Отсутствие инцидентов – сигнал об опасности


В качестве примера рекомендаций по проведению верификации по конкретному вопросу – «Реагирование на инциденты информационной безопасности» – может служить указание по аудиту, содержащееся в «Руководстве по внедрению и аудиту средств контроля стандарта BS 7799», разработанном Британским институтом стандартизации: «В организации должны быть разработаны и внедрены необходимые процедуры и созданы каналы связи с руководством для сообщения о случаях нарушения безопасности. Аудиторы должны удостовериться в том, что эти процедуры применимы для любых возможных инцидентов и обеспечивают принятие достаточно эффективных ответных мер. Если какая-либо организация заявляет, что у нее не бывает инцидентов, о которых нужно сообщать, и поэтому она не может продемонстрировать процесс представления сообщений, то, скорее всего, на самом деле инциденты происходят, только их никто не замечает.

Поэтому процедуры сообщения о случаях нарушения безопасности, инцидент-reporting процедуры, должны быть предусмотрены независимо от того, происходили ли в прошлом какие-либо инциденты или не происходили. Необходимо проверять, имеется ли в данной организации ясное определение понятия «случай нарушения безопасности (инцидент)», и понимают ли его сотрудники, занимающие ответственные должности. Полезно задавать проверочные вопросы, например: «Если вы обнаружили, что ваш сейф с секретными материалами стоит открытый, а вокруг никого нет, то сочтете ли вы это случаем нарушения безопасности?», «Если служащий сообщил о том, что ему по ошибке выдали чужую зарплату, можно ли это считать случаем нарушения безопасности?»

Ключевой задачей аудитора на данном этапе является обеспечение транспарентности механизма формирования итоговых выводов как основного условия доверия к результатам аудита. Все заинтересованные стороны должны иметь возможность отследить причинно-следственную связь в цепочке преобразования результатов аудита от частных к итоговым оценкам. Остановимся на наиболее специфичных этапах преобразования оценок.

Автор Admin 03 Dec, 2009