В. Андрианов - Обеспечение информационной безопасности бизнеса

Свидетельствами аудита, полученными при проведении опроса, могут быть описания и разъяснения опрашиваемых лиц по реализации процессов, процедур по обеспечению ИБ.

Для уверенности в достоверности оценки оценщики должны быть уверены в достоверности выявленных свидетельств аудита. Собранные свидетельства оценки, используемые для оценивания показателей, должны быть точным представлением оцениваемого объекта оценки. Для этого следует учитывать достоверность источников свидетельств аудита.

По степени достоверности (от наибольшей к наименьшей) источники свидетельств оценки делятся на:

— документальные источники свидетельств, полученные из различных источников третьей стороны (сведения об использовании лицензионных мер и средств обеспечения ИБ, договора по сопровождению мер и средств обеспечения ИБ и т. д.);

— документальные источники свидетельств, полученные на (от) объекте (та) оценки и подтвержденные третьей стороной (план мероприятий по результатам внешнего аудита ИБ, материалы ведомственных проверок ИБ и т. д.);

— источники свидетельств, полученные в ходе проведения аудиторских процедур, не предусматривающих периодическую документальную отчетность (результаты наблюдения за деятельностью, анализа данных системы мониторинга ИБ и т. д.);

— источники свидетельств, полученные в виде нормативных и распорядительных документов (политики, регламенты, отчеты о деятельности, приказы, распоряжения и т. д.), указывающих на надлежащее применение процессов и мер обеспечения ИБ на практике (наличие разрешительных записей уполномоченных лиц, данных контроля рисков и т. д.);

— свидетельства, полученные в результате устных и письменных опросов об объекте оценки, и наблюдение за применением мер и средств обеспечения ИБ, которые не оставляют документальных свидетельств (выявление ролей процессов, последовательности применения ЗМ и т. д.).

Наряду с достоверностью источников свидетельств следует учитывать временной период получения свидетельств и сочетание источников свидетельств оценки. Например, доверие к фактам, полученным при наблюдении за деятельностью, повышается, если они получены непосредственно при функционировании проверяемых процедур или процессов; доверие к фактам, полученным при опросе сотрудников, повышается при подтверждении данных фактов из различных источников.

Достоверность выявленных свидетельств оценки ИБ зависит также от объема выборки при формировании свидетельств оценки. Соответствующее использование объема выборки тесно связано с доверием, с которым относятся к заключениям по результатам аудита.

Некоторые свидетельства оценки основано на выборках релевантных данных. Например, свидетельства наличия ЗМ для всех систем, степени охвата персонала и сотрудников подразделения процессами обучения и осведомления ИБ и т. д. Выборка производится с целью измерения и оценивания менее чем 100 % объектов проверяемой совокупности. Задачей оценщика при проведении выборки является определение наиболее оптимального способа отбора элементов для формирования свидетельств оценки. При этом возможно:

— отобрать все элементы (сплошная проверка);

— отобрать специфические (определенные) элементы;

— отобрать отдельные элементы (сформировать аудиторскую выборку).

Сплошная проверка целесообразна, если:

— генеральная совокупность состоит из небольшого числа элементов большой стоимости;

— риск контроля является высоким, а другие средства не позволяют получить достаточные свидетельства оценки;

— повторяющийся характер расчетов или иных процессов делает сплошную проверку эффективной с точки зрения соотношения затрат и результатов.

Сплошная проверка редко применяется при проведении оценки ИБ.

Оценщик может решить отобрать специфические (определенные) элементы генеральной совокупности, основываясь на том, что они могут включать:

— элементы с высокой стоимостью или так называемые критические (ключевые) элементы выборки;

— элементы, стоимость которых превышает определенную величину;

— элементы для проверки процедур, позволяющие определить, выполняется ли организацией конкретная процедура.

Выводы по результатам измерения, применяемого к отобранным таким способом элементам, не могут быть распространены на всю генеральную совокупность. При использовании этого метода анализируется потребность в получении свидетельств оценки в отношении оставшейся части генеральной совокупности, если оставшаяся часть является существенной.

Оценщик с учетом имеющихся сведений может принять решение о проведении выборочной проверки путем отбора отдельных элементов, т. е. применить статистический подход. Общее требование в этом случае — репрезентативность, т. е. все элементы изучаемой генеральной совокупности должны иметь равную вероятность быть отобранными в выборку.

При применении методов, связанных со статистической выборкой, объем отобранной совокупности может определяться на основании теории вероятностей и математической статистики либо профессионального суждения аудитора.

Достоверность оценки во многом зависит от того, как будут оценщиками учтены факторы, влияющие на аудиторский риск, который включает:

— риск контроля;

— риск необнаружения.

Риск контроля представляет собой риск того, что внутренний контроль не предотвратит или не выявит существенных нарушений ИБ. Важным фактором для повышения достоверности оценок является оптимизация объема выборки в соответствии с предполагаемым риском контроля.

Риск необнаружения представляет собой риск того, что процедуры и методы аудита, применяемые оценщиками, не выявят существенных нарушений.

Важными факторами для снижения риска необнаружения и тем самым повышения достоверности оценок являются:

— увеличение времени проверки;

— проведение опросов, ориентированных на представителей третьих независимых лиц;

— увеличение объема выборки.

Измерение и оценивание атрибутов объекта оценки.Назначение мероприятия: измерение и оценивание атрибутов объекта оценки на основе свидетельств оценки ИБ с целью установления степени выполнения критериев оценки и формирования отчета по результатам оценки.

Атрибут представляет собой свойство или характеристику сущности, которые могут быть определены количественно или качественно ручными или автоматическими средствами.

Для рассмотрения процесса измерения и оценивания атрибутов объекта оценки ИБ воспользуемся моделью измерений, связанных с обеспечением ИБ, представленной на рис. 57.

Информационная потребность определяет, что требуется измерить для достижения целей оценки ИБ объекта оценки. Измерения, связанные с обеспечением ИБ, могут применяться к различным объектам в рамках контекста оценки. Для идентификации объектов измерения выделяются критические атрибуты процессов, процедур, защитных мер, которые могут предоставить данные, соответствующие информационной потребности.