st11 (1027742), страница 2
Текст из файла (страница 2)
Уровень ИБ организации БС РФ соответствует высокому уровню ИБ, если процессысистемы обеспечения ИБ проводятся осознанно на основе прогноза, мониторинга и анализавнутренней и внешней среды, развития и изменения целей бизнеса (деятельности) организации БС РФ.4.3. Возможное изменение внешней среды ведения бизнеса (деятельности) организацииБС РФ, изменение и возрастание рисков ИБ вследствие естественных и/или преднамеренныхизменений во внешней и внутренней среде организации БС РФ является причиной для регулярного проведения аудита ИБ в организации БС РФ, что позволяет своевременно принимать мерыпо поддержанию ИБ на необходимом уровне.СТО БР ИББС1.1200774.4. Оценка соответствия ИБ организации БС РФ критериям аудита ИБ проводится на основе документов по обеспечению ИБ и фактов, свидетельствующих о выполнении, частичномвыполнении или невыполнении установленных требований ИБ.5.
Îñíîâíûå ïðèíöèïû ïðîâåäåíèÿ àóäèòàèíôîðìàöèîííîé áåçîïàñíîñòè îðãàíèçàöèé ÁÑ ÐÔ5.1. Независимость аудита ИБ. Аудиторы независимы в своей деятельности и неответственны за деятельность, которая подвергается аудиту ИБ. Независимость является основанием для беспристрастности при проведении аудита ИБ и объективности при формировании заключения по результатам аудита ИБ.5.2. Полнота аудита ИБ. Аудит ИБ должен охватывать все области аудита ИБ, соответствующие аудиторскому заданию. Кроме того, полнота аудита ИБ определяется достаточностьюзатребованных и предоставленных материалов, документов и уровнем их соответствия поставленным задачам. Полнота аудита ИБ является необходимым условием для формирования объективных заключений по результатам аудита ИБ.5.3. Оценка на основе свидетельств аудита ИБ.
При периодическом проведении аудита ИБ оценка на основе свидетельств аудита ИБ является единственным способом, позволяющим получить повторяемое заключение по результатам аудита ИБ, что повышает доверие к такому заключению. Для повторяемости заключения свидетельства аудита ИБ должны быть проверяемыми.5.4. Достоверность свидетельств аудита ИБ.
У аудиторов должна быть уверенность вдостоверности свидетельств аудита ИБ. Доверие к документальным свидетельствам аудита ИБповышается при подтверждении их достоверности третьей стороной или руководством организации БС РФ. Доверие к фактам, полученным при опросе сотрудников проверяемой организации, повышается при подтверждении данных фактов из различных источников. Доверие к фактам, полученным при наблюдении за деятельностью проверяемой организации в области ИБ,повышается, если они получены непосредственно при функционировании проверяемых процедур или процессов.5.5. Компетентность. Доверие к процессу и результатам аудита ИБ зависит от компетентности тех, кто проводит аудит ИБ, и от этичности их поведения.
Компетентность базируетсяна способности аудитора применять знания и навыки.5.6. Этичность поведения. Этичность поведения подразумевает ответственность, неподкупность, умение хранить тайну, беспристрастность.6. Ìåíåäæìåíò ïðîãðàììû àóäèòàèíôîðìàöèîííîé áåçîïàñíîñòè6.1. Программа аудита ИБ включает деятельность, необходимую для планирования и организации определенного количества аудитов ИБ, их контроля, анализа и совершенствования,а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения аудитов ИБ в заданные сроки.Программа аудита ИБ разрабатывается организацией БС РФ. В общем случае могут бытьразработаны несколько программ аудита ИБ.Рекомендованная последовательность процессов менеджмента программы аудита ИБпредставлена на рисунке 11.6.2.
Руководство организации БС РФ должно распределять полномочия и ответственностьза управление программой аудита ИБ.Ответственные за управление программой аудита ИБ лица должны иметь представлениео принципах аудита ИБ, компетентности аудиторов, содержании этапов аудита ИБ, а также обладать знаниями по обеспечению ИБ.Ответственные за управление программой аудита ИБ лица должны:— разрабатывать, внедрять, контролировать, анализировать и совершенствовать программу аудита ИБ;— определять потребность программы аудита ИБ в ресурсах;— способствовать принятию решений об обеспечении программы аудита ИБ необходимыми ресурсами.1Последовательность процессов менеджмента программ аудита гармонизирована с моделью менеджмента ИБ, определеннойразделом 5 СТО БР ИББС1.0 и положениями международного стандарта [1].8СТО БР ИББС1.120076.3.
