Ш1Р ф элвис-плюс 1 страница

Ш1 Ernst &Young

Quality In Everything We Do

s,cav^_f ocr. by NztZLor TtatM,

Mtzor.org

duiM.-py-.ru

ioblt.ru.

Москва

Издательская группа «БДЦ-пресс» 2006

Курило А.П., Зефиров СЛ., Голованов В.Б. и др.

Аудит информационной безопасности. — М.: Издательская группа

«БДЦ-пресс», 2006. — 304 е., с вкл.

ISBN 5-93306-100-Х

В книге рассмотрены принципы и методы аудита информационной безопасности орга­низаций на основе процессного подхода. Показаны методы оценивания информаци­онной безопасности и подходы к исследованию полученных оценок информационной безопасности. Приведены практические примеры аудита информационной безопас­ности. Изложены принципы и подходы к формированию доверия к информационной безопасности. Представлены обзор и анализ международных, национальных и отече­ственных стандартов, руководств и нормативных документов по основам и практике аудита информационной безопасности.

ББК 65.01 К 88

Книга адресована высшим менеджерам организаций, руководителям служб информа­ционной безопасности и информационных технологий, а также специалистам и ауди­торам в области информационной безопасности. Издание также представляет прак­тический интерес для студентов старших курсов, обучающихся по специальностям, составляющим группу специальностей 090100 «Информационная безопасность».

1SIN 593306100-X © Курило A.n. и др., 2006 © Издательская группа «БДЦ-пресс», 2006

ББК 65.01 К 88

Книга выпущена при поддержке корпорации IBM.

Содержание

Предисловие........................................................................................ 6

1. Аудит информационной безопасности — необходимый инструмент обеспечения информационной безопасности в современных условиях........................................ 10

2. Процессы и системы................................................................... 18

2.1. Структура vi свойства процессов и систем.......................................... 18

2.1.1. «Процессный подход»...................................................................... 24

2.1.2. Процессный подход и информационная безопасность......................... 31

2.2. От линейной модели управления качеством процессов и систем к замкнутой циклической модели менеджмента качества процессов и систем................................................................................. 37

2.3. Способы контроля и проверки процессов и систем.

Цели контроля и проверки процессов и систем............................. 43

2.3.1. Оценка процессов — основа контроля и проверки процессов

и систем..................................................................................................... 43

2.3.2. Определение входных данных оценки............................................... 45

2.3.3. Роли и обязанности по проведению оценивания................................. 47

2.3.4. Модель оценки процесса................................................................. 48

2.3.5. Мероприятия процесса оценивания и выходные данные оценивания.... 49

2.3.6. Факторы успешной оценки процесса.................................................. 52

2.3.7. Внутренний и внешний аудит............................................................ 53

Обзор моделей безопасности бизнеса. Вводная информация

о моделях безопасности бизнеса. Аналитический материал IBM...... 54

3. Аудит информационной безопасности организаций

и систем.......................................................................................... 103

3.1. Правовые и методологические основы аудита информационной

безопасности...................................................................................... 103

3.1.1. Международные правовые аспекты, стандарты и руководства

по основам аудита информационной безопасности...................................... 103

КПМГ: мы помогаем компаниям в достижении стоящих

перед ними целей......................................................................................... 122

3.1.2. Национальные стандарты и руководства по основам аудита информационной безопасности 125

3.1.3. Отечественные законы и стандарты по основам аудита.................... 155

3.2. Осознание и менеджмент аудита информационной безопасности 167

3.2.1. Система обеспечения информационной безопасности — совокупность процессов осознания и менеджмента информационной безопасности.................................................................................................... 167

3.2.2. Осознание аудита информационной безопасности............................ 174

Комплексное обследование (аудит) информационной безопасности. Подход компании «ЭЛВИС-ПЛЮС» 178

3.2.3. Планирование программы аудита информационной безопасности.... 183

3.2.4. Реализация программы аудита информационной безопасности.......... 190

3.2.5. Контроль и совершенствование программы аудита информационной безопасности 199

3.3. Методы оценивания информационной безопасности................... 203

3.3.1. Оценивание информационной безопасности на основе показателей информационной безопасности 203

3.3.2. Оценивание информационной безопасности на основе моделей зрелости процессов обеспечения информационной безопасности.... 212

4. Исследование полученных оценок информационной

безопасности.................................................................................. 245

