Проведение аудитов СМЗИ

1,031 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,031
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Проведение аудитов СМЗИ

  1. 1. 1 Современные модели и методы оценки и проведения аудитов в интегрированных системах менеджмента Лившиц Илья Иосифович Ph.D, кандидат технических наук Санкт-Петербург 2014 г.
  2. 2. 2 Оглавление Об авторе...................................................................................................................... 3 Ключевые слова........................................................................................................... 4 Введение....................................................................................................................... 5 Новые типы угроз бизнесу ......................................................................................... 7 Раздел 1......................................................................................................................... 8 Отраслевая статистика стандартов оценки ........................................................... 8 Статистика сертификации систем менеджмента.................................................. 8 Формирование области сертификации (Scope)................................................... 10 Проблема оценки защищённости систем менеджмента.................................... 13 Риски в процессе внедрения систем менеджмента ............................................ 13 Проблема оценки непрерывности систем менеджмента................................... 14 Проблема синтеза методов оценки защищённости и непрерывности ............. 18 Известные подходы при оценке защищённости систем менеджмента............ 19 Разработка и применение модели оценки (аудита)............................................ 20 Требования к моделям оценки (аудита) .............................................................. 20 Практический подход к построению модели оценки (аудита) ......................... 22 Развитие модели оценки (аудита) на базе стандартов ISO................................ 25 Реализация метода оценки (аудита) на базе стандартов ISO ............................ 28 Результаты применения метода оценки (аудита) на базе стандартов ISO....... 31 Заключение............................................................................................................. 34 Выводы к Разделу 1................................................................................................... 36 Раздел 2....................................................................................................................... 37 Общие требования к внутренним аудитам.......................................................... 37 Историческая справка............................................................................................ 38 Аудиты СМК (ISO 9001)....................................................................................... 40 Аудиты СМИБ (ISO/IEC 27001)........................................................................... 47 Новая структура стандарта 27001 версии 2013 г................................................ 53 Проведение комбинированных аудитов СМК (ISO 9001) и СУУ (ISO/IEC 20000) ...................................................................................................................... 54 Пример «правильного» цикла PDCA для аудита СУУ (ISO 20000)................. 62 Совместное решение задач аудита СМИБ (ISO 27001) и СМНБ (ISO 22301) 65 Проведение комбинированных аудитов СМК, СМИБ и СУУ.......................... 70 Преимущества проведения комбинированных аудитов (СМК, СУУ, СМИБ) 73 Применение ITIL и CobiT для оценки современных систем менеджмента .... 75 Подходы к решению проблемы учета потерь в ИСМ........................................ 84 Психологические особенности проведения аудитов ......................................... 98 Добавленная стоимость аудитов ........................................................................ 100 Консалтинг или партнерство? ............................................................................ 102 Выводы к Разделу 2................................................................................................. 104 Список литературы.................................................................................................. 106
  3. 3. 3 Об авторе Лившиц Илья Иосифович, PhD, кандидат технических наук Специализация: Разработка Систем менеджмента качества (СМК), Систем менеджмента информационной безопасности (СМИБ), Систем управления ИТ-услугами (СУУ). Выполнение аудитов систем менеджмента крупнейших компаний (машиностроение, нефтепереработка, транспорт, связь, системная интеграция, энергетика и пр.) Компетенции и сертификаты Ведущий аудитор ISO 9001:2008 Ведущий аудитор ISO/IEС 27001:2005 Ведущий аудитор ISO/IEС 20000-1:2011 Ведущий аудитор ISO/IEС 22301:2012 Ведущий аудитор ISO 50001:2011 Контакты: Тел. +7 921 934-48-46 E-mail Livshitz_il@Hotbox.ru Skype Livshitz_il
  4. 4. 4 Ключевые слова Активы; анализ со стороны руководства; аудит; свидетельства аудита; несоответствия; цикл PDCA; риски; модели оценки; менеджмент рисков; информационная безопасность (ИБ); система менеджмента качества (СМК); система менеджмента информационной безопасности (СМИБ); система менеджмента непрерывности бизнеса (СМНБ); система управления услугами (СУУ); интегрированные системы менеджмента (ИСМ); International Standard Organization (ISO); обеспечение соответствия требованиям (Compliance); обеспечение непрерывности бизнеса (Business Continuity), критичные бизнес- процессы, руководство (Governance), управление (Management).
  5. 5. 5 Введение Известно, что системы менеджмента созданы с учетом определенного предшествующего опыта и, несмотря на «заложенный» цикл PDCA (цикл Дёминга-Шухарта), в ряде случаев, неспособны к эффективной адаптации (прежде всего по приемлемому времени реакции на инциденты) при изменении существующих воздействий (внешних или внутренних угроз). В то же время, системы менеджмента, созданные с учетом требований постоянного улучшения – например, СМК [1], СМИБ [3], или СУУ [6], должны реализовывать цикл постоянного улучшения на периодической основе. Этот принцип постоянного улучшения наилучшим образом способствует адекватной реакции на изменение ситуации. В равной мере эти требования реализуются и в ряде «отраслевых» рекомендаций (например, ITIL v.3, COBIT 5), современные версии которые, как показала практика, все ближе «интегрируются» с соответствующими «отраслевыми» стандартами ISO. При создании современных систем менеджмента, в том числе ИСМ необходимо решать комплекс вопросов обеспечения безопасности основных бизнес-процессов организации. Приоритет направления безопасности, особенно информационной безопасности (ИБ) постоянно возрастает в силу усиления конкурентной среды, появления новых угроз и значительной сложности выполнения процедур риск-менеджмента. Для ИСМ весьма актуальна проблема получения оценки защищенности, что позволяет в краткосрочном и/или прогнозном аспектах оценить присущие данной организации риски, спроектировать эффективную СМИБ (СУУ) и внедрить экономически обоснованные средства обеспечения безопасности. В данной публикации кратко рассмотрены современные аспекты проведения аудитов систем менеджмента различного назначения, как отдельных (например, СМК, СМИБ, СУУ и пр.), так и в составе ИСМ.
  6. 6. 6 Рассматриваются кратко особенности новых стандартов ISO (серии 27001, 22301) и, в частности, подходы к оценке СМИБ на соответствие новой версии ISO/IEC 27001:2013 [4]. Определенное внимание обращено на актуальную статистику ISO применительно к практике сертификации, при этом необходимо принять во внимание, что требования обязательной сертификации нет в стандартах ISO, но, тем не менее, многие организации в инициативном порядке проходят такую независимую оценку с целью получения национальных и международных признанных сертификатов соответствия. Дополнительно предложены некоторые подходы для создания модели оценки защищенности ИСМ в соответствии с требованиями стандарта ISO/IEC серии 27001 и 22301. Учитывая относительную новизну данных стандартов в практическом применении к исследуемой проблеме в ИСМ, предлагаемые подходы могут быть полезным при планировании СМИБ, оценки защищенности уже созданных ИСМ, а также, в частности, для решения важных практических задач – проведения аудитов ИБ в организациях, обеспечение экономической стабильности, защиты ценных активов, в том числе Goodwill.
