Проверка и оценка деятельности по управлению информационной безопасностью

Москва
Горячая линия - Телеком
2013

УДК 004.732.056(075.8) 
ББК 32.973.2-018.2я73 
     М60   

Р е ц е н з е н т ы :  кафедра защиты информации НИЯУ МИФИ (зав. кафедрой 
кандидат техн. наук,  профессор А. А. Малюк);  академик РАН  И. А. Соколов;  
доктор техн. наук, профессор  П. Д. Зегжда; доктор техн. наук, профессор  
А. Г. Остапенко 

Милославская Н. Г., Сенаторов М. Ю., Толстой А. И. 
М60   Проверка и оценка деятельности по управлению информационной 
безопасностью. Учебное пособие для вузов. – М.: Горячая линия– 
Телеком, 2013. – 166 с.: ил. – Серия «Вопросы управления информационной безопасностью. Выпуск 5»  
ISBN 978-5-9912-0275-6. 
Рассмотрены основные процессы анализа системы управления информационной безопасностью (СУИБ): мониторинг информационной 
безопасности (ИБ), самооценка ИБ, внешний и внутренний аудиты ИБ  
и анализ СУИБ со стороны руководства организации. Для всех процессов 
выделены основные цели и задачи, принципы и этапы осуществления, 
виды проверок, формы отчетности. Анализируется деятельность подразделения внутреннего аудита, контролирующего вопросы ИБ. Исследуется процесс управления программой внешнего аудита ИБ. Затронуты вопросы компетентности аудиторов ИБ и взаимоотношения внешних аудиторов ИБ с проверяемой организацией. Перечислены инструментальные 
средства, используемые при проведении различных проверок в области 
ИБ. Также рассмотрены вопросы оценки деятельности по управлению 
ИБ и функционированию СУИБ организации. Описаны подходы к оценке эффективности и результативности управления ИБ в целом, а также к 
оценке зрелости процессов СУИБ. На основе международных стандартов 
анализируются процессы выработки метрик безопасности и показателей 
функционирования СУИБ. 
Для студентов вузов, обучающихся по программе магистратуры направления 090900 – «Информационная безопасность», будет полезно 
слушателям курсов переподготовки и повышения квалификации, аспирантам, руководителям предприятий и организаций, специалистам в области ИБ. 
ББК 32.973.2-018.2я73 
 
 
 
 
 
ISBN 978-5-9912-0275-6                                            © Н. Г. Милославская, 
                                                           М. Ю. Сенаторов, А. И. Толстой, 2012 
            © Издательство «Горячая линия–Телеком», 2012 
 
 

ПРЕДИСЛОВИЕ 

Учебное пособие «Проверка и оценка деятельности по управлению 
информационной безопасностью» является пятой частью серии учебных 
пособий «Вопросы управления информационной безопасностью». При 
подготовке данного учебного пособия были поставлены следующие задачи: 
1) подробно рассмотреть основные процессы анализа системы 
управления информационной безопасностью (СУИБ). К ним относится 
мониторинг информационной безопасности (ИБ), самооценка ИБ, внутренний и внешний аудит ИБ и анализ СУИБ со стороны руководства 
организации; 
2) оценить возможности инструментальных средств, используемых 
при проведении различных проверок в области ИБ; 
3) проанализировать выработки метрик безопасности и показателей 
функционирования СУИБ; 
4) рассмотреть вопросы оценки деятельности по управлению ИБ и 
функционированию СУИБ организации и подходы к оценке эффективности и результативности управления ИБ в целом, а также к оценке зрелости процессов СУИБ.  
Исходя из поставленных задач, была выбрана структура учебного 
пособия «Проверка и оценка деятельности по управлению информационной безопасностью», которое состоит из введения, трех глав, заключения, пяти приложений и списка литературы из 53 наименований. 
Во введении обоснована актуальность темы данного учебного пособия. 
В первой главе анализируется нормативное обеспечение проверки и 
оценки деятельности по управлению ИБ. 
Во второй главе рассматриваются основные процессы анализа 
СУИБ: мониторинг ИБ, самооценка ИБ, внутренний и внешний аудит 
ИБ и анализ СУИБ со стороны руководства организации. Для всех процессов выделяются основные цели и задачи, принципы и этапы осуществления, виды проверок, формы отчетности. Анализируется деятельность в организации подразделения внутреннего аудита, контролирующего вопросы ИБ. Исследуется процесс управления программой внешнего аудита ИБ. Затрагиваются вопросы компетентности аудиторов ИБ и 
взаимоотношения внешних аудиторов ИБ с проверяемой организацией. 
Перечисляются инструментальные средства, используемые при проведении различных проверок в области ИБ. 
В третьей главе рассматриваются вопросы оценки деятельности по 
управлению ИБ и функционированию СУИБ организации. Описываются подходы к оценке эффективности и результативности управления ИБ 
в целом, а также к оценке зрелости процессов СУИБ. Вводятся важные в 
этой области понятия – «измерение», «показатель» и «метрика». На ос

