Программа аудита

ID аудируемого показателя

Название аудируемого показателя

Методика оценки

Представители аудируемой области

Дата

Вступительное совещание

Руководитель отдела ПО

09.00 23.03.2016

4.

Контекст организации, область применения и

границы распространения СМИБ.

Интервью, Анализ документов

Ген. Директор Абдульзянов А. Р.

10.00 23.03.2016

5.

Лидерство

Интервью, Анализ документов

Ген. Директор Абдульзянов А. Р., Начальник отдела ПО Сиркин В.

11.30 23.03.2016

6.

Планирование (Действия по обработке рисков, Цели ИБ)

Интервью, анализ документов

Ген. Директор Абдульзянов А. Р., Руководитель отдела ИБ системный администратор Сайфуллин Р.

12.30 23.03.2016

7.

Поддержка (Ресурсы, Компетенции, Осведомленность, Коммуникации, Документация)

Интервью

Руководитель отдела ИБ системный администратор Сайфуллин Р.

15.00 23.03.2016

8.

Эксплуатация

Анализ документов

9.00 24.03.2016

9.

Оценка результативности

Анализ документов

10.00 24.03.2016

10.

Улучшение

Анализ документов

10.30 24.03.2016

А 6.1.5

Выяснить как реализуется информационная безопасность при управлении проектами

Интервью, Анализ документов

Руководитель НТЦ Садовников А.

11.30 24.03.2016

А 7.2.1

Выяснить как менеджмент контролирует соблюдение правил информационной безопасности в соответствии с установленными политиками и процедурами организации.

Интервью

Начальник отдела ПО Сиркин В., Тим лидер команды Форсаж Хасанов Д.

12.30 24.03.2016

Обед

А 7.2.3

Выяснить существует ли формализованный дисциплинарный процесс, известный персоналу, на основании которого предпринимаются меры в отношении сотрудников, совершивших нарушение в поле информационной безопасности.

Интервью, Анализ документов

Начальник отдела ПО Сиркин В., сотрудник отдела ПО Герасимов Д.

14.00 24.03.2016

А 7.3.1

Выяснить осведомленность сотрудников об ответственности и обязанностях в поле информационной безопасности, которые остаются в силе после увольнения или изменения профессиональных обязанностей.

Интервью

Сотрудник отдела ПО Герасимов Д.

14.30 24.03.2016

А 8.3.1

Выяснить наличие схемы классификации носителей информации и процедур управления ими.

Интервью

Системный администратор Пирогов А.

15.30 24.03.2016

А 8.3.2

Выяснить наличие документированных процедур по утилизации носителей информации.

Интервью

Системный администратор Пирогов А.

15.50 24.03.2016

А 8.3.3

Выяснить наличие документированных процедур по транспортировке носителей информации.

Интервью

Системный администратор Пирогов А.

16.00 24.03.2016

А 9.1.2

Изучить процесс доступа к сетевым сервисам компании.

Интервью, Прослеживание процесса

Системный администратор Пирогов А.

16.10 24.03.2016

А 9.2.2

Рассмотреть процесс инициализации прав доступа пользователя.

Прослеживание процесса

Системный администратор Пирогов А.

16.30 24.03.2016

А 9.2.6

Ознакомиться с процедурами удаления или изменения прав доступа и их выполнением.

Интервью

Системный администратор Пирогов А.

17.00 24.03.2016

A.9.4.3

Ознакомиться с процедурами генерации и выдачи паролей.

Интервью

Системный администратор Пирогов А.

17.30 24.03.2016

А 11.1.1

Изучить меры защиты зон, которые содержат чувствительную, критическую информацию или средства обработки информации.

Наблюдение

9.00 25.03.2016

А 11.1.2

Изучить механизмы управления физическим доступом.

Наблюдение, самостоятельное выполнение операции

9.20 25.03.2016

А 11.1.3

Изучить элементы физической безопасности помещений.

Наблюдение

9.40 25.03.2016

А 11.2.9

Выяснение осведомленности сотрудников о политиках чистого рабочего стола и экрана.

Интервью, наблюдение.

Сотрудник отдела ПО Герасимов Д.

10.00 25.03.2016

А 12.2.1

Рассмотреть меры защиты от вредоносного ПО

Интервью, анализ документов

Системный администратор Пирогов А.

11.00 25.03.2016

А 12.6.2

Выяснить наличие правил ограничений на установку ПО

Интервью

Системный администратор Пирогов А., сотрудник отдела ПО Герасимов Д.