  7. 7. 7 Новые типы угроз бизнесу В последнее время наряду с «классическими» угрозами, проявились новые типы угроз, негативное и одновременно скоротечное воздействие которых (impact) чрезвычайно опасно для инфраструктуры организаций: Угрозы неконтролируемого оборота корпоративной информации. Согласно результатам исследования Symantec, половина сотрудников, потерявших свои рабочие места за последние 12 месяцев, продолжает хранить ценную конфиденциальную информацию со своего прошлого места работы, а 40% из них планируют пользоваться этой информацией на своем будущем рабочем месте. Также 62% считают приемлемым перенос рабочих документов на личные компьютеры (планшеты, смартфоны). При этом 56% работников не считают преступлением использовать конфиденциальную информацию конкурента. Угрозы коммерческого подкупа должностных лиц. По данным компании HeadHunter, каждый 4-й опрошенный, признался, что хотя бы раз в жизни соглашался на «откат» как вид взятки. При этом средняя сумма откатов составила свыше 200 тысяч руб. Как показал опрос, 15% респондентов готовы к «откату», если предложат. Угрозы техногенных катастроф. По материалам ОАО «Мегафон», после наводнения в Крымске летом 2012 г., когда часть базовых станций была выведена из строя, возникла сильная нагрузка на сети. По инициативе Роскомнадзора операторами «большой тройки» было достигнуто соглашение о межсетевом роуминге при аварийных ситуациях. При инциденте с Челябинским метеоритом в 2013 г. были выведены из строя 65 базовых станций GSM (12,9%) и 180 базовых станций UMTS (36,6%). В результате другие операторы приняли колоссальную нагрузку: в сети «ВымпелКома» нагрузка была в 20 раз выше, чем в обычный день, а в сети МТС нагрузка выросла в 8-10 раз.
  8. 8. 8 Раздел 1 Отраслевая статистика стандартов оценки Для целей данной публикации представляется важным оценить не столько и только общую статистику оценки (сертификации) различных систем менеджмента, сколько оценить влияние и различных отраслей экономики через фактор количества применимых стандартов (рекомендаций). По данным отчета «ISO in figure (for the year 2011 at 31 December)» для сектора электроники, ИТ и телекоммуникации разработано и пересмотрено значительное количество стандартов (см. рис. 1). По итогам 2011 г. следует, что доля всех стандартов этого сектора составляет около 17% (3.186 из 19.023), и занимает чистое третье место, а по количеству новых стандартов доля рассматриваемого сектора составляет свыше 22 % (268 из 1.208) и занимает чистое второе место, уступая только общеинженерным стандартам. Рис.1 Статистика разработанных международных стандартов ISO (2011 г.) Статистика сертификации систем менеджмента Традиционно высокий рейтинг в мире стандартов ISO/IEC серии 27000 отмечается в ежегодных отчетах ISO, а также подтверждается стабильным ростом сертификации. На основании отчета «The ISO Survey of Management System Standard Certifications – 2012», опубликованного в октябре 2013 г., следует, что в мире насчитывалось свыше 19.000 сертификатов, выданных органами по сертификации на соответствие требованиям ISO/IEC 27001:2005.
  9. 9. 9 Динамика прироста сертификатов по сравнению с 2011 г. составляет 13% или более 2.000 сертификатов в год (см. рис.2). Рис. 2 Динамика сертификации в мире по стандартам ISO В то же время в Российской Федерации динамика роста сертификации СМИБ, по данным приложения к открытому отчету «The ISO Survey of Management System Standard Certifications – 2012» в полной мере отражает непростые экономические взаимоотношения (см. рис. 3). Показан фрагмент таблицы с данными по сертификации в Европе, и представляется весьма интересным сопоставление статистики по количеству сертификатов СМИБ в Российской Федерации с данными по крупнейшим экономическим лидерам в Европе – Германии и Франции. В то же время резкий спад количества сертификатов СМИБ на рубеже 2010 и 2011 гг. показывает, насколько велика доля тех организаций в Российской Федерации, кто прекратил поддержку своей официальной сертификации. Следующим фактором, требующим отдельного анализа, является рост сертификатов в странах бывшего СССР, например, совокупное количество сертификатов только 2-х стран - Литвы и Латвии на конец 2012 г. превышает количество сертификатов СМИБ во всей Российской Федерации.
  10. 10. 10 ISO/IEC 27001 - Europe Year 2006 2007 2008 2009 2010 2011 2012 Country 1064 1432 2172 3563 4800 5289 6384 Austria 16 23 32 37 54 59 28 Belarus 1 1 1 1 Czech Republic 27 77 88 264 529 301 264 France 5 9 14 15 31 46 71 Germany 95 135 239 253 357 424 488 Italy 175 148 233 297 374 425 495 Latvia 1 2 6 9 9 Lithuania 2 3 7 11 14 19 Russian Federation 5 9 17 53 72 31 27 Рис. 3 Динамика сертификации в Европе по стандарту ISO/IEC 27001:2005 Формирование области сертификации (Scope) Для планирования и проведения аудитов необходимо, прежде всего, оценить корректность определения (выбора) области сертификации (Scope). Например, для СМИБ будет полезно принять во внимание несколько ключевых понятий, которые, в развитие внимания к проблеме обеспечения безопасности будут также изучены в аспекте создания ИСМ. В стандарте [2] применяются понятия «Политика ИБ», «Область сертификации (Scope)» и «Заявление о применимости». Кратко взаимосвязь этих основных понятий может быть представлена в модели СМИБ следующим образом (см. рис. 4). Необходимо отметить, что модель, рассматриваемая далее, позволит реализовать системный подход к аудиту не только СМИБ, но, благодаря применяемому математическому аппарату Т. Саати МАИ [14], также может быть применена для аудитов СУУ, СМНБ (ISO 22301) или иных систем менеджмента в составе ИСМ [15].
  11. 11. 11 Взаимосвязь Scope, «контролей» и рисков в СМИБ Анализ элементов СМИБ Риски понятны бизнесу и приняты? Постановка задачи создания СМИБ Активы НПА Риски «Контроли» ЛПР Требования бизнеса Выбор «контролей» Заявление о Применимости Политика ИБ Scope Рис. 4. Взаимосвязь Scope, мер (средств) обеспечения ИБ и рисков в СМИБ В основе любого процесса в системах менеджмента лежит решение лица принимающего решения (ЛПР) и в равной мере необходимо учесть применимое законодательство (федеральное, международное, отраслевые нормы и требования «регуляторов»). Роль выполнения НПА (нормативно-правовых актов), оценка «соответствия» (Compliance), достаточно актуальная, в стандарте [4] этому посвящен отдельный раздел А.18 (в новой версии 2013 г.). На следующем этапе формируются требования бизнеса к ИБ, т.е. официально утверждается Scope. Далее формируется постановка цели по созданию СМИБ, т.е. «на вход» принимаются определенные ЛПР активы, необходимые бизнесу для достижения своих целей и «на выходе» официально утверждается «Политика ИБ».