Проверка и оценка деятельности по управлению ИБ 

нове международных стандартов анализируются процессы выработки 
метрик безопасности и показателей функционирования СУИБ. 
В заключении кратко выделяется взаимосвязь изученных понятий, 
относящихся к проверке и оценке деятельности по управлению ИБ, 
а также устанавливается связь между материалом учебного пособия и 
составляющими профессиональных компетенций.  
В приложениях приводится информация справочного характера в 
виде примера возможной программы аудита вопросов управления непрерывностью бизнеса, описаний измерений для оценки СУИБ и модели зрелости для подпроцесса минимизации рисков ИБ в рамках процесса управления рисками ИБ. 
Освоение материалов данного учебного пособия лежит в основе 
формирования у обучающихся следующих  профессиональных компетенций: 
способность участвовать в управлении ИБ объекта; 
способность участвовать в проведении контрольных мероприятий по 
определению эффективности и результативности СУИБ объекта.  
Эти профессиональные компетенции необходимы для решения задач, 
относящихся к таким видам профессиональной деятельности в сфере 
управления ИБ, как проектная, организационно-управленческая или 
контрольно-аналитическая. 
После изучения учебного пособия «Проверка и оценка деятельности 
по управлению информационной безопасностью» обучающиеся будут:  
Знать: 
современные подходы к проверке и оценке деятельности по управлению ИБ; 
особенности отдельных процессов проверки СУИБ; 
основные международные и российские стандарты, регламентирующие проверку и оценку деятельности по управлению ИБ; 
подходы к оценке деятельности по управлению ИБ; 
принципы создания основных документов, регламентирующих вопросы проверки и оценки деятельности по управлению ИБ. 
Уметь: 
формулировать требования к процессам проверки СУИБ; 
формулировать требования к процессам оценки деятельности по 
управлению ИБ; 
выбирать и использовать инструментальные средства для проверки 
СУИБ; 
проводить оценку деятельности по управлению ИБ; 
разрабатывать документальное обеспечение для процессов проверки 
и оценки деятельности по управлению ИБ. 
Владеть: 
терминологией, относящейся к проверке и оценке деятельности по 
управлению ИБ; 

