Козьминых С.И. Организация защиты информации в ОВД. Ч. 2
.pdf121
–BS 7799-2:2002 Information security management systems – Specification with guidance for use;
–BSI PD 3003:2002 «Are you ready for a BS 7799-2 audit?» (BSI PD 3003:2002 «ГотовылиВыкаудитупотребованиямBS 7799-2?»);
–BSI PD 3004:2002 «Guide to the implementation and auditing of BS 7799 controls» (BSI PD 3004:2002 «Руководство по реализации и аудиту средств управления
BS 7799»);
– «Стандарты, руководящие указания и процедуры для специалистов в сфере аудита и управления информационными системами», опубликованные советом по стандартам ISACA в поддержку деятельности по аудиту по требованиям CobiT
(«IS Standards, Guidelines and Procedures for Auditing and Control Professionals»).
Положения стандартов ИСО/МЭК17799, BS 7799-2:2002 и CobiT устанавливают определенные критерии для проведения аудиторской деятельности в отношении СИТ и организаций. Документ «Принципы аудита» стандарта CobiT и руководства серии BSI PD 3000 (в том числе BSI PD 3003 и BSI PD 3004) для национального стандарта Великобритании BS 7799-2 в первую очередь предназначены для проведения внутреннего аудита информационных систем (включая средства ИБ) и систем менеджментаинформационнойбезопасности (СМИБ) организаций. Вто же время положения стандарта Великобритании BS 7799-2 совместно с рядом процедурных стандартов, таких, как ИСО 19011, ИСО/МЭК17025, формируют основу для сертификационного аудита ИБ СМИБ организаций, результаты которого признаютсяв определенныхкругахмеждународногобизнес-сообщества.
Сложившаяся ситуация диктует необходимость разработки и введения в действие национальных стандартов аудита в области ИБ, базирующихся на признаваемых в международном сообществе решениях и учитывающих специфику и особенности аудиторской деятельности в области ИБ в Российской Федерации, включаярешениезадачпроцедурногоплана.
2. Основные виды и способы аудита информационной безопасности
Аудит информационной безопасности организации определяется как систе-
матический, независимый и документированный процесс для получения свидетельств аудита ИБ и объективного их оценивания с целью установления степени выполнения критериев аудита ИБ. Аудит ИБ не подменяет государственного контроля состояния ИБ ключевых объектов информационной и телекоммуникационной инфраструктуры Российской Федерации и организаций любой формы собственности, являющихся собственником или пользователем конфиденциальной информации, требующей защиты в соответствии с законодательством Российской Федерации.
ПосодержаниюаудитИБразделяетсянаследующиевиды:
–аудит ИБ системы информационной технологии (СИТ), эксплуатируемой в организации;
–аудитИБорганизации.
Задачей аудита ИБ СИТ, эксплуатируемых в организации, является проверка состояния защищенности конфиденциальной информации в организации от внутренних и внешних угроз, а также программного и аппаратного обеспечения, от которого зависит бесперебойное функционирование СИТ. Данный вид подразумевает как документальный, так и инструментальный аудит состояния защищенности информацииприеесборе, обработке, хранениисиспользованиемразличныхСИТ.
122
Задачей аудита ИБ организации является проверка состояния защищенности интересов (целей) организации в процессе их деятельности в условиях внутренних и внешних угроз, а также предотвращение утечки защищаемой конфиденциальной информации, возможных несанкционированных и непреднамеренных воздействий назащищаемуюинформацию.
Аудит ИБ СИТ, эксплуатируемых в организации, может проводиться как самостоятельный вид аудита, так и являться частью аудита ИБ организации. При этом он может проводиться во время проведения аудита ИБ организации или же могут использоваться результаты ранее проведенного аудита ИБ СИТ, эксплуатируемых ворганизации.
ПоформеаудитИБможетбытьвнутреннимивнешним.
Внутренний аудит ИБ проводится самой организацией или от ее имени для внутренних целей и может служить основанием для принятия решения о соответствии требованиям стандартов или нормативных документов по защите информациииобеспечениюинформационнойбезопасности.