  12. 12. 12 Дополнение: корректность определения (выбора) области сертификации (Scope) напрямую зависит от следующих факторов: • В любой организации используются активы, т.е. экономические сущности, которые вовлечены в процесс создании продукции (СМК) и/или услуг (СУУ) и служат для получения дохода, следовательно, должны быть защищены; • Любые активы имеют уязвимости, следовательно, существуют угрозы и риски утраты целостности, доступности и /или конфиденциальности данных активов организации (СМИБ); • На практике ценные активы организации не всегда должным образом определены, категорированы, оценены и защищены; менее вероятно, что реализована система ИБ, и еще менее вероятно, что система ИБ сертифицирована или оценена каким-либо достоверным и объективным способом (минимально – в рамках внутренних аудитов ИБ); • Одна из ключевых проблем – оценка защищённости активов организации, которая дает высшему руководству сопоставимые, достоверные, оперативные и корректные данные [3]. Далее выполняется анализ рисков и формируется набор «контролей» - т.е. технических средств защиты, криптографических средств, организационных мер, которые позволят достигать бизнес-целей с уровнем риска, понятным и принятым ЛПР. Это очень важный этап, т.к. при формировании высоких требований к допустимым рискам совокупная стоимость «контролей» может существенно превысить ранее запланированный бюджет, следовательно, необходим контур обратной связи, который позволит «выровнять» позиции требований бизнеса и обеспечивающих процессов СМИБ. На «выходе» публикуется «Заявление о применимости» (Statement of Applicability), как декларация определения бизнес-целей, выделения необходимых активов, оценки рисков, применительно к данным активам и, соответственно, выбор и применение необходимых «контролей».
  13. 13. 13 Проблема оценки защищённости систем менеджмента Применительно к проблеме оценки защищённости СМИБ (как отдельной системы менеджмента, так и в составе ИСМ) очевидно, что основное внимание должно уделяться анализу выбора вариантов для соответствия требованиям [4], [6], [12]. Стандарт предназначен для обеспечения адекватного выбора эффективных средств обеспечения ИБ, в строгом соответствии с принятой в организации политикой ИБ, практикой менеджмента рисков и другими необходимыми процедурами. Внедрение СМИБ выполняется как проект и, в общем случае, выполняется в несколько этапов. Необходимо отметить, что термин «оценка защищённости» не предполагает автоматического прохождения какой-либо внешней оценки с целью «гарантированного» получения официального сертификата (например, на соответствие СМИБ требованиям ИСО/МЭК или Комплекса СТО БР ИББС или PCI DSS…). Возможные искушения менеджеров, создавших некоторую систему ИБ (предположим в строгом соответствии с требованиями регуляторов) не позволяют требовать немедленного признания и получения желаемого официального документа. Прежде всего, такой подход невозможен в силу «выборочного принципа» оценки, о котором высокопрофессиональный аудитор всегда должен заявить до начала аудита: «если несоответствия не найдены, это не значит, что их нет вовсе». Тем более, что постоянные примеры компрометации (взлома) многих известных компаний и в России и в мире только подтверждают этот принцип – абсолютно неуязвимых систем не бывает, следовательно, ни одна методика оценки не способна автоматически гарантировать успешную сертификацию любой СМИБ по любому набору критериев. Риски в процессе внедрения систем менеджмента Внедрение систем менеджмента (например, СУУ или СМИБ) в соответствии с требованиями стандартов ISO выполняется, как было указано
  14. 14. 14 выше, последовательно шаг за шагом, как классический процесс в [1], [6], [12] и следующие риски должны быть приняты во внимание: • неправильное выделение критичных бизнес-процессов (или выделение слишком большого числа таких процессов – что повышает затраты на СМИБ и снижает экономическую эффективность для организаций); • некорректное определение активов, подлежащих защите - что необоснованно повышает экономические затраты и время выполнения проекта – например существенные различия в логических и физических границах для области сертификации (Scope) для организаций; • неосведомленность о ценности информационных активов (лицензий на ПО, ПДн сотрудников и клиентов – особо критично для отрасти ИТ); • отсутствие утвержденной высшим руководством программы внедрения СМИБ (с четкими этапами, целями и сроками, например, применительно к информации, отнесенной в установленном законом РФ порядке к коммерческой тайне и пр.); • формально разработанные процедуры ИБ (например, аудита СУУ - по абстрактным шаблонам, предоставленным консультантами или ITIL); • непринятие во внимание требований обеспечения непрерывности бизнеса (например, в соответствии с требованиями ФЗ «О связи» статья 27 п. 5 и/или требованиями A.18 «Управление непрерывностью бизнеса» [4]). Проблема оценки непрерывности систем менеджмента Проблема обеспечения непрерывности бизнеса отражена в ряде международных стандартов достаточно подробно: в стандарте [4] введен специальный раздел в Приложении А (см. раздел А.17 «Информационные аспекты обеспечения непрерывности бизнеса»), в стандарте ISO 22301:2012 [8] устанавливают требование «Business continuity» (пункт 6.2) и Business continuity strategy (пункт 8.3), Для объективности нужно отметить, что ряд отраслевых НПА в Российской Федерации также заимствует некоторые элементы
  15. 15. 15 обеспечения непрерывности (в частности ЦБ РФ), с учетом своей специфики для организаций. На примере рассмотренных выше угроз покажем один из вариантов практического решение проблемы обеспечения непрерывности СМИБ (для некоторого сервиса). В соответствии с требованиями стандартов [4], [6] для предоставляемых сервисов должны быть документированы требования (например, утверждаться соглашение об уровне сервисов, SLA). Как правило, в SLA указывается номинальное требование по доступности сервиса (не превышающее MTPD) и минимально допустимый уровень предоставления сервиса в случае инцидента, а так же время восстановления (RTO < MTPD). Пример спецификации для сервиса показан на рис. 5, где уровень доступности установлен 95%, минимально допустимый уровень установлен 40%, время восстановления до минимального уровня (в случае инцидента полного прерывания сервиса) – 30 мин., и до номинального уровня – 90 мин. соответственно. Рис. 5 Спецификация параметров доступности сервиса На основании спецификации сервиса (SLA) возможно предложить несколько вариантов решения проблемы обеспечения непрерывности СМИБ.
  16. 16. 16 Основной фактор, как указано в [4], [6], [12] – обеспечение «триады безопасности» (одним из компонентов которой является «доступность») в точном соответствии с требованиями бизнеса. Следовательно, появляется экономическая оценка фактора «доступности», что оказывает существенное влияние на объем и структуру ресурсов, планируемых (выделяемых) для обеспечения непрерывности (доступности) сервисов. Например, рассмотрим 2 варианта: выделение в течении 30 мин. значительных затрат (Б) и выделение в течении 60 мин. минимальных затрат (А) с целью достижения номинального значения (см. рис. 6). При разных вариантах затрат ожидается соответствующий эффект по скорости восстановления согласованного уровня сервиса: • при затратах «А» (расходуемых за 60 мин.) сервис восстанавливается с согласованные SLA сроки (90 мин.) и нарушения доступности сервисов формально не происходит (RTO < MTPD, риск «выхода» за MTPD средний); • при затратах «Б» (расходуемых за 30 мин.) сервис восстанавливается за 60 мин. (быстрее чем SLA), т.е. параметр доступности существенно улучшается (RTO < MTPD, риск «выхода» за MTPD низкий).