 
Предисловие 
5 

навыками анализа эффективности и результативности деятельности 
по управлению ИБ. 
Материалы, вошедшие в учебное пособие «Проверка и оценка деятельности по управлению информационной безопасностью», обеспечивают учебно-методической базой любую учебную дисциплину, относящуюся к управлению ИБ. Однако в полной мере данное учебное пособие может быть востребовано при подготовке профессионалов в области 
управления ИБ. Поэтому оно может быть рекомендовано студентам 
высших учебных заведений, обучающимся по программам магистратуры направления 090900 – «Информационная безопасность».  
Кроме этого учебное пособие «Проверка и оценка деятельности по 
управлению информационной безопасностью» из серии «Вопросы 
управления информационной безопасностью» может быть полезным 
при реализации программ дополнительного образования (курсы повышения квалификации или переподготовки кадров). 
Важно подчеркнуть, что для приступающих к ознакомлению с данным учебным пособием есть определенные требования по предварительной подготовке. Например, следует знать основы теории ИБ и комплексный подход к обеспечению ИБ (ОИБ), уязвимости и угрозы ИБ в 
информационной среде. Следует рекомендовать предварительное ознакомление с материалом следующих частей серии учебных пособий «Вопросы управления информационной безопасностью»: «Часть 1. Основы 
управления информационной безопасностью», «Часть 2. Управление 
рисками информационной безопасности», «Часть 3. Управление инцидентами информационной безопасности и обеспечение непрерывности 
бизнеса», «Часть 4. Технические, организационные и кадровые аспекты 
управления информационной безопасностью». 
Авторы признательны коллегам по факультету «Кибернетика и информационная безопасность» НИЯУ МИФИ, а также всем рецензентам. 
Авторы, естественно, не претендуют на исчерпывающее изложение 
всех названных в работе аспектов проблем проверки и оценки деятельности по управлению ИБ, поэтому с благодарностью внимательно изучат и учтут критические замечания и предложения читателей при дальнейшей работе над учебным пособием. 

ВВЕДЕНИЕ 

Управление ИБ – неотъемлемая часть управления любой современной организацией в целом, независимо от ее размера и сферы деятельности. 
Управление ИБ является сложным непрерывным процессом, перед которым стоит множество целей и задач, являющихся обеспечивающими, 
вспомогательными по отношению к основным бизнес-целям и задачам организации. Они формулируются в различных документах организации: 
концепциях, стратегиях, политиках, стандартах, инструкциях и т. д. 
Процесс управления ИБ распадается на тесно взаимосвязанные подпроцессы, вносящие существенный вклад в достижение целей управления ИБ. Объектами управления в рамках этих подпроцессов являются 
активы, риски ИБ, инциденты ИБ, непрерывность бизнеса, изменения, 
совершенствования и многое другое. От эффективности и результативности каждого из этих подпроцессов зависят общие эффективность и 
результативность всей деятельности по управлению ИБ в организации. 
Для успешного управления ИБ должна быть создана учитывающая 
специфику организации и адекватная ее требованиям в отношении 
обеспечения ИБ (ОИБ) система управления информационной безопасностью (СУИБ). Функционирование этой системы наилучшим образом 
описывается с помощью циклической модели улучшения процессов – 
цикла PDCA (от англ. Plan-Do-Check-Act – Планируй–Выполняй–
Проверяй–Действуй), рассмотренной в первой части серии учебных 
пособий. Основные элементы и структура СУИБ должны поддерживать 
все направления деятельности по ОИБ. 
Важнейшим этапом цикла PDCA являются проверка и оценка СУИБ 
и всей деятельности по управлению ИБ в организации, проводимые ее 
собственными силами или соответствующими внешними по отношению 
к ней органами с признанными полномочиями. Именно по результатам 
проверки и оценки СУИБ принимаются решения по тактическим или 
стратегическим изменениям в системе обеспечения ИБ (СОИБ) организации с учетом текущих потребностей по ОИБ организации, изменений 
в законодательной области и нормативной базе, а также влияния воздействия окружающей среды и других факторов. 
Корпоративная и частные политики ИБ (ПолИБ), концепция ИБ и 
другие документы организации устанавливает ее цели и обязанности в 
области ИБ. Их выполнение должно проверяться в интересах обеспечения уверенности в том, что разработанные в организации мероприятия 
должным образом отражают политики и что они являются выполнимыми и эффективными. Такие проверки могут быть выполнены подразделением внутреннего аудита, независимым аудитором или сторонней 