4.1. Оценивание результатов аудита и самооценки информационной безопасности 245

4.2. Оценивание процессов проведения аудита и самооценки информационной безопасности 249

4.3. Риск-ориентированная интерпретация полученных оценок информационной безопасности 250

5. Практика аудита информационной безопасности

организаций и систем.................................................................. 256

5.1. Особенности аудита информационной безопасности

организаций банковской системы Российской Федерации....... 256

5.1.1. Особенности развития средств и систем автоматизации................... 256

5.1.2. Направления обеспечения и оценки информационной безопасности.. 261

5.1.3. Размерность и значимость объектов оценки при проведении

аудита информационной безопасности........................................................ 264

5.1.4. Работы по созданию системы оценки ИБ организаций

банковской системы Российской Федерации................................................ 267

5.2. Аудит управления непрерывностью бизнеса и восстановления после сбоев 269

5.2.1. Предпосылки................................................................................. 269

5.2.2. Немного о терминах........................................................................ 270

5.2.3. Методологии, стандарты и нормативные требования в области управления непрерывностью бизнеса 271

5.2.4. Основные цели аудита.................................................................... 274

5.2.5. Основные вопросы, рассматриваемые при аудите............................ 275

5.2.6. Реализация аудита........................................................................ 276

5.2.7. Заключительные процедуры аудита................................................. 282

5.3. Особенности аудита информационной безопасности организаций, использующих аутсорсинг 282

6. Аудит и доверие информационной безопасности................. 290

Список использованных источников.......................................... 299

Участники проекта «Аудит информационной безопасности»............................................... 303

Предисловие

При построении системы обеспечения информационной безопаснос­ти (ИБ) организации наряду с процессами оценки рисков ИБ, реали­зации и эксплуатации защитных мер, обучения персонала информа­ционной безопасности и другими важными процессами во многом определяющими для менеджмента являются процессы контроля и про­верки ИБ организации. Своевременность, точность и полнота оценок ИБ, полученных в результате контроля и проверки ИБ, дают возмож­ность идентифицировать уязвимости системы обеспечения ИБ орга­низации, выявить неоцененные риски, определить корректирующие и, может быть, превентивные меры, направленные на совершенствова­ние процессов обеспечения ИБ организации.

Среди процессов контроля и проверки ИБ особое положение за­нимает аудит ИБ, основным назначением которого является формиро­вание независимой оценки ИБ организации, независимой от деятель­ности, которая проверяется. Как проводить аудит ИБ, какие процедуры использовать, к каким результатам может привести аудит ИБ, кто име­ет право проводить такую проверку, как оценить результаты аудита? На эти и другие вопросы авторы постарались ответить в предлагае­мой читателям книге.

Материал представлен с позиций «процессного подхода», что по­зволяет увидеть все многообразие процедур, мероприятий и атрибу­тов, применяемых и столь необходимых для осуществления аудита ИБ, а также для его улучшения.

Книга имеет б разделов. В первом разделе рассматриваются мето­дологические аспекты оценки сложных систем в историческом кон­тексте (ракурсе). Показывается изменение подходов к оценке по мере развития систем и общества.

Во втором разделе рассматриваются основы системного и процес­сного подхода, их применение в обеспечении информационной безопас­ности, показываются направления практической реализации системного и процессного подходов. Раскрываются основы моделей менеджмента и непрерывного совершенствования, базирующихся на непрерывной модели совершенствования, более известной как модель Деминга— Шухарта. Показываются цели контроля и проверки систем и процессов, способы независимой оценки. Излагаются принципы аудита. Рассмат­ривается процесс оценивания, анализируются его элементы.

В третьем разделе излагаются международные правовые аспекты и анализируются национальные руководства по аудиту И Б, а также отечественные законы и стандарты по основам аудита. Вводится по­нятие осознания ИБ. Рассматривается обеспечение ИБ организации как совокупность взаимодействующих процессов осознания ИБ и про­цессов менеджмента ИБ. Показывается процесс осознания аудита ИБ, анализируются его основные элементы. Описываются структура, со­держание программы аудита ИБ и процессы менеджмента программы аудита ИБ. Подробно рассматриваются основные элементы процесса проведения аудита ИБ. Предлагается модель оценки процессов обес­печения И Б на основе показателей ИБ. Рассматриваются модель оцен­ки для измерения правильности процессов системы обеспечения ИБ организации с целью оценки соответствия ИБ установленным крите­риям и модель для оценки эффективности процессов системы обес­печения ИБ, основывающейся на оценке зрелости данных процессов. Приводятся примеры формальных методов (стандартов) оценки зре­лости процессов жизненного цикла систем, процессов информацион­ных технологий, процессов инжиниринга безопасности, процессов информатизации в банковском бизнесе.

