st11 (1027742), страница 3
Текст из файла (страница 3)
Руководство проверяемой организации несет ответственность за:— достоверность и полноту предоставляемой аудиторской организации информации;— любые ограничения возможности осуществления аудиторской организацией своих обязательств.7.1.7. Факты невыполнения требований, установленных в пункте 7.1.5, сообщаются в органы, контролирующие деятельность аудиторских организаций, и заказчику аудита ИБ.Факты невыполнения требований, установленных в пункте 7.1.6, указываются в отчете обаудите ИБ и могут служить основанием для прекращения процесса аудита ИБ.10СТО БР ИББС1.120077.2.
Требования к этапам проведения аудита информационной безопасностиорганизаций БС РФ7.2.1. Работы по проведению аудита ИБ организаций БС РФ должны включать следующиеэтапы:— подготовка к проведению аудита ИБ;— анализ документов;— проведение аудита ИБ на месте;— подготовка, утверждение и рассылка отчета по аудиту ИБ;— завершение аудита ИБ.7.2.2. Подготовка к проведению аудита ИБ должна начинаться с определения возможности проведения аудита ИБ, а также согласования и заключения договора на проведение аудитаИБ (см. пункт 7.1.2) между организацией БС РФ и аудиторской организацией. Дальнейшая подготовка аудиторской организации к проведению аудита ИБ должна заключаться в формировании аудиторской группы, назначении ее руководителя и установлении руководителем аудиторской группы контакта с проверяемой организацией.Содержание договора на проведение аудита ИБ может иметь особенности, но, как правило, в нем рекомендуется указывать:— область аудита ИБ;— ответственность руководства проверяемой организации за подготовку и предоставлениенеобходимых свидетельств аудита ИБ;— требования к отчету аудита ИБ;— порядок взаимодействия представителей проверяющей и проверяемой организаций;— порядок сбора необходимых свидетельств аудита;— цена проведения аудита ИБ;— порядок привлечения к работе по какимлибо вопросам аудита ИБ других проверяющихорганизаций и(или) технических экспертов;— необходимые ограничения ответственности проверяющей организации.7.2.3.
Аудиторская организация должна определить возможность проведения аудита ИБна основании готовности к сотрудничеству со стороны проверяемой организации и наличия времени и соответствующих ресурсов.Если проведение аудита ИБ признано невозможным, то по результатам консультаций спроверяемой организацией заказчику аудита должен быть предложен альтернативный вариант(перенос сроков проведения аудита, привлечение для проведения аудита ИБ другой аудиторской организации).7.2.4. В аудиторской организации для проведения аудита ИБ должна быть сформированааудиторская группа. Руководством аудиторской организации должен быть назначен руководитель аудиторской группы, ответственный за проведение аудита ИБ организации.При определении размера и состава аудиторской группы прежде всего должна учитываться компетентность аудиторской группы, в основе которой лежит уровень квалификации ее участников.Если аудиторы в аудиторской группе не обладают необходимыми знаниями и опытом поспециальным вопросам, в группу включают технических экспертов.
Технические эксперты должны работать под руководством аудиторов.7.2.5. Руководитель аудиторской группы должен в соответствии с договором на проведение аудита установить контакт с проверяемой организацией прежде всего для установленияспособов обмена информацией с представителями проверяемой организации с целью подтверждения полномочий на проведение аудита ИБ и запроса доступа к необходимым документампроверяемой организации.7.2.6. До проведения аудита ИБ на месте аудиторской группой должен быть проведен анализ требуемой документации проверяемой организации для определения соответствия положений, отраженных в документации, критериям аудита ИБ.Если документация будет признана неадекватной, то руководитель аудиторской группыдолжен сообщить об этом заказчику аудита ИБ и проверяемой организации. Аудиторской группой должно быть принято решение, может ли аудит ИБ быть продолжен или его необходимоприостановить до момента решения всех вопросов по документации.7.2.7.