  17. 17. 17 Рис. 6 Варианты восстановления доступности сервиса Предоставленные примеры помогают понять сложность решения проблемы обеспечения непрерывности более сложных территориально распределенных критичных систем, например ресурсов федеральных ведомств РФ. По данным Cnews (см. Таблицу 1) есть известные проблемы с обеспечением доступности к сайтам, т.е. необходимо решать комплексные задачи для ряда критичных ресурсов. Таблица 1 (Выборка недоступности сервисов ведомств) ФОИВ Сумма времен недоступности всех сервисов ведомства за неделю Доля времени недоступности сервиса за период МВД 197:39:29 32,9% ФССП 175:16:04 29,2% ГИБДД 116:45:06 19,5% ФСС 92:38:31 15,4% Росалкогольрегулирование 81:01:09 13,5% Росздравнадзор 54:34:27 9,1% Росреестр 30:13:42 5,0% Минкультуры 28:10:38 4,7% МЧС 21:52:59 3,6% ФМБА 18:53:43 3,1% Роспотребнадзор 17:45:25 3,0% Рособрнадзор 14:15:15 2,4% Минздрав 11:36:45 1,9% Ространснадзор 11:21:04 1,9% ФНС 10:35:31 1,8%
  18. 18. 18 Проблема синтеза методов оценки защищённости и непрерывности Для формирования эффективных методов оценки защищённости и непрерывности систем менеджмента необходимо применять комплексный подход, включающий ряд взаимоувязанных мероприятий, одним из которых является формирование системы критериев и разработка адекватных моделей (например, на базе СМИБ). Как показал анализ публикаций на специализированных научно-практических конференциях, на практике недостаточно только информации о реализуемых в СМИБ функциях и/или механизмах обеспечения ИБ (в терминах ISO/IEC 27000:2014 «controls»). Иными словами, провести типизированный анализ защищенности весьма затруднительно. При выполнении оценки СМИБ известны проблемы, связанные с формализацией и анализом требований (критериев) реальных ресурсов и использованием доступной и релевантной информации, прежде всего статистики (например, данных по инцидентам ИБ – см. выше пример «Сбербанка» и государственных информационных ресурсов). Необходимо опираться только на факты (известно требование стандарта аудита [13] – «принятие решений, основанных на фактах»), но факты любых инцидентов ИБ редко становятся публично известны в силу нежелания менеджмента предавать огласке факты уязвимостей в СМИБ и/или управленческих ошибок. По этим объективным причинам для оценивания защищённости и непрерывности применяются разнородные оценки (например, простейшие бальные системы оценки в Комплексе СТО БР), что вносит неопределенность в итоговые данные и является причиной сложностей при их анализе, интерпретации и формировании эффективного управляющего решения.
  19. 19. 19 Известные подходы при оценке защищённости систем менеджмента Для решения проблемы оценки защищённости в современных организациях применяются различные методики, получившие достаточное распространение за многолетнюю практику использования в различных отраслях [15]. Кратко рассмотрим несколько основных методик: • Международные стандарты ISO по системам менеджмента, содержащие требования к ИБ (например, СМИБ, СУУ, СМНБ), позволяющие выполнять как внутренние аудиты (первой стороной), так и внешние аудиты (второй и третьей стороной); • Комплекс СТО БР ИББС (разработка ЦБ РФ на базе стандарта ISO 17799), позволяющий кредитным организациям выполнять самооценку и/или внешнюю оценку по единой количественной методике: • Аттестация по руководящим документам ФСТЭК РФ (комплекс документов, предназначенный для оценки объектов автоматизации по установленным методикам и классам); • Оценки по отраслевым стандартам (например, PCI DSS), методикам (например, CobiТ5), позволяющим получить оценки соответствия конкретных технологий по специфическим требованиям. Очевидно, что для целей формирования объективных (и независимо воспроизводимых) оценок защищённости систем менеджмента (минимально – СМИБ, целевая задача – ИСМ), могут быть применены только стандарты ISO, т.к. все прочие методики содержат свои отраслевые требования, которые, в частном конкретном случае, не могут быть оценены (например, требование «Банковский платежный технологический процесс» в СТО БР ИББС) в организации ИТ–провайдере или организации – разработчике ПО. Важно обратить внимание, что общие подходы к интеграции для рассмотренных МС могут быть взяты из ISO/IEC 27013:2012 «Information
  20. 20. 20 technology – Security techniques – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1». Разработка и применение модели оценки (аудита) Как было отмечено выше, создание модели для аудитов (оценки защищенности) для организаций будет способствовать значительному упрощению процесса создания и последующей оценки защищённости и непрерывности бизнес-процессов в различных системах менеджмента (например, СУУ, СМНБ, СМИБ), благодаря следующим факторам: • Модели оценки (аудита) – например, на базе СМИБ, позволяют получать оперативные и достоверные оценки (в том числе – различные оценки защищённости) в процессе аудитов с использованием независимых (групповых) экспертных оценок [4], [6], [8]; • Применение независимых экспертных оценок дополнительно дают преимущества получения объективных, математически согласованных (на основании моделей по методу анализа иерархий Т. Саати) и практически обоснованных управленческих решений для ЛПР [14]. • Накапливаемые результаты оценок (аудитов) могут быть использованы для долгосрочного стратегического анализа, снижения издержек при проведении последующих аудитов, а также для поддержки принятия решений ЛПР по адекватному выбору технических и/или организационных мер [1], [4], [6] , [12]. Требования к моделям оценки (аудита) К моделям оценки (аудита), как показывает практика автора [15], целесообразно сформировать следующие основные требования: • Соответствия области сертификации (Scope) – для выбранной системы менеджмента, как отдельно: (СМИБ, СУУ и пр.) так и в составе ИСМ. Должны быть приняты во внимание размещение инфраструктуры всей организации, физические и логические границы, требования к персоналу,