Внешний аудит ИБ проводится внешними независимыми организациями, имеющими лицензии на осуществление аудиторской деятельности в области ИБ. Он обязателен для всех государственных и негосударственных организаций, являющихся собственником или пользователем конфиденциальной информации, требующей защиты в соответствии с законодательством Российской Федерации, а также для всех организаций, эксплуатирующих объекты ключевых систем информационной и телекоммуникационной инфраструктуры Российской Федерации. Внешний аудит ИБ осуществляется в соответствии с федеральными законами, стандартами и иными нормативными или правовыми актами по проведению аудита ИБ. Основной целью аудита ИБ является установление степени соответствия применяемыхворганизациизащитныхмервыбраннымкритериямаудитаИБ.
ЦелямиаудитаИБмогутбыть:
–потребности руководства организации в оценке защищенности конфиденциальной информации, полноты и качества выполнения требований по обеспечению ИБизащитеинформации;
–оценка полноты и качества выполнения требований, предъявляемых к организации или СИТ, при их сертификации на соответствие законодательным требованиям, стандартам по ИБ, нормативным документам или политике безопасности, илитребованиям, предусмотреннымконтрактом;
–установление соответствия требованиям потребителей или потребностям заинтересованныхсторон;
–необходимостьоценкипоставщикауслуг;
–оценка результативности системы управления ИБ для достижения конкретныхцелей;
–определение областей совершенствования обеспечения ИБ организации и защитыконфиденциальнойинформации.
Цели аудита ИБ определяет заказчик аудита. Исходя из целей аудита ИБ, заказчиком внешнего аудита ИБ может быть проверяемая организация или любая другая организация, имеющая регулирующее или контрактное право заказывать аудитИБ.
Аудитором по ИБ является физическое лицо, отвечающее квалификационным требованиям и имеющее квалификационный аттестат аудитора по ИБ, выдаваемый уполномоченным Федеральным органом или органом по аккредитации
123
аудиторской деятельности в области ИБ. Аудитор может осуществлять свою деятельность индивидуально или в составе аудиторской организации по ИБ.
Аудиторская организация по ИБ – это организация, осуществляющая аудиторские проверки по ИБ, оказывающая сопутствующие аудиту ИБ услуги. Она осуществляет свою деятельность после получения лицензии от уполномоченного Федерального органа по аккредитации и лицензированиюдля выполненияаудита в областиИБ.
3. Основные принципы и критерии проведения аудита информационной безопасности
Проведение аудита ИБ основывается на ряде принципов, следование которым является предпосылкой для обеспечения объективных заключений по результатам аудита ИБ. Эти принципы должны быть признаны и соблюдены всеми сторонами, участвующими в аудите ИБ, их выполнение способствует повышению безопасностиорганизациииСИТ.
Принципы, относящиесякаудитуИБ:
–независимость аудита ИБ. Он должен проводиться независимыми организациями или независимыми аудиторами. Независимость является основанием для беспристрастности при проведении аудита ИБ и объективности при формировании заключенияпорезультатамаудитаИБ;
–полнота аудита ИБ. Аудит ИБ должен охватывать все области ИБ и защитные меры, указанные в договоре на проведение аудита ИБ. Кроме того, полнота аудита ИБ определяется достаточностью предоставленных материалов, документов и уровнем их релевантности. Полнота аудита ИБ является необходимым условиемдляформированияобъективныхзаключенийпорезультатамаудитаИБ;
–оценка на основе свидетельств аудита ИБ. Является единственным способом, позволяющим получить воспроизводимость заключения по результатам аудита, что повышает к нему доверие;
–компетентность и этичность. Доверие процессу аудита зависит от компетентности тех, кто проводит аудит, от этичности их поведения. Компетентность базируется на личных качествах аудитора и способности применять знания и навыки. Этичность поведения подразумевает ответственность, неподкупность, умение хранитьтайну, беспристрастность.