В четвертом разделе рассматриваются подходы к исследованию оценок ИБ. Описываются критерии оценивания результатов аудита и самооценки ИБ и критерии оценивания процессов проведения аудита и самооценки И Б. Рассматривается способ интерпретации получен­ных оценок ИБ.

В пятом разделе показывается практическое применение аудита ИБ и организациях банковской системы Российской Федерации, направ­ления и структура оценки И Б, описываются работы по созданию сис­темы оценки ИБ. Рассматриваются с точки зрения практики основные вопросы аудита управления непрерывностью бизнеса и восстанов­ления после сбоев. Приводится практический пример реализации аудита управления непрерывностью бизнеса (включая этапы его про­ведения), отражающий многолетнюю практику проведения данных работ. В разделе также раскрываются особенности аудита информа­ционной безопасности организаций, использующих аутсорсинг, ко­торый все более широко внедряется в практическую деятельность организаций.

В шестом разделе рассматриваются вопросы аудита и доверия ин­формационной безопасности. Показывается, что на практике в силу специфики области информационной безопасности фундаментальную роль и место имеет мнение (субъективное ощущение) человека. Опас­ность, до момента ее наступления, и безопасность, как противополож­ность опасности, являются категориями умозрительными, например вероятностными, причем вероятности здесь также условны в силу от­сутствия, как правило, статистики по многим аспектам, уникальным в каждом отдельном случае. Показывается, что аудит ИБ, наряду с дру­гими методами доверия может быть значимым инструментом обеспе­чения уверенности в информационной безопасности.

По разделам и главам авторский вклад распределен следующим образом:

раздел 1 «Аудит информационной безопасности — необходимый инструмент обеспечения информационной безопасности в современ­ных условиях» — Курило А.П., к.т.н. (Банк России, заместитель на­чальника Главного управления безопасности и защиты информации);

глава 2.1. «Структурам свойства процессов и систем», глава 2.2 «От линейной модели управления качеством процессов и систем к замкнутой циклической модели менеджмента качества процессов и систем» — Голованов В.Б. (НПФ «Кристалл», Пенза, заместитель на­учного директора);

глава 2.3. «Способы контроля и проверки процессов и систем. Цели контроля и проверки процессов и систем» — Зефиров СЛ., к.т.н. (НПФ «Кристалл», Пенза, заместитель научного директора);

глава 3.1.1. «Международные правовые аспекты, стандарты и ру­ководства по основам аудита информационной безопасности» — Кри­стофер Гулд (директор аудиторской фирмы КПМГ) совместно с Дроз­довым A.B. (старший менеджер аудиторской фирмы КПМГ);

глава 3.1.2. «Национальные стандарты и руководства по основам аудита информационной безопасности» — Зефиров С.Л.;

глава 3.1.3. «Отечественные законы и стандарты по основам ауди­та» — Алексеев В.М. (НПФ «Кристалл», Пенза, начальник отдела);

глава 3.2.1. «Система обеспечения информационной безопаснос­ти — совокупность процессов осознания и менеджмента информаци­онной безопасности»; глава 3.2.2. «Осознание аудита информацион­ной безопасности» — Зефиров С.Л.;

глава 3.2.3. «Планирование программы аудита информационной безопасности» — Зефиров С.Л. совместно с Самодаевым H.A.;

глава 3.2.4. «Реализация программы аудита информационной бе­зопасности»; глава 3.2.5. «Контроль и совершенствование программы аудита информационной безопасности»; глава 3.3.1. «Оценивание ин­формационной безопасности на основе показателей информационной безопасности» — Зефиров С.Л.;

глава 3.3.2. «Оценивание информационной безопасности на осно­ве моделей зрелости процессов обеспечения информационной безо­пасности» — Голованов В.Б.;

глава 4.1. «Оценивание результатов аудита и самооценки инфор­мационной безопасности»; глава 4.2. «Оценивание процессов прове­дения аудита и самооценки информационной безопасности» — Зе­фиров С.Л.;