  21. 21. 21 применяемые технологии (например, для системы управления услугами (СУУ), требуется принять во внимание технологии, используемые при предоставлении услуг потребителям, в частности Service Desk). • Соответствия требованиям к точности. Должны быть предложены модели оценки (аудита), предоставляющие ЛПР результаты оперативного или прогнозного моделирования с требуемой точностью. Для этого, например, в модели СМИБ могут быть учтены определенные меры из Приложения А (в новой версии ISO/IEC 27001:2013 всего 114 средств (мер) ИБ, сгруппированных по 14 разделам); • Соответствия детализации модели. Известно, что модели применяются для понимания структуры и поведения объекта, но без полномасштабного его воссоздания. Таким образом, модель оценки (аудита) должна позволять оценивать СМИБ (например) организации с достаточной детализацией (например, по структуре «доменов», «групп» и «контролей» безопасности, тем более, что допускаются исключения из Приложения «А» – при соответствующем обосновании рисков); • Соответствия требованиям по адекватности выбора средств (мер) ИБ. Стандарты в области ИБ [2], [4], [9] – [11], предназначены для обеспечения выбора адекватных средств (мер) ИБ (security controls), в соответствии с принятой в организации политикой ИБ, практикой менеджмента рисков (применительно к выбранным ценным активам, подлежащим защите) и другими необходимыми процедурами. Проект должен быть реализован для организации с достаточной детализацией (например, по структуре средств (мер) ИБ, принимая во внимание, что допускаются исключения из Приложения «А» стандарта [4] – при соответствующем обосновании рисков) и необходимых требований к бизнесу, в частности, постоянно изменяемый ФЗ-152 «О персональных данных» и Постановление правительства № 1119); • Соответствия целям интеграции. В случае постановки задачи создания ИСМ для организации, в составе, как минимум, СМК и СМИБ, очевидно,
  22. 22. 22 необходимо принять во внимание корректность учета входных данных (которые сами по себе уже могут содержать ПДн, требования фильтрации данных для «встраивания» в СМИБ, правила унификации потоков данных (например, типовые договора о неразглашении), ограничения допуска работников к формированию отчетов для анализа со стороны высшего руководства). Общие подходы к интеграции могут быть взяты из МС ISO/IEC 27013:2012 «Information technology – Security techniques – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1». • Соответствие специфическим требованиям бизнеса. Необходимо принять во внимание, что реализация конкретных требований стандарта [4], предъявляемых к ИТ инфраструктуре организации (как части бизнес- процессов). Как следствие, существует уникальный состав активов, которые имеют специфические уязвимости, угрозы, а следовательно – «отраслевые» специфические риски, которые, в свою очередь, требуют применения определенных средств (мер) ИБ. В этой связи уместно упомянуть стандарты [6], [9] – [11], которые определяют дополнительные по отношению к [4] требования по ИБ к сетевой безопасности. Эти дополнительные требования должны быть учтены при проектировании СМИБ, СУУ и/или ИСМ. Практический подход к построению модели оценки (аудита) Проект создания модели оценки (аудита) рекомендуется начинать с комплексного всеобъемлющего GAP-анализа организации, который включает в себя основные вехи: • Проверка НПА, регламентирующих деятельность организации касательно процессов выбранной системы менеджмента (например, СМК или СМИБ); • Проверка деятельности подразделений организации, включенных в Scope выбранной системы менеджмента, на соответствие требованиям применимых НПА;
  23. 23. 23 • Создание и апробация модели оценки (аудита) для объективной оценки уровня зрелости действующих процессов организации (например, ISO 15504 или Cobit5 для подтверждения IT Governance). Отдельно необходимо отметить экспертизу SLA (соглашений об уровне предоставляемых услуг), который является одним из базовых понятий СУУ [6], [7] и [8], а также применяется в СМИБ [4]. Как показывает практика, ошибки в заключении SLA, неправильно отнесение активов, непродуманные схемы восстановления деятельности (в т.ч. схемы эскалации инцидентов и критичных инцидентов) могут быть источниками серьезных системных рисков, которые могут оказать серьезное негативное влияние на выбранную систему менеджмента. Конкретные детали выявленных ошибок реальных SLA оставлены за рамками данной публикации по причине конфиденциальности, но общую схему можно представить следующим образом (см. рис. 7). Рис. 7 Пример применения модели оценки (аудита) для анализа SLA
  24. 24. 24 В качестве примерной модели оценки (аудита) на рис. 7 показан пример определения ответственности за некоторый актив, который принадлежит компании-поставщику услуг «А». Известно, что и системное и прикладное ПО лицензировано компанией «А», физическое «железо» и здание, в котором расположен актив, также находятся в собственности компании «А». С другой стороны находятся клиенты компании «Б», которые пользуются услугами компании-поставщика «А», т.е. оплачивают некоторые услуги по установленными метрикам SLA. Какие нюансы необходимо учесть, принимая во внимание требования СМИБ (СУУ)? При аудите SLA стало ясно, что канал, по которому физически осуществляется доступ клиентов к услуге, не является активом компании «А», т.к. юридически принадлежит компании-провайдеру «В». В договоре и SLA никак не был отражен тот факт, что риски ИБ (прерывания связи, защиты канала,…) принимаются компанией «А», и, следовательно, менеджмент компании-поставщика услуг «А» не предполагал, что может и должен (по требованиям как СМИБ, так и СУУ) налагать симметричные контрактные обязательства на компанию-провайдера «В». Далее, при более детальном изучении данной ситуации выяснилось, что компания-провайдер «В» не владеет полностью всеми активами (линиями связи, коммуникационным оборудованием и пр.), а пользуется некоторыми публично доступными сервисами (например, новомодными «облаками») и по этой причине не желает нести симметричную ответственность за возможные риски ИБ по своим каналам. В данной ситуации ответственное решение, конечно, лежит «на стороне» компании-поставщика услуг «А», т.к. СМИБ устанавливает четкие и однозначно трактуемые требования управления всеми активами. Менеджер данного актива отвечает перед клиентами компании «Б» до «точки входа» - которая, в данном примере, была неверно установлена и включала активы, не находящиеся под должным контролем компании-поставщика «А».