Главным и самым важным принципом аудита является независимость аудиторов и аудиторских организаций, которая должна обеспечиваться рядом условий и ограничений, обязательных при выполнении аудиторской деятельности в области ИБ, аименно:
–организацияилилица, осуществляющиеаудиторскуюдеятельностьвобласти ИБ, должны быть самостоятельными юридическими или физическими лицами, занимающимися исключительно только этим видом деятельности, предоставление и выполнениеимииныхуслугиработнедопустимо;
–аудиторские организации должны быть учреждены не менее чем двумя учредителями (участниками), представляющими собой самостоятельные юридические или физические лица, в равных долях, что обеспечивает недопустимость влияния нааудиторскуюдеятельностькакизвне, такиизнутриаудиторскойорганизации;
–уполномоченный федеральный орган по аккредитации и лицензированию может осуществлять проверки качества работы аудиторских организаций или индивидуальных аудиторов в части соблюдения необходимых процедур и принци-
124
пов, но не вправе влиять на результаты аудита ИБ. Изъятие лицензии и лишение квалификационного аттестата на выполнение аудиторской деятельности в области ИБ могут осуществляться только по решению суда в случае доказанности заведомо ложного заключения по результатам аудита ИБ или в случае выявления фактов систематического (трех и более раз) нарушения аудиторскими организациями, или индивидуальными аудиторами требований действующих нормативных правовых актов, или федеральных правил (стандартов) аудиторской деятельности в области ИБ;
–аудируемая организация вправе самостоятельно выбирать аудитора и определять цели и объем аудита ИБ, при этом они должны соответствовать требованиям, установленным действующими нормативными правовыми актами или федеральными правилами(стандартами) аудиторскойдеятельностивобластиИБ.
Сучетом требований ст. 12 Федерального закона «Об аудиторской деятельности» аудитИБнеможетосуществляться:
–аудиторами, являющимися учредителями (участниками) аудируемых лиц, их руководителями и иными лицами, несущими ответственность за безопасность аудируемыхлиц;
–аудиторами, состоящими с учредителями (участниками) аудируемых лиц, их должностными лицами и иными лицами, несущими ответственность за ИБ аудируемых лиц, в близком родстве (родители, супруги, братья, сестры, дети, а также братья, сестры, родителиидетисупругов);
–аудиторскими организациями, руководители и иные должностные лица которых являются учредителями (участниками) аудируемых лиц, их должностными лицами, иинымилицами, несущимиответственностьзаИБаудируемыхлиц;
–аудиторскими организациями, руководители и иные должностные лица которых состоят в близком родстве (родители, супруги, братья, сестры, дети, а также братья, сестры, родители и дети супругов) с учредителями (участниками) аудируемых лиц, их должностными лицами и иными лицами, несущими ответственность заИБаудируемыхлиц;
–аудиторскими организациями в отношении аудируемых лиц, являющихся их учредителями (участниками), или для которых эти аудиторские организации являются учредителями (участниками), в отношении дочерних организаций, филиалов
ипредставительств указанных аудируемых лиц, а также в отношении организаций, имеющихобщихсэтойаудиторскойорганизациейучредителей(участников);
–аудиторскими организациями и индивидуальными аудиторами, оказывавшими в течение трех лет, непосредственно предшествовавших проведению аудиторскойпроверки, услугипообеспечениюИБаудируемыхлиц.
Порядок выплаты и размер денежного вознаграждения аудиторским организациям и индивидуальным аудиторам за проведение аудита ИБ (в том числе обязательного) и оказание сопутствующих ему услуг определяются договорами оказания аудиторских услуг и не могут быть поставлены в зависимость от выполнения каких бы то ни было требований аудируемых лиц о содержании выводов, которые могутбытьсделаныврезультатеаудита.
Выбор критериев аудита ИБ с учетом обеспечения полноты аудита ИБ и в зависимости от типа аудируемой организации, а также определение методологии оценки как составной части процесса аудита ИБ должны проводиться на основе постоянного и непрерывного накопления и обобщения соответствующего мирового опыта и лучших практик отечественных аудиторских организаций. Организаци-
125
онное обеспечение, а также постоянное совершенствование на этой основе методологии аудита ИБ возлагаются на уполномоченный Федеральный орган исполнительнойвластиврамкахсвоейкомпетенции.
Критерии аудита ИБ – это совокупность политик ИБ, процедур или требований, установленных Федеральными стандартами и нормативами, с которыми сравниваетсясвидетельствоаудитаИБ.
Свидетельство аудита ИБ определяется как записи, изложения фактов или другой информации, связанной с критериями аудита ИБ, которая может быть перепроверена. Любые свидетельства аудита, в том числе свидетельства, содержащие информацию об инцидентах ИБ, должны быть доступны для лиц, выполняющих аудитИБ.
Для проведения аудита ИБ должна быть заранее определена система критериев, отраженная в нормативных документах (регламентах и/или стандартах) и действующая в отношении аудируемой организации. Организации, на которые не распространяются обязательные требования, сформулированные в этих документах, должны признавать и руководствоваться в своей деятельности каким-либо из существующихстандартоввобластиИБ.