11.30 25.03.2016

А 13.2.4

Выяснить наличие соглашения о неразглашении информации

Интервью, анализ документов

Начальник отдела ПО Сиркин В.

12.30 25.03.2016

Обед

А 14.2.1

Выяснить наличие и изучить политику безопасности при разработки ПО

Интервью, анализ документов

Начальник отдела ПО Сиркин В.

14.00 25.03.2016

А 18.1.2

Изучить вопрос о праве интеллектуальной собственности

Интервью, анализ документов

Начальник отдела ПО Сиркин В.

15.00 25.03.2016

Заключительное совещание

Руководитель отдела ПО

09.00 28.03.2016

ID

Вопрос

Методика сбора информации

Ответы

Доказательство

4.

Определены ли в организации внешние и внутренние аспекты, которые имеют отношение к ее цели и влияют на ее способность к достижению ожидаемых результатов от СМИБ?

Интервью

Да

Опросный лист Ген. Директор Абдульзянов А. Р.

4.

Определены ли заинтересованные стороны, которые имеют отношение к СМИб?

Интервью

Да

Опросный лист Ген. Директор Абдульзянов А. Р.

4.

Учитывает ли СМИБ характеристики бизнеса, организации, ее расположения, активы и технологии?

Интервью

Да

Опросный лист Ген. Директор Абдульзянов А. Р.

4.

Разработано ли в организации Положение о применимости?

Интервью

Нет

Опросный лист Ген. Директор Абдульзянов А. Р.

4.

Содержит ли Положение о применимости обоснование выбора исключения целей и средств управления из

Приложения А стандарта ISO 27001?

Анализ документов

Нет

Положение о применимости

4.

Был ли издан приказ о формировании и внедрении СМИБ?

Интервью

Нет

Опросный лист Ген. Директор Абдульзянов А. Р.

5.

Приняты ли руководством компании документы по разработке, внедрению, обеспечению функционирования, мониторингу, анализу, поддержке и улучшению СМИБ?

Анализ документов

Нет

Приказы: Формальное утверждение политики СМИБ руководством;

Четко определенные роли и сферы ответственности в области информационной безопасности;

5.

Доступны ли ресурсы необходимые СМИБ?

Интервью

Да

Опросный лист Руководитель отдела ИБ системный администратор Сайфуллин Р.

5.

Разработана ли политика ИБ?

Интервью

Да

Опросный лист Ген. Директор Абдульзянов А. Р.

5.

Совместимы ли цели политики ИБ со стратегическими целями?

Анализ документов

Нет

Политика ИБ, Записи аудитора

5.

Учитывает ли политика основные характеристики организации?

Анализ документов

Нет

Политика ИБ, Записи аудитора

5.

Устанавливает ли политика цели, основные направления и принципы деятельности в области информационной безопасности?

Анализ документов

Да

Политика ИБ, Записи аудитора

5.

Учитывает ли политика бизнес-требования, правовые или другие обязательные требования, а также контрактные обязательства по обеспечению безопасности?

Анализ документов

Нет

Политика ИБ, Записи аудитора

5.

Согласована ли политика со стратегией менеджмента рисков организации?

Интервью

Нет

Опросный лист Ген. Директор Абдульзянов А. Р.

5.

Пересматривалась ли политика ИБ с момента ее создания?

Анализ документов

Нет

Политика ИБ, Записи аудитора

5.

Осведомлены ли сотрудники о целях ИБ?

Интервью

Нет

Опросный лист Сотрудник отдела ПО Герасимов Д.

5.

Определены ли и документально оформлены в соответствии с политикой ИБ организации роли и ответственность сотрудников, подрядчиков и пользователей третьей стороны по обеспечению безопасности? Четко ли определена в организации вся ответственность в области информационной безопасности?

Анализ документов

Нет

Приказы о возложении отвественности за обеспечение ИБ

6.

Проводится ли в организации оценка рисков ИБ?

Интервью

Нет

Опросный лист Ген. Директор Абдульзянов А. Р.

6.

Обновлялся ли подход к оценке рисков в

организации?

Интервью

Нет

Опросный лист Ген. Директор Абдульзянов А. Р.

6.

Разработан ли в организации План обработки рисков?

Интервью

Нет

Опросный лист Ген. Директор Абдульзянов А. Р.

6.

Существуют ли в организации принятые риски? Формализованы ли они?