Если аудиторской группой принято решение о продолжении аудита ИБ, то руководитель аудиторской группы должен подготовить план аудита ИБ на месте и согласовать его сзаказчиком аудита и проверяемой организацией.СТО БР ИББС1.1200711План аудита ИБ на месте должен включать:цель аудита ИБ;критерии аудита ИБ;область аудита ИБ;дату и продолжительность проведения аудита ИБ на месте;роли членов аудиторской группы и сопровождающих лиц со стороны проверяемой организации;— результаты анализа документов, предоставленных проверяемой организацией для проведения аудита ИБ, и оценку свидетельств аудита ИБ;— описание деятельности и мероприятий по проведению аудита ИБ на месте;— распределение ресурсов при проведении аудита.Согласованный план должен быть представлен проверяемой организации перед началомаудита ИБ на месте.7.2.8. Проведение аудита ИБ на месте должно включать следующие работы:— проведение вступительного совещания;— сбор дополнительных свидетельств аудита ИБ;— оценка свидетельств аудита ИБ;— подготовка заключения по результатам аудита ИБ;— проведение заключительного совещания.7.2.9.
Вступительное совещание с участием аудиторской группы и лиц, ответственных заподразделения или процессы, подлежащие проверке, должно проводиться с целью изложениядействий по проведению аудита ИБ и подтверждения способов обмена информацией междуаудиторской группой и представителями проверяемой организации. Председательствовать насовещании должен руководитель аудиторской группы.Изложение действий по проведению аудита ИБ заключается прежде всего в рассмотрении вопросов о процедурах аудиторской проверки, источниках, методах получения и достоверности свидетельств аудита ИБ, необходимых для составления заключения по результатам аудита ИБ.7.2.10.
Основными источниками свидетельств аудита ИБ должны являться:— документы проверяемой организации и третьих лиц, относящиеся к обеспечению ИБ организации;— устные высказывания и письменные ответы сотрудников проверяемой организации в процессе проводимых опросов;— результаты наблюдений аудиторов за деятельностью организации в области ИБ.Основными методами получения свидетельств аудита ИБ должны являться:— проверка и анализ документов, касающихся обеспечения ИБ организации;— наблюдение за деятельностью организации в области ИБ;— опрос сотрудников проверяемой организации и независимой (третьей) стороны.По степени достоверности (от наибольшей к наименьшей) свидетельства аудита ИБ делятся следующим образом:— свидетельства, полученные от третьей стороны в письменном виде;— свидетельства, полученные от проверяемой организации и подтвержденные третьей стороной в письменном виде;— свидетельства, полученные в ходе проведения аудиторских процедур (наблюдения задеятельностью, анализа данных системы мониторинга ИБ и т.д.);— свидетельства, полученные в форме документов;— свидетельства, полученные в устной форме.7.2.11.
При сборе свидетельств аудита ИБ аудиторы должны исходить из того, что деятельность проверяемой организации в области ИБ осуществляется в соответствии с критериями аудита, если этому есть доказательства. Аудиторы должны проявлять достаточную степеньпрофессионального скептицизма в отношении собираемых свидетельств аудита ИБ, принимаяво внимание возможность наличия различного вида нарушений при обеспечении ИБ в проверяемой организации.Проверка и анализ документов могут проводиться на всех этапах аудиторской проверки.Проверка и анализ документов позволяют аудитору получить свидетельства аудита ИБ, обладающие наибольшей полнотой и удобством восприятия и использования по сравнению с другими методами получения свидетельств аудита ИБ.
Однако эти свидетельства аудита ИБ имеютразличную степень достоверности в зависимости от их характера и источника, а также от эффективности внутреннего контроля организации за процессом подготовки и обработки представленных документов.—————12СТО БР ИББС1.12007Устный опрос может проводиться на всех этапах аудиторской проверки. Результаты устных опросов должны оформляться в виде протокола или краткого конспекта, в котором обязательно должны быть указаны фамилия, имя, отчество сотрудника аудиторской организации,проводившего опрос, фамилия, имя, отчество опрашиваемого лица, а также представлены ихподписи. Для проведения типовых опросов могут быть подготовлены бланки с перечнями интересующих вопросов. Письменная информация по итогам устных опросов должна приобщатьсяаудиторской организацией к другим рабочим документам аудиторской проверки.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
