выполненные и невыполненные требования стандарта.
Методика расчета рисков невыполнения требований ISO 17799:
Каждое требование стандарта имеет определенное значение – вес требования. Вес требования – степень влияния требования на ИС компании. Определяется на основе экспертных оценок, указывается в значениях от 1 до 100 (чем больше значение эффективности, тем больше влияние данного требования). Сумма значений весов всех требований определяет максимальный риск невыполнения требований стандарта, т.е. стандарт полностью не выполнен.
Риск невыполнения требований стандарта в компании определяется как отношение суммы значений весов невыполненных в компании требований к сумме значений весов всех требований стандарта. Риск невыполнения требований стандарта рассчитывается в процентах.
Риск невыполнения требований ISO 17799 показывает, насколько значимы для ИС компании невыполненные требования. Риск зависит от количества невыполненных требований и их весов.
Для снижения риска несоответствия ИС стандарту ISO 17799 необходимо выполнить максимальное количество требований. Особенно важно выполнение требований, имеющих высокие веса, то есть тех требований, которые оказывают наибольшее влияние на ИС компании.
4.1.5. Общие принципы работы с программой
Для проведения анализа ИС компании на соответствие стандарта информационной безопасности ISO 17799 необходимо проверить, выполняются ли в компании требования стандарта. В зависимости от временного периода степень выполнения требований стандарта меняется, поэтому необходимо проводить аудит периодически через определенные руководством компании промежутки времени.
Для этого необходимо сначала создать новый проект аудита. (Проект – временной интервал, содержащий несколько периодов, в котором анализируются изменения, произошедшие в компании за истекшие периоды).
В проекте нужно создать новый период аудита. (Период - дата, на момент которой все введенные пользователем данные актуальны для ИС компании). При этом дата периода - это дата окончания аудита.
Далее необходимо ответить на вопросы разделов. Каждый раздел соответствует разделу стандарта. Для получения наиболее верных результатов аудита необходимо ответить на все вопросы (и указать все вопросы, неприменимые к ИС).
Отвечая на вопросы разделов в разных периодах, проводится аудит ИС компании на соответствие стандарту ISO 17799.
В результате работы алгоритма получаем:
Отчет по периоду.
Отчет по проекту.