глава 4.3. «Риск-ориентированная интерпретация полученных оце­нок информационной безопасности» — Андрианов В.В., к.т.н. (НПФ «Кристалл», Пенза, научный директор) совместно с Зефировым СЛ.;

глава 5.1. «Особенности аудита информационной безопасности организаций банковской системы Российской Федерации» — Зефи­ров С.Л. совместно с Головановым В.Б.;

глава 5.2. «Аудит управления непрерывностью бизнеса и восста­новления после сбоев»; глава 5.3. «Особенности аудита информаци­онной безопасности организаций, использующих аутсорсинг» — Са- модаев H.A. (старший менеджер аудиторской фирмы Эрнст энд Янг);

глава б «Аудит и доверие информационной безопасности» — Алек­сеев В.М. совместно с Головановым В.Б.

1. Аудит информационной безопасности — необходимый инструмент обеспечения информационной безопасности в современных условиях

Проблема доверия к мерам информационной безопасности или, как часто говорили некоторое время назад к способам и методам защиты информации, реализованным на объекте защиты, возникла одновре­менно с осознанием необходимости применения таких мер.

Всегда следовало убедиться в том, что предпринятые меры защиты эффективны.

Проявленные в ходе оценки эффективности мер безопасности ошибки, самоуверенность, пренебрежение или безграмотность неиз­менно приводили к ложным выводам.

Всегда ложные выводы дорого обходились. История полна драма­тических примеров, подтверждающих этот факт.

Справедливости ради следует отметить, что проблема доверия к мерам информационной безопасности является частным случаем го­раздо более общей проблемы получения свидетельств доверия к из­делию, процессу, субъекту, сообществу, коллективу, которая, в свою очередь, представляется неотъемлемой частью отношений высокоор­ганизованных существ, а не только homo sapiens.

В исторически обозримое время можно проследить появление двух различных методологических подходов к решению этой про­блемы. Что самое удивительное, эти подходы просуществовали вплоть до настоящего времени. Под влиянием изменения и услож­нения организации общественных и государственных институтов, развития технологий производства продукции и обработки инфор­мации трансформируются только методические подходы к про­блеме, не более.

Итак, всегда оценка сводилась:

• к получению свидетельств доверия к объекту путем его испыта­ния, т.е. практического подтверждения убежденности в том, что объект обладает ожидаемыми свойствами;

• к получению свидетельств доверия (уверенности) в том, что некая деятельность, от которой зависит эффективность работы самого объекта, осуществляется правильно. Убедится в этом можно, толь­ко сравнив эту деятельность с заранее установленным стандартом или с лучшей практикой осуществления такой же деятельности в других местах. При этом считается, что выполнение стандартов де­ятельности (регламентов, инструкций, правил, руководящих указа­ний), разработанных на основании этих практик, гарантирует по­ложительный результат этой деятельности и, как следствие, нормальную и эффективную работу самого объекта.

Первый подход, т.е. метод натурных испытаний, присущ, как уже отмечалось, в большей степени материальным (инженерным) объек­там, начиная с каменных топоров и заканчивая океанскими суперлай­нерами и космическими станциями. В ряде случаев, когда невозмож­но смоделировать реальные условия эксплуатации объекта или нельзя по каким-либо причинам проверить, как реально он работает, прово­дится моделирование, и по результатам испытаний модели делается вывод о реальном поведении объекта, его качестве или надежности функциронирования. Результаты испытаний фиксируются в виде спе­циального документа (акта испытаний, сертификата), свидетельствую­щего только об одном — о том, что испытуемый объект соответствует предъявляемым к нему требованиям. Объект сопровождается эксплу­атационной документацией, указывающей на то, в каких условиях он должен эксплуатироваться и как обслуживаться, для того чтобы свой­ства объекта не оказались утраченными.

В конце тридцатых годов прошлого века в Германии были выдви­нуты идеи, суть которых сводилась к тому, что на качество выпуска­емого изделия самым существенным образом влияет качество уп­равления производством. В последующем эти идеи привели к возникновению новой философии управления качеством, положен­ной в основу получивших исключительное распространение во всем мире стандартов ISO серии 9000.