  25. 25. 25 Развитие модели оценки (аудита) на базе стандартов ISO Рассмотрим пример развития модели оценки (аудита) на базе стандартов ISO/IEC серии 27001. В разделе «Общие положения» стандарта [3] указано, что этот стандарт подготовлен в качестве модели для разработки, внедрения, мониторинга и улучшения СМИБ. Также в стандарте [3] определено, что стандарт представляет наглядную модель для реализации на практике принципов, которые позволяют осуществить оценку рисков, проектирование и реализацию СМИБ, а также переоценку. В тоже время на практике возникает проблема формирования и применения эффективной модели СМИБ, которая позволяла бы выполнять быструю оптимизацию и получить численные оценки уровня защищённости основных активов бизнеса. Поставленная проблема может быть решена при развитии «базовой» модели СМИБ (созданной в соответствии с требованиями стандарта [3]) за счет метода анализа иерархий (МАИ), предложенного Т. Саати в 70-х года ХХ века [14] и дающей возможность применять совместно иерархическую систему критериев ИБ и средств обеспечения ИБ. Суть метода МАИ состоит в том, что выбирается множество альтернатив, множество критериев и цель (как вершина иерархии), далее по каждому элементу иерархии независимыми экспертами (или группами экспертов) устанавливается относительная степень предпочтения, которая указывает значимость сопоставляемых элементов иерархии для эксперта. Численное значение предпочтения каждого элемента иерархии стандарта определяется их попарным сравнением по шкале отношений (на практике в большинстве случаев применяется шкала от 1 до 9). Предложенное развитие «базовой» по отношению к модели СМИБ [3] позволяет описать процесс создания, внедрения и оптимизации СМИБ таким образом, что общие свойства элементов (средств обеспечения ИБ) рассматриваются в качестве элементов следующего (по иерархии) уровня реальной системы. Далее эти элементы, в свою очередь, могут быть сгруппированы в соответствии с другим набором свойств, создавая
  26. 26. 26 последующие элементы иного более высокого уровня, и далее до тех пор, пока не будет достигнут единственный элемент – вершина, которая и является целью решения. Предложенную модель обычно называют иерархией, т. е. системой уровней, каждый из которых состоит из многих элементов, иначе именуемых факторами. Новизна предлагаемой модели СМИБ по сравнению с «базовой» моделью [3] заключается в совместном применении в качестве всех элементов иерархической структуры МАИ (цели, критериев, факторов, «стандартов») соответствующих сущностей стандарта [3] и расширенных математических правил самопроверки корректности («оценки однородности») и благодаря этому предоставляющей возможность построения математической модели, пригодной для выполнения быстрой оптимизации СМИБ (в том числе и «базовой» модели) и получения математически корректных численных оценок уровня защищённости основных активов бизнеса [15]. В предложенной модели СМИБ, построенной на базе модифицированного МАИ относительно «стандартов» реализованы следующие уровни иерархии: в качестве цели – определена информационная безопасность; в качестве критериев верхнего уровня применяется «триада безопасности» («конфиденциальность», «целостность» и «доступность»; в качестве прочих элементов иерархии применяются средства обеспечения ИБ, Приложения «А» стандарта [3], всего 11 разделов (А.5 – А.15). На рис. 8 показана часть предложенной модели СМИБ, которая отражает указанные выше спецификации и установленные требования [3] для реальной организации. Необходимо кратко пояснить, не называя точно конкретную
  27. 27. 27 исследуемую организацию, что в состав бизнес-процессов верхнего уровня данной организации входят 4 основные группы: 1. Бизнес-процессы автоматизации; 2. Бизнес-процессы связи; 3. Бизнес-процессы информационных технологий (ИТ); 4. Бизнес-процессы безопасности; Рис. 8 Модель СМИБ (часть) с учетом «триады безопасности» и средств обеспечения ИБ. Таким образом, рассматриваемая модель СМИБ может с достаточным основанием применяться для исследования проблемы создания эффективных СМИБ (отдельно или в составе ИСМ) и получения численных оценок уровня защищённости основных активов бизнеса. ЦелостностьКонфиденциальност ь Доступность A.12 Information systems acquisition, development and maintenance A.12.3.1 A.12.3.2 A.9 Physical and environmental security A.9.2.4 “Equipment maintenance” A.10 Communications and operations management A.10.5.1 “Information back-up” A.14 Business continuity management A.14.1.3 “Developing and implementing continuity plans including information security” Оценка защищенности ПДн 1 1E 2 1E 2 2E 2 3E 3 1E 3 2E 3 3E 3 4E
  28. 28. 28 Предложенное развитие модели СМИБ по сравнению с [3] имеет ряд преимуществ, свойственных иерархическим структурам для решения специального класса задач поддержки принятия управленческих решений: 1. Иерархическое представление реальной организации можно использовать для описания влияния изменений приоритетов на верхних уровнях модели на приоритеты элементов нижних уровней (например, для СМИБ изменение состава «триады безопасности», предположим, включение требования «неотказуемости» (non-repudiation), [3], может влиять на выбор средств обеспечения ИБ). 2. Иерархии предоставляют более подробную информацию о структуре и планируемых функциях реальной организации на нижних уровнях и обеспечивают необходимое рассмотрение критериев и целей на высших уровнях (например, для целей защиты ПДн в модели СМИБ обеспечивается детальное рассмотрение ряда критериев). 3. Реально существующие («практические») системы, модели СМИБ которых построены с использованием иерархического подхода, рассчитываются намного эффективнее, чем иные типы систем, и допускают быструю модификацию при необходимости (например, с учетом Постановления правительства № 1119); 4. Модели, построенные с использованием иерархического подхода, отличаются устойчивостью и гибкостью: устойчивость – малые изменения вызывают столь же малый эффект, гибкость – добавление элементов к хорошо структурированной иерархии не приводит к нарушению характеристик «базовой» модели. Реализация метода оценки (аудита) на базе стандартов ISO На базе рассмотренного выше модели может быть предложен метод проведения оценки (аудита) в ИСМ с применением модели СМИБ. На рис. 9 показан пример реализации метода для любой ИСМ, в состав которой входит СМИБ.
  29. 29. 29 Отличительными свойствами предложенного развития модели СМИБ для ИСМ являются наличие 2-х последовательных контуров управления – «Синтез» и «Оценка», охваченных обратной связью в функции обеспечения непрерывной оценки пригодности и улучшения СМИБ (напомним, это требование стандарта [3]). Первый контур («Синтез») практически детализирует выполнение требований стандартов, например для ИСМ – PAS:99 [12], и охватывает все основные сущности СМИБ, о которых кратко говорилось ранее. Важным моментом является блок оптимизации, который реализует постоянный контроль адекватности модели СМИБ (в соответствии с классической моделью PDCA) и соответствия внешним нормативным требованиям. Рис. 9 Метод применения модели СМИБ для ИСМ На «выходе» первого контура предложенного развития модели СМИБ формируются документированные свидетельства СМИБ, среди которых обязательные: «Политика ИБ», «Заявление о Применимости»,