Интервью

Нет

Опросный лист Ген. Директор Абдульзянов А. Р.

6.

Знакомы ли Вы с понятием остаточного риска? Одобрены ли Вами остаточные риски ИБ компании?

Интервью

Нет

Опросный лист Ген. Директор Абдульзянов А. Р.

6.

Разработан ли План обработки рисков?

Интервью

Нет

Опросный лист Ген. Директор Абдульзянов А. Р.

6.

Проводятся ли в компании совещания по анализу СМИБ?

Интервью

Нет

Опросный лист Ген. Директор Абдульзянов А. Р.

6.

Находятся ли цели ИБ в соответствии с политикой ИБ?

Интервью

Да

Опросный лист Руководитель отдела ИБ системный администратор Сайфуллин Р.

6.

Разработаны ли планы по достижению целей ИБ?

Интервью

Нет

Опросный лист Руководитель отдела ИБ системный администратор Сайфуллин Р.

7.

Надлежащим ли образом

финансируется СМИБ на практике?

Достаточно ли средств, выделяемых

руководством для решения вопросов

информационной безопасности в разумные

сроки и на надлежащем уровне качества?

Интервью

Да

Опросный лист Руководитель отдела ИБ системный администратор Сайфуллин Р.

7.

Идентифицированы ли компетенции

для персонала, участвующего в процессе

СМИБ?

Интервью

Нет

Опросный лист Руководитель отдела ИБ системный администратор Сайфуллин Р.

7.

Проводится ли подготовка

персонала и повышение осведомленности в

области информационной безопасности?

Интервью

Нет

Опросный лист Руководитель отдела ИБ системный администратор Сайфуллин Р., начальник кадрового отдела Пименова А.

7.

Разработан ли план по повышению квалификации персонала в области ИБ

Интервью

Нет

Опросный лист Руководитель отдела ИБ системный администратор Сайфуллин Р., начальник кадрового отдела Пименова А.

7.

Определены ли необходимые внутренние и внешние коммуникации, относящиеся к СМИБ?

Интервью

Нет

Опросный лист Руководитель отдела ИБ системный администратор Сайфуллин Р.

8.

Выполняются ли запланированные мероприятия для выполнения требований ИБ?

Анализ документов

Да

Планы по внедрению систем безопасности

8.

Выполняется ли оценка рисков организации через запланированные интервалы времени?

Интервью

Нет

Опросный лист Руководитель отдела ИБ системный администратор Сайфуллин Р.

8.

Реализован ли план обработки рисков?

Интервью

Нет

Опросный лист Руководитель отдела ИБ системный администратор Сайфуллин Р.

9.

Проводились ли в организации

внутренние аудиты СМИБ.

Интервью

Нет

Опросный лист Руководитель отдела ИБ системный администратор Сайфуллин Р.

10.

Разработан ли план по реагированию на инциденты в ИБ?

Интервью

Нет

Опросный лист Руководитель отдела ИБ системный администратор Сайфуллин Р.

10.

Сохранены ли документы о произошедших инцидентах и корректирующих действиях?

Интервью

Да

Опросный лист Руководитель отдела ИБ системный администратор Сайфуллин Р.

А 6.1.5

Разработаны ли в организации регламенты по обеспечению ИБ при управлении проектами?

Интервью

Нет

Опросный лист Руководитель НТЦ Садовников А.

А 6.1.5

Донесено ли содержание регламентов до всех сотрудников, учавствующих в реализации проектов.

Интервью

Нет

Опросный лист Руководитель НТЦ Садовников А.

А 7.2.1

Проводит ли менеджемент мероприятия по повышению осведомленности сотрудников в сфере ИБ?

Интервью

Нет

Опросный лист Тим лидер команды Форсаж Хасанов Д.

А 7.2.1

Проводит ли менеджмент беседы при выявлении нарушений/инцидентов?

Интервью

Да

Тим лидер команды Форсаж Хасанов Д.

А 7.2.3

Установлен ли формализованный

дисциплинарный процесс для

сотрудников, нарушивших требования

безопасности?

Интервью

Да

Опросный лист, Начальник отдела ПО Сиркин В., разработчик Герасимов Д.

А 7.2.3

Предпринимались ли меры согласно данному процессу к нарушителям ИБ?

Интервью

Да

Опросный лист, Начальник отдела ПО Сиркин В., сотрудник отдела ПО Герасимов Д.

А 7.3.1

Разработано ли соглашение о конфиденциальности?