В последние годы возникли идеи ввести в систему управления качеством методы рыночного саморегулирования, что нашло от-

Второй подход возник по мере развития и совершенствования об­щественных и финансовых институтов сначала в древней Греции, а потом в Римской империи. Как пишет в своей книге «Практический аудит» П.И. Камышанов, еще примерно в 200 г. до н.э. квесторы (дол­жностные лица, ведавшие финансовыми и судебными делами) Рим­ской империи осуществляли контроль за государственными бухгал­терами на местах. Отчеты квесторов направлялись в Рим и выслушивались экзаменаторами. В результате такой практики и воз­ник термин «аудитор» (от лот. «слушать»). Кроме того, в Римской империи была создана специальная налоговая полиция, сотрудники которой прибегали к пыткам женщин и детей для получения сведе­ний об укрываемых от обложения доходах и имуществе.

Методологии аудита присущи многие специфические свойства, о которых пойдет речь в этой книге. Но в основе его лежат следующие фундаментальные принципы, корни которых прорастают из древнего Рима:

• открытость результатов аудита;

• публичность при принятии и обсуждении результатов.

Очень важно отметить, что в этом случае вывод о том, насколько успешно функционирует объект и насколько он соответствует предъяв­ляемым к нему требованиям, делается на основании изучения каче­ства выполнения персоналом этого объекта соответствующих функ­ций, зафиксированных в технологических регламентах, созданных, в свою очередь, по заранее установленным стандартам.

По сути, этот метод является прогностическим, а выводы по ре­зультатам аудита принципиально носят вероятностно-прогностический характер. Принципиально отличаются и документы, возникающие по результатам аудита. Как правило, это оценочные отчеты, содержащие в то же время весьма конкретные и жесткие рекомендации по приве­дению внутренних процессов и регламентов в соответствие общепри­нятым стандартам или практикам.

В последнее время появился положительный опыт применения методологии аудита для оценки сложных систем, в первую очередь таких, работа которых неразрывно связана с деятельностью коллек­тивов людей, отношения между которыми являются, как известно, оп­ределяющим фактором успешного функционирования этих систем.

Проблема оценки мер защиты в ее современном понимании воз­никла естественно, с появлением первой вычислительной машины. Сначала для оценки безопасности информации, которую обрабатыва­ли эти устройства, вполне подходили радиотехнические методы изме­рений и оценки, что требовало представления ЭВМ как радиотехни­ческого объекта. При использовании методологии испытаний изделий, о чем шла речь выше, удалось разработать эффективные критерии оценки уровня безопасности, а результаты испытаний оформить в виде понятных документов, например сертификатов. Естественно, после это­го к объекту прикладывался хорошо отработанный набор технической документации, содержащей указания о требованиях, при которых свой­ства безопасности защищаемого объекта, т.е. ЭВМ, которая обрабаты­вала определенную информацию, сохраняются.

Методика в первое время была удобной. Однако в связи с бурным развитием элементной базы и появлением мощных и малогабаритных компьютеров, объединением их в системы и сети, а главное — пре­вращением информационных технологий в инфраструктуру обеспече­ния всех без исключения сторон практической деятельности людей, организаций и государственных институтов возникли серьезные слож­ности при применении этого подхода. В немалой степени на это по­влияло то обстоятельство, что в качестве приоритетных стали рассмат­риваться угрозы, связанные в первую очередь с доступом к информации вычислительными, а не радиотехническими способами. Это обстоятельство в середине 70-х гг. прошлого века привело к воз­никновению сначала в США и практически одновременно в Европе ряда исследовательских проектов, имевших целью разработку новых подходов к вопросу оценки уровня безопасности и выработки дове­рия к мерам защиты конкретных информационных ресурсов. В 1979 г. в США вышла знаменитая «Оранжевая книга», провозгласившая этот подход.

В конце XX в. на фоне растущей глобализации, глубокой интегра­ции и взаимного проникновения друг в друга ранее изолированных информационных, финансовых, транспортных и информационных си­стем, взрывного роста возможностей ПЭВМ и внедрения в нашу прак­тическую жизнь сети Интернет наступило осознание того, что про­блема информационной безопасности носит глобальный характер и прямо или косвенно затрагивает интересы практически всех людей, организаций, предприятий и государственных институтов. Это при­вело к пониманию необходимости стандартизации подходов к прак­тике обеспечения информационной безопасности на международ­ном уровне. В результате под эгидой международной организации по стандартизации были разработаны несколько основополагающих стандартов в сфере информационной безопасности продуктов ин­формационных технологий (IS0/IEC 15408) и аудита информацион­ной безопасности (ISO 17799 и BS 7799). В определенной степени эти вопросы нашли отражение и в стандартах аудита информацион­ных систем (C0BIT).