 
Введение 
7 

организацией, специализирующейся в этой области и обладающие соответствующими навыками и опытом. 
Использование защитных мер в виде организационно-технических 
мероприятий и средств защиты информации (СЗИ), таких как межсетевые экраны (МЭ), системы контроля доступа, антивирусы, не гарантирует, что информационные активы организации устойчивы к несанкционированным действиям со стороны злоумышленников, нарушающим установленный порядок использования ресурсов. Любое программное (ПО) или аппаратное обеспечение (АО) не является совершенным, и с большой долей вероятности можно предположить, что в 
нем найдутся уязвимости, позволяющие совершить такие действия. А, 
как известно, уровень защищенности всей системы определяется уровнем защищенности самого слабого ее звена. Поэтому при эксплуатации 
любой системы, например интранета, рано или поздно возникает вопрос 
о проверке его защищенности от угроз ИБ в соответствии с ПолИБ организации. В данном случае можно сформулировать следующие типичные вопросы, на которые руководству и сопровождающему персоналу 
организации хотелось бы иметь ответы. 
Насколько адекватны существующим рискам ИБ реализованные защитные меры?  
Можно ли в данном интранете обрабатывать (хранить, передавать по 
каналам) конфиденциальную информацию?  
Имеются ли в текущей конфигурации ошибки, позволяющие злоумышленникам обойти механизмы контроля доступа?  
Содержит ли используемое ПО уязвимости, которые могут быть использованы для несанкционированного доступа (НСД) и взлома системы?  
Как оценить уровень защищенности интранета и как определить, 
является ли он достаточным в данной среде функционирования?  
Какие контрмеры позволят реально повысить существующий уровень защиты?  
На какие критерии оценки защищенности следует ориентироваться, 
и какие показатели защищенности использовать?  
Ответы на эти вопросы могут дать проверки СУИБ, что поможет организации сделать следующее: 
определить и понять потенциальные проблемы в реализации и функционировании средств управления ее ИБ, корпоративных стандартах 
ИБ и технической реализации средств управления ИБ; 
определить и понять возможное влияние неадекватно обработанных 
рисков ИБ и неустраненных уязвимостей; 
расставить приоритеты в снижении рисков ИБ; 
подтвердить, что ранее определенные или новые уязвимости адекватно устраняются; 
обеспечить необходимые инвестиции в совершенствование СУИБ. 

Проверка и оценка деятельности по управлению ИБ 

Для организации и проведения проверок СУИБ необходимо определить их виды (это мониторинг, самооценка, аудит), а далее осуществить 
сами проверки и анализ СУИБ со стороны высшего руководства организации. 
Для обоснованного выбора основных подходов к проверке и оценке 
деятельности по управлению ИБ необходимо изучить современный 
опыт деятельности в этой области, определить и описать процессы проверки СУИБ, выбрать методы и меры измерения оценки эффективности 
и результативности деятельности по управлению ИБ, рассмотреть особенности применения инструментальных средств для проверки и оценки деятельности по управлению ИБ, а также определить требования к 
документам, представляющим результаты проведения проверки СУИБ 
и оценки деятельности по управлению ИБ. 
Перечисленные выше составляющие проблемы эффективной проверки и оценки деятельности по управлению ИБ рассмотрены в учебном 
пособии «Проверка и оценка деятельности по управлению информационной безопасностью» – пятой части серии учебных пособий «Вопросы 
управления информационной безопасностью». 