Интервью

Да

Опросный лист Сотрудник отдела ПО Герасимов Д.

А 7.3.1

Осведомлены ли сотрудники, что после увольнения, на них остается ответственность за разглашение конфиденциальной информации?

Интервью

Да

Опросный лист Сотрудник отдела ПО Герасимов Д.

А 8.3.1

Существует ли в организации схема классификации носителей информации? Разработана ли и внедрена совокупность процедур маркировки и обращения с информацией в соответствии с принятой в организации схемой классификации?

Интервью

Нет

Опросный лист Системный администратор Пирогов А.

А 8.3.2

Существуют ли процедуры по утилизации носителей? Все ли компоненты оборудования, содержащие носители данных, проверяются, чтобы обеспечить, что любые конфиденциальные данные и лицензионное программное обеспечение были удалены или безопасно замещены другими данными до утилизации?

Интервью

Нет

Опросный лист Системный администратор Пирогов А.

А 8.3.3

Существуют ли процедуры по транспортировке носителей? Защищены ли носители, содержащие

информацию, от несанкционированного доступа, ненадлежащего использования

или повреждения при

транспортировании за пределами

территории организации?

Интервью

Нет

Опросный лист Системный администратор Пирогов А.

А 9.1.2

Принята ли в организации политика, касающаяся использования сетей и сетевых услуг?

Интервью, Прослеживание процесса

Да

Опросный лист Системный администратор Пирогов А., Записи аудитора

А 9.2.2

Внедрен ли в организации формализованный процесс инициализации доступа?

Интервью, Прослеживание процесса

Да

Опросный лист Системный администратор Пирогов А., Записи аудитора

А 9.2.6

Существуют ли формализованные процедуры пересмотра прав доступа?

Интервью

Да

Опросный лист Системный администратор Пирогов А.

A.9.4.3

Автоматизирован ли процесс генерации паролей?

Интервью

Нет

Опросный лист Системный администратор Пирогов А.

A.9.4.3

Придерживаются ли пользователи

надлежащих практик безопасности при

выборе и использовании паролей?

Интервью

Да

Программист Герасимов Д.

А 11.1.1

Определены ли периметры физической безопасности и применена ли защита зон, которые содержат чувствительную, критическую информацию или средства обработки информации.

Наблюдение

Да

Фотографии, Заметки аудитора

А 11.1.2

Защищены ли зоны безопасности соответствующими средствами управления, чтобы доступ был разрешен только уполномоченному персоналу?

Наблюдение, самостоятельное выполнение операции

Да

Фотографии, Заметки аудитора

А 11.1.3

Внедрена ли физическая безопасность для помещений?

Наблюдение

Да

Фотографии, Заметки аудитора

А 11.2.9

Внедрена ли Политика чистого рабочего стола и Политика чистого экрана?

Интервью, наблюдение.

Нет

Опросный лист Сотрудник отдела ПО Герасимов Д., Фотографии

А 12.2.1

Применяются ли средства управления

для обнаружения, предотвращения и

восстановления в целях защиты от

вредоносного кода, а также

соответствующие процедуры

обеспечения осведомленности

пользователей?

Интервью, анализ документов

Нет

Опросный лист Системный администратор Пирогов А, Выгрузки из антивирусного ПО, Регламент обновления вирусной базы

А 12.6.2

Применяются ли процедуры для

управления установкой программного

обеспечения в операционных системах?

Интервью

Нет

Опросные листы Системный администратор Пирогов А., сотрудник отдела ПО Герасимов Д.

А 13.2.4

Определяются ли и регулярно

анализируются требования к

конфиденциальности или соглашения о

неразглашении информации в

соответствии с потребностями

организации в защите информации?

Интервью, анализ документов

Нет

Опросный лист Начальник отдела ПО Сиркин В., Договор о коммерческой тайне

А 14.2.1

Разработана ли политика безопасности при разработке программного обеспечения?

Интервью

Нет

Опросный лист Начальник отдела ПО Сиркин В.

А 14.2.1

Доступна ли она для сотрудников отдела ПО?

Интервью

Нет

Опросный лист Начальник отдела ПО Сиркин В.

А 18.1.2

Внедрены ли соответствующие

процедуры для применения

требований относительно использования

материалов с учетом прав

интеллектуальной собственности?

Интервью, анализ документов

Да

Опросный лист Начальник отдела ПО Сиркин В., Процедуры, договоры о коммерческой тайне