  30. 30. 30 документированные процедуры, а также документы по менеджменту рисков: точная идентификация активов (реестр), выбор ценных активов, подлежащих защите, выбор методики оценки рисков, формирование плана обработки рисков, подготовка отчетов по оценки рисков (в том числе остаточных рисков). Во втором контуре («Оценка») выполняется оценка ИСМ с применением метрик предложенной модели СМИБ. Этот процесс можно формализовать, приняв за входные данные измеряемые численные показатели (метрики ИБ). В качестве примера нормативных документов, которые содержат метрики ИБ, можно рекомендовать стандарт ISO/IEC 27004, COBIT5, ITIL v.3.1 и пр. На «выходе» второго контура формируются оценки уровня защищённости основных активов бизнеса, например статические (дающие быстрый «аналитический срез» по статусу «как есть») или динамические (дающие прогнозные значения). Рассмотрим более подробно выбор методов оценки в предложенной модели СМИБ. Выбор конкретного метода оценки в предложенной модели СМИБ подразумевает возможность применения двух основных методов оценки: 1. Статический метод оценки – характеризуется формированием оценок для высшего руководства на основании расчета «статических данных», т.е. матрицы екторов приоритетов альтернатив МАИ содержат числа (скаляры) экспертных оценок [14]; 2. Динамический метод оценки - характеризуется формированием прогнозов для указанного высшим руководством временного интервала, при этом матрица векторов приоритетов альтернатив МАИ оперирует не числами, а функциями (как правило, нелинейными) [14]. Применение конкретного метода оценки в представленной модели СМИБ может быть по распоряжению высшего руководства выполнено и как «конструирование альтернатив», т.е. использование одного из важнейших преимущества модифицированного МАИ относительно «стандартов» –
  31. 31. 31 предоставление оценок и выбора наилучшей альтернативы в определенном заданном временном интервале прогнозирования [15]. В том случае, если высшее руководство организации получает оценки по предложенной модели СМИБ, которые его не удовлетворяют как владельца бизнес-процессов, выполняется проведение итерационного процесса оптимизации посредством контуров обратной связи. Эта возможность «заложена» и в базовой модели СМИБ [3], но в предложенной модели дополнительно реализуется в первом и/или втором контуре представленной модели СМИБ, например, посредством оперативного изменения матриц приоритетов, возможно, не затрагивающих ранее подготовленную «базовую» модель СМИБ. Преимущества предложенной модели СМИБ состоит в том, что высшее руководство организации может получить несколько сопоставимых оценок уровня защищённости основных активов бизнеса в оперативном режиме и оценить риски ИБ в организации (в т.ч. остаточные риски [3], [5]). Эти оценки могут быть далее обработаны в существующих экономических системах управления (например, на основе KPI или BSС) и на их основе будут подготовлены практические предложения по формированию бюджета, необходимого для адекватного управления определенными рисками СМИБ применительно к ИСМ. Результаты применения метода оценки (аудита) на базе стандартов ISO Для расчета динамической оценки по предложенной модели СМИБ сформирована матрица предпочтений стандартов (см. Таблицу 2): Таблица 2. Динамическая матрица предпочтений стандартов В С СН Н В 1,000 F1 F2 F3 С 1 / F1 1,000 F4 F5 СН 1 / F2 1 / F4 1,000 F6 Н 1 / F3 1 / F6 1 / F6 1,000
  32. 32. 32 В качестве функций в результате теоретических прогнозов, подтвержденных в дальнейшем практиков аудитов ИБ [15] выбраны следующие функции (см. Таблицу 3): Таблица 3. Функции для расчета динамической оценки Индекс функции Функция F1 c1*exp (c2*T) + c3 F2 b1*Ln (T + b2) + b3 F3 a1* (T) + a2 F4 d1*T2 + d2*T + d3 F5 a1* (T) + a2 F6 c1*Exp (T) + c2 Результаты расчета динамической оценки модели СМИБ представлены на рис. 10 (для переменной Т выбран диапазон -1 ≤ T ≥ 2) Рис. 10. Расчет динамической модели СМИБ
  33. 33. 33 В работе [15] представлены краткие результаты применения модели СМИБ, которые представлены в Таблице 4. Таблица 4. Результаты расчета моделей СМИБ Метод оценки Параметры модели Статическая модель Динамическая модель Глобальная цель Оценка защищенности ПДн по модели СМИБ Оценка защищенности ПДн по модели СМИБ Альтернативы Стандарт ISO/IEC 27001:2005; Комплекс СТО БР ИББС; РД ФСТЭК / ФСБ; Стандарт PCI DSS Стандарт ISO/IEC 27001:2005; Комплекс СТО БР ИББС; РД ФСТЭК / ФСБ; Стандарт PCI DSS Критерии «верхнего» уровня Конфиденциальность Целостность Доступность Конфиденциальность Целостность Доступность Критерии «нижнего уровня А.6.1.5 A.7.1.3 А.9.2.4 A.10.1.3 А.6.1.5 A.7.1.3 А.9.2.4 A.10.1.3 W = {0,448; 0,210; 0,202; 0,141}T Результат расчета W = {0,432; 0,217; 0,215; 0,136}T при Т = 0 Выполнено сравнение результатов расчетов по статической и динамической модели СМИБ – как для определения практической ценности и
  34. 34. 34 «качества» предложенной синтезированной модели на базе МАИ относительно стандартов, так и результативности методики оценки защищённости на базе предложенных моделей СМИБ (см. Таблицу 5). Таблица 5. Сравнение результаты расчетов модели СМИБ ПогрешностьМодель Альтернатива Статическая Динамическая (при Т = 0) ∆ δ A1 (ИСО/МЭК) 0,432 0,448 0,016 3,53% А2 (СТО БР ИББС) 0,217 0,210 0,007 3,45% А3 (РД ФСЭК/ФСБ) 0,215 0,202 0,014 6,73% А4 (PCI DSS) 0,136 0,141 0,005 3,54% Заключение Предложенная для проведения оценки (аудитов) систем менеджмента модель СМИБ имеет ряд преимуществ, свойственных иерархическим структурам для решения управленческих задач, в том числе для целей оценки (аудитов) защищённости ИСМ: • Иерархическое представление реальной организации можно использовать для описания влияния изменений приоритетов на верхних уровнях модели на приоритеты элементов нижних уровней (например, для СМИБ изменение состава «триады безопасности», предположим, включение требования «неотказуемости» (non-repudiation), может влиять на выбор средств обеспечения ИБ). • Иерархии предоставляют более подробную информацию о структуре и планируемых функциях реальной организации на нижних уровнях и обеспечивают достаточное рассмотрение критериев и целей на высших уровнях (например, в модели СМИБ обеспечивается детальное рассмотрение ряда критериев);
  35. 35. 35 • Реально существующие («практические») системы, модели которых построены с использованием иерархического подхода, рассчитываются намного эффективнее, чем иные типы систем, и допускают быструю модификацию при необходимости (например, с учетом Постановления правительства № 1119); • Модели, построенные с использованием иерархического подхода, отличаются устойчивостью и гибкостью: устойчивость – малые изменения вызывают столь же малый эффект и гибкость – добавление элементов к хорошо структурированной иерархии не приводит к нарушению характеристик «базовой» модели; • Ясный метод вывода результатов оценки – входные данные математически корректны, проходят многоступенчатую оценку, модель имеет точные матричные оценки, выходные результаты объективны, воспроизводимы и «трассируемые» до конкретных средств обеспечения ИБ в выбранном стандарте ISO;. • Не требуется привлечение внешних дорогостоящих консультантов, что позволяет существенно экономить бюджет, кроме того, конфиденциальные данные «не уходят» из информационного периметра организации; • Позволяет получать оценки и проводить независимое сопоставление с лучшими рекомендациями по отрасли – бенчмаркинг (например, взяв за шкалу оценки методику СТО БР ИББС).
  36. 36. 36 Выводы к Разделу 1 Применение предложенных методов оценки защищённости систем менеджмента на базе модели СМИБ должно способствовать повышению уровня зрелости и результативности реализованных проектов по внедрению как отдельных систем менеджмента, так и ИСМ: • Сокращение затрат благодаря оптимизации системы внутренних аудитов, процессов управление документами (записями), администрирования средств обеспечения ИБ, проведения периодической оценки со стороны руководства, корректирующих и предупреждающих действий; • Формирование универсального подхода к управлению бизнес-рисками (Business Impact Analysis, Risk assessment), а также создание «вертикальной» адекватной модели рисков в конкретной организации; • Сокращение числа формальных документов (требований) благодаря единому унифицированному набору четко документированных процессов; • Демонстрацию требуемого бизнесом уровня ИБ для обеспечения конфиденциальности, целостности и доступности информации для всех заинтересованных сторон (Interested party) конкретной организации; • Сокращение избыточных функций, отчетов и процессов благодаря установлению единого корпоративного «пространства» ответственности и полномочий (матрица RACI, Cobit5).
