st11 (1027742), страница 4
Текст из файла (страница 4)
Однако результаты устного опроса следует проверять, так как опрашиваемый может выражать свое субъективное мнение. Хорошей практикой является проведение перекрестных опросов сотрудников организации (т.е. опрос различных лиц). Наблюдение представляет собой отслеживаниеаудитором процедур или процессов в проверяемой организации, выполняемых другими лицами (в т.ч.
персоналом организации). Информация считается достоверной только в том случае,если она получена непосредственно в момент выполнения проверяемых процедур или функционирования процессов.7.2.12. Свидетельства аудита ИБ должны быть оценены с точки зрения критериев аудитадля формирования выводов аудита ИБ. Выводы аудита ИБ указывают на степень соответствияИБ организации БС РФ критериям аудита ИБ.Оценка соответствия ИБ организации БС РФ критериям аудита ИБ осуществляется наоснове принятых в организации БС РФ документов и методик.7.2.13. Выводы аудита ИБ и подтверждающие их свидетельства аудита ИБ должны бытьрассмотрены и проанализированы аудиторами совместно с представителем проверяемой организации для получения подтверждения того, что свидетельства аудита ИБ верны и понятны.Нерешенные вопросы должны быть зарегистрированы в протоколах совещаний и отражены вотчете по аудиту ИБ.7.2.14.
По результатам аудита ИБ аудиторской группой должно быть подготовлено аудиторское заключение.Если ограничение области аудита ИБ настолько существенно и глубоко, что аудитор не всостоянии провести оценку соответствия ИБ проверяемой организации критериям аудита ИБ,то аудиторская группа должна отказаться от формирования заключения.В результате проведения аудита ИБ умышленно может быть сформулировано заведомоложное аудиторское заключение. При выявлении любой из заинтересованных в деятельностипроверяемой организации БС РФ сторон фактов, подтверждающих умышленное формирование ложного аудиторского заключения, она имеет право добиться отмены такого заключения.Заведомо ложным аудиторское заключение признается только в порядке, установленном органами, контролирующими деятельность аудиторских организаций.7.2.15.
По окончании аудита ИБ должно быть проведено заключительное совещание с участием представителей аудиторской организации, проверяемой организации и заказчика аудита ИБ под председательством руководителя аудиторской группы.На совещании должны быть представлены выводы аудита ИБ и заключение по результатам аудита ИБ таким образом, чтобы они были понятны и признаны проверяемой организацией.Любые разногласия по выводам и/или заключению по результатам аудита ИБ между аудиторской группой и проверяемой организацией должны быть обсуждены и по возможности разрешены.
Если стороны не пришли к единому мнению, то это должно быть зарегистрировано.На совещании могут быть представлены рекомендации по повышению уровня ИБ проверяемой организации.7.2.16. По результатам проведения аудита ИБ аудиторская группа должна подготовитьотчет. Руководитель аудиторской группы несет ответственность за подготовку и содержаниеотчета по результатам проведения аудита ИБ.Отчет должен предоставлять полные, точные, четкие и достаточные записи по аудиту ИБи должен включать следующее:— сведения об аудиторской организации;— сведения о руководителе и членах аудиторской группы;— сведения о проверяемой организации;— сведения о заказчике аудита ИБ;— цель аудита ИБ;— область аудита ИБ, в частности, сведения о проверенных организационных и функциональных единицах или процессах и охваченном периоде времени;— сроки проведения аудита ИБ;— план аудита ИБ на месте;СТО БР ИББС1.1200713— документально оформленную совокупность анкет, содержащих критерии аудита ИБ и выводы аудита ИБ, сделанные по каждому из рассмотренных критериев аудита ИБ;— заключение по результатам аудита ИБ;— перечень представителей со стороны проверяемой организации, которые сопровождалии опрашивались аудиторской группой при проведении аудита ИБ;— краткое изложение процесса аудита ИБ, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам аудита ИБ;— подтверждение, что цель аудита ИБ достигнута в области аудита ИБ в соответствии с планом аудита ИБ;— любые неохваченные области, входящие в область аудита ИБ;— любые неразрешенные разногласия между аудиторской группой и проверяемой организацией;— заявление о конфиденциальном характере содержания отчета;— лист рассылки отчета по результатам аудита ИБ.Отчет по результатам проведения аудита ИБ должен быть выпущен в согласованные сроки, утвержден руководителем аудиторской организации и разослан получателям, определенным заказчиком аудита ИБ.Отчет по результатам проведения аудита ИБ является собственностью заказчика аудитаИБ.
Члены аудиторской группы и все получатели отчета должны обеспечивать конфиденциальность содержания отчета, за исключением случаев, прямо предусмотренных действующим законодательством Российской Федерации.8. Ïðîâåäåíèå ñàìîîöåíêèèíôîðìàöèîííîé áåçîïàñíîñòè8.1. Хорошей практикой проверки уровня ИБ и подготовки к аудиту ИБ организации БСРФ является самооценка ИБ. Самооценка ИБ проводится на основе принятых в организации БСРФ документов и методик.С помощью самооценки ИБ организации БС РФ могут самостоятельно оценить соответствие ИБ критериям аудита и провести анализ недостатков системы обеспечения ИБ организации БС РФ.Результаты самооценки ИБ могут служить основанием для устранения выявленных недостатков системы обеспечения ИБ до проведения аудита ИБ в организации БС РФ.8.2.
Самооценка ИБ может проводиться в рамках программы аудита ИБ, разработанной ворганизации БС РФ.8.3. Результаты самооценки ИБ не могут служить декларацией о соответствии критериямаудита ИБ.8.4. Работы по проведению самооценки ИБ организаций БС РФ должны включать следующие этапы:— формирование группы по организации самооценки ИБ, по сбору и анализу данных самооценки ИБ;— проведение самооценки ИБ;— формирование результатов самооценки ИБ и информирование руководства организацииБС РФ о результатах проведенной самооценки ИБ.8.5. Самооценка ИБ должна проводиться сотрудниками организации БС РФ, принимающими непосредственное участие в деятельности по обеспечению ИБ.
Как правило, это должныбыть сотрудники службы ИБ.8.6. Результаты самооценки должны быть проанализированы руководством организацииБС РФ для понимания существующих в организации БС РФ проблем ИБ и определения мер поих решению.14СТО БР ИББС1.12007Áèáëèîãðàôèÿ[1]ISO/IEC 27001:2005(E) Information technology — Security techniques — Information security management systems — RequirementsКлючевые слова: банковская система Российской Федерации, информационная безопасность, аудит информационной безопасности, свидетельства аудита информационной безопасности..
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