Разработка программы аудита ИБ должна включать в себя определение целей, объема программы, а также необходимых финансовых, информационных и людских ресурсов для еереализации.Рисунок 1. Последовательность процессов менеджмента программы аудита ИБРаспределение полномочийпо программе аудита ИБРазработка программыаудита ИБВнедрение программы аудита ИБи деятельность по проведениюаудита ИБСовершенствованиепрограммы аудита ИБКонтроль и анализпрограммы аудита ИБЦелью программы аудита ИБ является оценка соответствия ИБ организации БС РФ критериям аудита и содействие в повышении при необходимости уровня ИБ организации БС РФ.На объем программы аудита ИБ влияют размер и сложность структуры организации БСРФ, область каждого аудита ИБ и частота проводимых аудитов ИБ.6.4. Внедрение программы аудита ИБ должно включать в себя:— доведение программы аудита ИБ до участвующих в ее реализации сторон;— планирование аудитов ИБ;— определение привлекаемых аудиторских организаций и предоставляемых ресурсов дляпроведения аудитов ИБ;— проведение аудитов ИБ в соответствии с программой аудита ИБ;— анализ и утверждение отчетов по результатам аудитов ИБ;— определение действий по результатам аудитов ИБ.6.5.
В организации БС РФ должны проводиться контроль внедрения программы аудита ИБ,анализ достижения целей программы аудита ИБ и определение возможностей для ее совершенствования. О результатах анализа должно информироваться руководство организации БС РФ.Контроль и анализ программы аудита ИБ должны включать в себя:— проверку возможностей аудиторских групп, служб или лиц по реализации аудита ИБ. Подтверждением возможности по реализации аудита могут являться информация об образовании и опыте работы членов аудиторской группы, сертификаты, подтверждающие квалификацию членов аудиторской группы;— анализ достижения целей аудита ИБ и программы аудита ИБ в целом;— анализ отчетов и заключений по результатам аудита ИБ.6.6.
Совершенствование программы аудита ИБ состоит в определении корректирующихи превентивных действий по совершенствованию программы аудита ИБ, включающих в себяпересмотр и корректировку сроков проведения аудитов ИБ и необходимых ресурсов, улучшение методов подготовки свидетельств аудита ИБ.СТО БР ИББС1.1200797. Ïðîâåäåíèå àóäèòà èíôîðìàöèîííîé áåçîïàñíîñòè7.1. Требования к взаимоотношениям представителей аудиторской организациис представителями проверяемой организации7.1.1.
В процессе общения представители аудиторской организации и представители проверяемой организации на всех этапах проведения аудита ИБ должны демонстрировать честность,открытость, желание обсуждать и по возможности разрешать возникшие разногласия.Аудиторская организация должна информировать проверяемую организацию обо всех мероприятиях, проводимых в рамках аудиторской проверки.Проверяемая организация должна обеспечивать предоставление аудиторской организации всей необходимой для проведения аудита ИБ информации.7.1.2.
Аудиторское задание на проведение аудита ИБ должно оформляться договором всоответствии с требованиями законодательства РФ.Хорошими практиками являются:— направление официального предложения аудиторской организации со стороны проверяемой организации или заказчика аудита, например, государственного надзорного органа, о заключении договора на проведение аудита ИБ;— направление аудиторской организацией письма о проведении аудита ИБ руководствупроверяемой организации до заключения договора на проведение аудита ИБ с целью согласования условий предстоящего договора.В договоре на проведение аудита ИБ необходимо зафиксировать критерии аудита ИБ, покоторым должно быть выражено мнение аудиторской организации.7.1.3.
При подготовке к проведению аудита ИБ и в процессе его проведения аудиторскаягруппа вправе самостоятельно принимать решение об источниках, методах получения и достоверности свидетельств аудита ИБ (см. пункт 7.2.10), необходимых для составления заключенияпо результатам аудита ИБ, если иное не оговорено в договоре на проведение аудита ИБ.7.1.4.
В процессе проведения аудита ИБ руководитель аудиторской группы должен периодически доводить до сведения проверяемой организации и заказчика аудита информациюо ходе аудита ИБ и любых возникающих проблемах. Свидетельства, собранные при проведенииаудита ИБ, которые выявляют критические для ИБ проверяемой организации уязвимости (помнению руководителя аудиторской группы), должны быть немедленно доведены до сведенияпроверяемой организации и, если необходимо, до сведения заказчика аудита ИБ.Если имеющееся свидетельство аудита ИБ (или его отсутствие) указывает на то, что цельаудита ИБ недостижима, то руководитель аудиторской группы должен сообщить причины заказчику аудита ИБ и проверяемой организации для определения дальнейших действий.
Этидействия могут включать либо изменение цели или областей аудита ИБ, либо прекращение аудита ИБ.7.1.5. Аудиторская организация несет ответственность за:— достоверность заключения по результатам аудита ИБ;— соблюдение конфиденциальности сведений и документов, получаемых и составляемых входе аудиторской проверки организации (за исключением случаев, прямо предусмотренных действующим законодательством РФ). При необходимости требования по использованию документов проверяемой организации и отчета по аудиту ИБ должны определяться договором на проведение аудита ИБ.7.1.6.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