Необходимо отметить, что в основу этих стандартов были поло­жены методологически разные подходы, отражающие два взгляда на методологию получения свидетельств доверия, о чем уже шла речь выше. И только сейчас, осознав наличие методологического проти­воречия, мешающего в конечном итоге выработке ясных и непроти­воречивых правил получения свидетельств доверия к уровню ин­формационной безопасности организаций, представляющих собой сложные системы, международная организация по стандартизации начала работы по созданию соответствующих универсальных стан­дартов. Одновременно продолжаются работы на национальном уров­не, в первую очередь в США, Великобритании, Италии, Франции и Германии.

Суть противоречий заключается в определении состава объекта защиты.

В первом случае это некая техническая (аппаратно-программная) система, обеспеченная необходимой технической и эксплуатационной документацией, и персонал, обслуживающий ее. В нашей стране пер­сонал вообще не рассматривается в качестве элемента системы.

Во втором случае это сложная система, включающая техническую инфраструктуру со всей документацией и персонал, использующий эту инфраструктуру для достижения бизнес-целей организации, работаю­щий в соответствии с соответствующими правилами и регламентами, написанными специально для него.

Сложность заключается в том, что оценить работу персонала мож­но только методами аудита, а технических систем — методом испы­таний.

Начиная с конца 80-х гг. прошлого века с появлением британского стандарта 17799 ведущие мировые аудиторские фирмы стали успеш­но применять этот стандарт для оценки уровня информационной бе­зопасности организаций в целом и получения свидетельств доверия для информационных систем. Это потребовало проведения фундамен­тального анализа сущности понятия «информационная система», ис­пользования методологии процессных подходов, совершенствования методологии управления на основе циклических моделей управления менеджментом, разработки критериев оценки, о чем также пойдет речь в данной книге.

Опыта такого же массового использования стандарта ISO 15408, за исключением сертификации ряда информационных продуктов, нет.

В нашей стране бытующий технократический взгляд на информа­ционную систему как на комплекс технических средств, программно­го, математического и лингвистического обеспечения и информаци­онных ресурсов, закрепленный в законодательстве в начале 90-х годов, предопределил развитие проблемы по первому сценарию, что приве­ло ситуацию в определенный тупик и усложнило движение в сторону реализации лучших мировых практик в этой сфере деятельности. Пока это только начинает осознаваться.

Вместе с тем практическая жизнь гораздо разнообразнее, чем лю­бая теория или схема. В результате этого время от времени возника­ют проблемы, требующие безотлагательного решения.

Так, например, при установлении партнерских отношений между банками существует правило проведения у партнеров финансового аудита международной аудиторской компанией по соответствующим стандартам. В последнее время к требованиям проведения финансо­вого аудита прибавились требования проведения аудита информаци­онной безопасности по стандартам ISO 17799 и BS 7799. Эти правила применяются и для отечественных банков, стремящихся выйти на меж­дународный уровень партнерства. Но в этом случае налицо возник­новение противоречий между требованиями отечественной и между­народной нормативной базы. Банк находится перед трудным выбором, но интересы бизнеса заставят его сделать выбор. Следует тогда при­знать, что возникает и ширится нормативная неопределенность, а так­же растут противоречия в системах оценок информационной безо­пасности одного и того же объекта, проводимых по разной системе документов.

В чем успех методологии аудита и почему он так широко начал применяться во всем мире для оценки информационной безопаснос­ти не только информационных систем, но и организаций в целом?

Оценка эффективности деятельности или качества изделия в обя­зательном порядке требует:

• выбора ключевых показателей (индикаторов), характеризующих количественное или качественное состояние свойств объекта или какой-либо деятельности;

• выбора метода измерения выбранных ключевых показателей и оценки его точности;

• определения критериев оценки соответствия измеренных пока­зателей установленным требованиям, характеризующим прием­лемый с точки зрения владельца объекта уровень его качества или качества аудируемой деятельности;

• получения гарантий оценки.

Анализ объекта защиты как сложной системы неожиданно привел к выводу о том, что соотношение вклада в общий уровень безопасно­сти различных составляющих распределяется строго в соответствии с универсальным законом неравенства (законом Парето) в соотноше­нии 20/80, причем на 20% приходится вклад со стороны технических систем, а на 80% — со стороны людей (сотрудников), эксплуатирую­щих эти технические системы. Это подтверждает статистика по инци­дентам в сфере информационной безопасности.