На сегодняшний день в Российской Федерации имеется определенный опыт проведения оценки (аттестации) по требованиям защиты информации, в частности, аттестации объектов информатизации и автоматизированных систем (АС). При этом технология контроля (оценки) защищенности информации, принятая в Российской Федерации, основанная на базе Руководящих документов Гостехкомиссии России 1992-1993 г.г., существенно отличается от технологий, применяемых в настоящее время в международной практике.

Этот факт, а также необходимость интеграции с международными системами безопасности, определенная в статье 5 Закона Российской Федерации «О безопасности» от 5 марта 1992 года №2446-1, и проблема меж-дународного признания результатов контроля (оценки) состояния информационной безопасности (ИБ) в российских организациях вызывает серьезные трудности применения существующих в настоящее время в Российской Федерации подходов к оценке ИБ организаций и системы информационных технологий (СИТ). Необходимо выработать и принять единую согласованную систему взглядов, которая определила бы направления развития и регулирования деятельности по аудиту ИБ в Российской Федерации, включая единство методологии его проведения.

К настоящему времени назрела необходимость разработки государственной технической политики в области создания и совершенствования инструментального обеспечения аудита ИБ организаций и системы информационных технологий. Сегодня в аудиторских фирмах, при проведении инспекторского контроля государственными органами, при аттестационных испытаниях применяется программное обеспечение, разработанное преимущественно зарубежными фирмами. Необходимо формирование подходов по развитию инструментального обеспечения, по перспективам и порядку разработки отечественных программных и аппаратных средств проведения аудита ИБ с учетом перспектив совершенствования нормативного обеспечения безопасности системы информационных технологий и организаций.

На данный момент в Российской Федерации отсутствуют документально оформленные взгляды на пути совершенствования правового обеспечения аудита ИБ организаций и СИТ как в стране в целом, так и в различных ведомствах, что затрудняет правовое регулирование отношений между заказчиком и аудитором, между государственными органами аттестации и компаниями, фирмами или частными организациями. Проведение аудита в области ИБ является высокоинтеллектуальным видом деятельности, имеющим прямое отношение к национальной безопасности, в силу чего аудиторская деятельность в области ИБ является особым видом услуг, на которые не должны распространяться положения действующих в настоящее время правовых документов, регулирующих порядок предоставления услуг в Российской Федерации.

На сегодняшний день в Российской Федерации действует ряд документов, регулирующих аудиторскую деятельность, которая преимущественно направлена на оценку достоверности финансовой отчетности или же на проведение сертификационного аудита по стандартам менеджмента качества (ИСО 9000) и охраны окру-жающей среды (ИСО 14000). К таким документам относятся:

– Федеральный закон «Об аудиторской деятельности» от 07 августа. 2001 года .№ 119-ФЗ (14 декабря 2001 года вступил в силу Федеральный закон «О внесении изменений и дополнений в Федеральный Закон «Об аудиторской деятельности»» № 164-ФЗ);

– Федеральные правила (стандарты) аудиторской деятельности, утвержденные постановлением Правительства Российской Федерации от 23 сентября 2002 года № 696;

– Стандарты аудита Российской Коллегии аудиторов (РКА);

– ГОСТ Р ИСО 19011 2003 Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента, утвержденный постановлением Госстандарта Российской Федерации и введенный в действие с 1 апреля 2004 года.

Касаясь возможного отношения действующих в России документов в области аудита к аудиторской деятельности в области ИБ необходимо отметить следующее.

Федеральный закон «Об аудиторской деятельности», Федеральные правила (стандарты) аудиторской деятельности, а также Стандарты аудита РКА определяют положения процедурного плана, профессиональной этики и принципов деятельности в области аудита. В данных документах содержатся положения и требования, которые регламентируют следующие области, относящиеся к аудиту:

- основные принципы аудита;

- этапы проведения аудита;

- взаимоотношения аудиторов с представителями проверяемой организации;

- формы представления результатов аудита.

Данные документы ориентированы на оценку финансовой отчетности и не содержат критериев для аудита ИБ, в то же время их положения процедурного характера могут быть взяты в качестве основы для формирования подходов по аудиту ИБ, но требуется разработка (принятие) критериев (требований), используемых в аудиторской деятельности по оценке соответствия в области ИБ;

Руководящие указания по проведению внутренних и внешних аудитов систем менеджмента качества и/или экологического менеджмента, определяемые ГОСТ Р ИСО 19011, так же могут быть использованы при разработке процедурных положений по проведению аудита ИБ. В то же время определенная стандартом модель проведения аудита должна быть адаптирована для области аудита ИБ.