  37. 37. 37 Раздел 2 В данном разделе будут представлены некоторые практические результаты аудитов различных систем менеджмента (СМК, СМИБ, СУУ), основное внимание будет уделено вопросам практической оценки (аудитов) СМИБ в соответствии с требованиями международных стандартов ISO. Дополнительно, в качестве справочных материалов будут рассмотрены методики COBIT, ITIL применяемые, наряду со стандартами ISO серии 20000 в области управления ИТ-услугами (сервисами). Общие требования к внутренним аудитам Кратко напомним основные термины стандарта ISO 19011 [6] по аудиту систем менеджмента: • Аудит (п. 3.1) – систематический, независимый и документированный процесс получения свидетельств аудита и их оценивания с целью установления степени выполнения критериев аудита; • Критерии аудита (п. 3.2) – совокупность политик, процедур или требований, используемых в качестве основы для сравнения со свидетельствами аудита (дополнительно, например, в качестве критериев аудита может быть SLA); • Свидетельство аудита (п. 3.3) – записи, изложение фактов и иная информация, которая связана с критериями аудита и может быть проверена (например, это могут быть протоколы рассмотрения формальных претензий); • Наблюдения (результаты) аудита (п. 3.4) – результат оценки собранных свидетельств аудита по отношению к критериям аудита (указывают на соответствие или несоответствие); • План аудита (3.15) – описание деятельности по проведению аудита и договоренностей по этому вопросу;
  38. 38. 38 • Несоответствие (п. 3.19) – невыполнение требований (например, стандарта, типовой формы контракта, признанной процедуры заказчика). Историческая справка Известно, что вопросы аудита, в той или иной своеобразной форме, результативно (и эффективно) решались и ранее. В подтверждении этого факта рассмотрим два примера – из истории «петровской» России XVIII века и СССР ХХ века. Оба примера относятся, если можно так определить, к процессу контроля качества в оборонной промышленности и объективно являются, как сейчас принято говорить, «хорошей практикой». Пример 1. Указа Петра I о качестве (января 11 дня 1723 года): • Цели в области качества – «Повелеваю хозяина Тульской фабрики Корнилу Белоглазова бить кнутом и сослать на работу в монастыри, понеже он, подлец, осмелился войску Государства продавать негодные пищали и фузеи….» • Политика в области качества – «Новому хозяину ружейной фабрики Демидову повелеваю построить дьякам и подьячим избы не хуже хозяйской чтоб были. Буде хуже, пусть Демидов не обижается. Повелеваю живота лишить..» • Процесс аудита – «Приказано оружейной канцелярии из Петербурга переехать в Тулу и денно и нощно блюсти исправность ружей. Буде сомнение возьмет, самим проверить осмотром и стрельбою. А два ружья каждый месяц, стрелять, пока не испортятся….» • Корректирующие и предупреждающие действия – «Буде заминка в войске приключаться при сражении, по недогляду дьяков и подьячих, бить оных кнутьями по оголенному месту, Хозяину - 25 кнутов и пени по червонцу за ружье.…»
  39. 39. 39 Пример 2. Закон СССР «Об ответственности за выпуск недоброкачественной продукции и за несоблюдение обязательных стандартов промышленными предприятиями» от 10 июля 1940г. В статье 1 Закона предусматривалось, что «…выпуск недоброкачественной продукции или некомплектной промышленной продукции и выпуск продукции с нарушениями обязательных стандартов является противогосударственным преступлением равносильным вредительству». Ответственность за эти деяния была сохранена и в тексте УК РСФСР 1960 г. (ст. 152 «Выпуск недоброкачественной, нестандартной или некомплектной продукции»). Интересно отметить, что до 1993 г. основные положения данной уголовно-правовой нормы не менялись, т.е. в России в определенный интервал времени наследовались и сохранялись как жесткие обязательные законодательные нормы обеспечения качества продукции, так и требования международных стандартов ISO (на то время – серии 9001, 8402, 9004). В соответствии с требованиями всех «стандартов требований» [1], [4], [6], [8], в системах менеджмента должен реализовываться цикл постоянного улучшения (примечание – после выхода в свет Annex SL это требование в новых стандартах установлено в п. 10.2) и выполняться анализ со стороны руководства на периодической основе (соответственно, в новых версиях – это п. 9.3). Этот принцип постоянного улучшения (известный также как принцип Дёминга) наилучшим образом способствует адекватной реакции на изменение экономической ситуации и отражения политик, целей и процедур применительно к выбранным значимым (существенным для бизнеса) активам организации. В тоже время для современной организации важно обеспечить поиск решения проблемы формирования «единого управленческого поля». Известно, что многие крупные организации внедряют, с различной степенью успешности, системы менеджмента (например, СМК или СМИБ), призванные решать
  40. 40. 40 формальные (например, соответствие требованиям «регуляторов») или неформализованные задачи. В данной публикации под термином «единое управленческое поле» понимается создание ИСМ, в том числе на базе международных стандартов требований ISO, указанных выше. Напомним, что в рекомендациях PAS-99 [12] определено, что ИСМ может считаться система менеджмента, учитывающая в едином «управляющем поле» (one complete framework) требования более чем 1-го стандарта на системы менеджмента. Также важно принять во внимание, что PAS-99 как «стартовая точка» для планирования интеграции определяет идентификацию «потребностей бизнеса» (business needs). Эта рекомендация представляется крайне важной с учетом принятия соответствия Annex SL и выпуска новых стандартов по единой структуре 10 разделов (например, ISO 22301 по управлению непрерывностью бизнеса или ISO 55001 – по управлению активами). Также необходимо отметить, что практика внутренних аудитов (СМК, СУУ или СМИБ) в ИСМ подразумевает выполнение комбинированных аудитов в терминах стандарта [13], и, следовательно, несет существенную экономическую выгоду (аудиты проводятся за одно посещение единой группой аудиторов, имеющих компетенцию по всем необходимым стандартам в составе ИСМ). Кроме того, такой подход позволяет более глубоко сконцентрировать фокус аудита на оценках результативности процессов, а не на отдельных пунктах выбранных стандартов требований. Аудиты СМК (ISO 9001) Рассмотрение аудитов СМК на соответствие требованиям стандартов ISO серии 9000 [1] удобно рассмотреть на примере практики проведения аудитов поставщиков, т.е. аудитов 2-й стороной. Для современного промышленного предприятия трудно переоценить значение надежных поставщиков, которые смогут обеспечить выпуск компонентов (узлов продукции) требуемого качества, точно в срок и в

×