1. НОРМАТИВНОЕ ОБЕСПЕЧЕНИЕ 
ПРОВЕРКИ И ОЦЕНКИ ДЕЯТЕЛЬНОСТИ 
ПО УПРАВЛЕНИЮ ИБ 

Нормативной базой проверки СУИБ и оценки деятельности по 
управлению ИБ является совокупность международных стандартов, 
обобщающих лучшие практики, выработанные специалистами различных организаций и различных стран. 
Международная организация по стандартизации ISO (ИСО) и Международная электротехническая комиссия IEC (МЭК) формируют специализированную систему всемирной стандартизации. 
На текущий момент можно с уверенностью сказать, что мировое сообщество проделало существенную работу в направлении стандартизации СУИБ и отдельных процессов управления ИБ, и по-прежнему весьма активно продолжает эту работу. В соответствии с этими стандартами 
ОИБ в любой организации предполагает следующее: 
определение целей ОИБ; 
создание эффективной СУИБ; 
расчет совокупности детализированных не только качественных, но 
и количественных показателей для оценки соответствия уровня ИБ 
заявленным целям; 
применение инструментария ОИБ и оценки ее текущего состояния; 
использование в процессе управления рисками ИБ методик (с понятной системой критериев и защитных мер, или мер ОИБ), позволяющих объективно оценить текущее состояние дел в организации. 
Основоположником подобной стандартизации стала серия стандартов ISO 9000, предъявляющих требования к системам менеджмента качества, соблюдение которых позволяет контролировать качество выпускаемой продукции или предоставляемых услуг. При разработке стандартов на СУИБ многое было взято за основу именно из стандартов серии ISO 9000, например основной подход – процессный подход и использование циклической модели PDCA для непрерывного совершенствования как самой системы, так и отдельных ее процессов. Помимо этого отличительной особенностью стандартов ISO 9000, которая была 
перенята при стандартизации СУИБ, является то, что они устанавливают степень ответственности руководства организации за качество. Причем это руководство отвечает как за разработку политики в области качества, так и за внедрение и поддержание в рабочем состоянии системы 
менеджмента качества. Большое число процессов управления из систем 
менеджмента качества с некоторыми изменениями присутствует и в 
СУИБ, например внутренние аудиты ИБ, корректирующие и предупреждающие действия и т. д. 

Проверка и оценка деятельности по управлению ИБ 

Для подтверждения того, что требования по ОИБ в организации 
удовлетворяются, стандарты ISO/IEC 27001:2005 и ГОСТ Р ИСО/МЭК 
27001–2006 [1, 2] требуют от организации регулярного проведения проверок системы менеджмента информационной безопасности (СМИБ) на 
основе результатов измерений ее эффективности, измерения эффективности мер и средств контроля и управления ИБ. В связи с этим для получения воспроизводимых и сопоставимых результатов организация 
определяет, каким образом проводить данные измерения и как их использовать для оценки эффективности. 
В настоящее время к нормативной базе проверки СУИБ и оценки 
деятельности по управлению ИБ можно отнести следующие международные стандарты, прошедшие необходимые процедуры согласования и 
утверждения: 
Международный стандарт ISO/IEC 27004:2009 [3] и национальный 
стандарт ГОСТ Р ИСО/МЭК 27004–2011 [4] формулируют требования к 
оценке управления ИБ. 
Международный стандарт ISO/IEC 27006:2011 [5] и национальный 
стандарт ГОСТ Р ИСО/МЭК 27006–2008 [6] содержат требования к органам, обеспечивающим аудит и сертификацию СУИБ. 
ISO/IEC 27007:2011 [7] и ISO/IEC 27008:2011 [8] представляют собой руководства по аудиту СУИБ и средств управления ИБ, реализованных в СУИБ. 
ISO 19011:2002 [9] и аутентичный ему ГОСТ Р ИСО 19011–2003 [10] 
содержат рекомендации по аудиту систем менеджмента качества и/или 
окружающей среды. 
В данной главе приводится обзор перечисленных выше стандартов 
как основы нормативной базы проверки СУИБ и оценки деятельности 
по управлению ИБ. 

1.1. ISO/IEC 27004:2009  
и ГОСТ Р ИСО/МЭК 27004–2011 – оценка 
функционирования СУИБ 

Стандарт ISO/IEC 27004:2009 «Information technology. Security techniques. Information security management. Measurement» (Информационная технология. Методы и средства обеспечения безопасности. Менеджмент ИБ. Измерение) [3] предназначен для помощи организациям в 
оценке результативности деятельности по управлению ИБ в рамках 
имеющихся у них СУИБ за счет предоставления единого руководства 
по применению механизмов получения оценки в результате измерений 
и введения показателей. На основе полученных показателей, их анализа 
и принятия соответствующих решений по устранению выявленных проблем организациям удастся повысить результативность функциониро