В настоящее время и в Российской Федерации и за рубежом отсутствует единый и общепринятый стандарт в области аудита информационной безопасности. В рамках ИСО проведение таких работ рассматривается, но результаты планируется получить не ранее 2007-2009 годов, что приводит к необходимости опираться на имеющиеся в мировой практике подходы. За рубежом в настоящее время используются самые различные как национальные, так и международные стандарты, прямо или косвенно имеющие отношение к проведению аудита ИБ. На международном и национальном уровне за рубежом принят ряд документов, в той или иной мере рассматривающих вопросы осуществления аудиторской деятельности в областях безопасности СИТ и ИБ организаций. К таким документам в первую очередь следует отнести:

– «Цели управления для информационной и смежных технологий» (Control Objectives for Information and related Technology, CobiT);

– ISO/IEC 17799:2000 «Информационная технология – Кодекс установившейся практики для менеджмента информационной безопасностью» (ISO/IEC 17799:2000 Information technology – Code of practice for information security management);

– BS 7799 2:2002 Information security management systems – Specification with guidance for use;

– BSI PD 3003:2002 «Are you ready for a BS 7799-2 audit?» (BSI PD 3003:2002 «Готовы ли Вы к аудиту по требованиям BS 7799-2?»);

– BSI PD 3004:2002 «Guide to the implementation and auditing of BS 7799 controls.» (BSI PD 3004:2002 «Руководство по реализации и аудиту средств управле-ния BS 7799»);

– «Стандарты, руководящие указания и процедуры для специалистов в сфере аудита и управления информационными системами», опубликованы советом по стандартам ISACA в поддержку деятельности по аудиту по требованиям CobiT («IS Standards, Guidelines and Procedures for Auditing and Control Professionals»)

Положения стандартов ИСО/МЭК 17799, BS 7799 2:2002 и CobiT устанавливают определенные критерии для проведения аудиторской деятельности в отношении СИТ и организаций. Документ «Принципы аудита» стандарта CobiT и руководства серии BSI PD 3000 (в т. ч. BSI PD 3003 и BSI PD 3004) для национального стандарта Великобритании BS 7799-2, в первую очередь, предназначены для проведения внутреннего аудита информационных систем (включая средства ИБ) и систем менеджмента информационной безопасности (СМИБ) организаций. В то же время положения стандарта Великобритании BS 7799-2, совместно с рядом процедурных стандартов, таких как ИСО 19011, ИСО/МЭК 17025, ИСО/МЭК 65 формируют основу для сертификационного аудита ИБ СМИБ организаций, результаты которого признаются в определенных кругах международного бизнес-сообщества.

Сложившаяся ситуация диктует необходимость разработки и введения в действие национальных стандартов аудита в области ИБ, базирующихся на признаваемых в международном сообществе решениях и учитывающих специфику и особенности аудиторской деятельности в области ИБ в Российской Федерации, включая решение задач процедурного плана.

Суть, назначение, цели, результаты и процессы проведения аудита ИБ определяются типом организации, видом и принадлежностью обрабатываемой конфиденциальной информации и ролью организации в общих процессах обеспечения безопасности государства в информационной сфере. С учетом этого аудит ИБ должен рассматриваться для трех типов организаций:

– организаций любой формы собственности, эксплуатирующих объекты ключевых систем информационной инфраструктуры;

– организаций любой формы собственности, использующих в своей деятельности конфиденциальную информацию являющуюся собственностью государства, и имеющих необходимые для такого вида деятельности;

– негосударственных организаций, использующих в своей деятельности конфиденциальную информацию, не являющуюся собственностью государства.

В соответствии с типом вышеприведенных организаций должны применяться различные подходы к аудиту ИБ и нормативная база, что определяет потребности формирования позиций по назначению, целям и виду конечных результатов аудита ИБ, а также определению ролей организаций, ответственных за ИБ, включая в первую очередь определение уполномоченных Федеральных органов, ответственных за аккредитацию аудиторских организаций, разработку и издание нормативных документов для проведения аудиторской деятельности в области ИБ.