Определение полноты свидетельств аудита ИБ, признаваемой достаточной для оценки организации по выбранным ею критериям аудита, должно производиться аудитором с учетом целей и условий деятельности аудируемой организации, в том числерисков, связанныхсееинформационнойсферой.
Для обеспечения воспроизводимости результатов аудита ИБ уполномоченный Федеральный орган исполнительной власти осуществляет координацию деятельности аудиторских организаций, проводит регулярные семинары аккредитованных аудиторов и периодическую проверку их знаний. Для поддержания этого процесса уполномоченный Федеральный орган исполнительной власти ведет информационную базу по проблемам аудита ИБ, пополняемую за счет собственной деятельности в области нормативно-методологического обеспечения аудита ИБ, а также за счетрегулярныхотчетов(накопленныхпрактик) аудиторскихорганизаций.
До принятия технических регламентов, федеральных стандартов и нормативов критерии аудита ИБ рекомендуется формировать на основе положений международного стандарта ИСО/МЭК 17799 и стандарта Великобритании BS 7799-2 с учетом «Специальных требований и рекомендаций по технической защите конфиденциальной информации» (СТР-К), руководящих документов (РД) «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» Гостехкомиссии России (ФСТЭК России), а также ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».
Состав критериев для организаций и СИТ, подвергаемых аудиту ИБ, рекомендуетсяопределятьследующимобразом:
– для организаций любой формы собственности, эксплуатирующих объекты ключевых систем информационной инфраструктуры и (или) обрабатывающих конфиденциальную информацию, являющуюся собственностью государства, – на основе положений международного стандарта ИСО/МЭК17799 и стандарта Вели-
126
кобритании BS 7799-2 (в части, ориентированной на политики ИБ и персонал) с учетом принятых и действующих руководящих документов и положений Гостехкомиссии России по аттестации объектов информатизации и АС, сертификации по РДиИСО/МЭК15408 СЗИипродуктовИТвсоставеАС;
– для негосударственных организаций, обрабатывающих конфиденциальную информацию, неявляющуюся собственностьюгосударства, – наосновеположений международного стандарта ИСО/МЭК 17799 и стандарта Великобритании BS 7799-2 (в полной мере) и с учетом принятых и действующих руководящих документов и положений Гостехкомиссии России по сертификации по РД и ИСО/МЭК15408 СЗИипродуктовИТвсоставеАС.
4. Организационно-методологические основы проведения аудита информационной безопасности
Взаимоотношение аудиторов с представителями проверяемой организа-
ции. Общение аудиторской организации с представителями проверяемой организации должно осуществляться как в устной форме во время посещения проверяемой организации сотрудниками аудиторской организации, так и в письменной форме путем направления аудиторской организацией запросов и других материалов на имя руководства (представителей) проверяемой организации. Можно выделить три типа возникающих отношений ИБ: до начала ауди-
та; во время проведения аудита; на заключительной стадии аудита.
Целью общения с представителями проверяемой организации до начала аудита ИБ является уточнение целей, задач аудита ИБ организации и путей их достижения, а также определение и согласование условий заключения договора на оказание аудиторских и (или) сопутствующих аудиту ИБ организации услуг. Подписанию договора на оказание аудиторских и (или) сопутствующих аудиту ИБ услуг может предшествовать подготовка письма-обязательства, которое направляется аудиторской организацией руководству проверяемой организации до заключения договора на оказание аудиторских услуг во избежание неправильного понимания им условий предстоящего договора. Письму-обязательству должно предшествовать официальное предложение аудиторской организации со стороны проверяемой организации или государственного надзорного органа об оказании аудиторских услугвобластиИБ.
Если цель и масштаб аудита определены между сторонами в долгосрочном договоре, то письмо-обязательство может не составляться, либо его содержание должно предоставлять дополнительную информацию для проверяемой организации.
Письмо-обязательство, согласованное проверяемой организацией, документально подтверждает согласие на оказание аудиторских услуг или принятие предложения о назначении аудиторской организации официальным аудитором данной проверяемойорганизации.
Договор на оказание аудиторских услуг может носить разовый или долгосрочный характер, исходя из наличия у аудиторской организации соответствующей лицензии.
Договор может быть заключен на длительный срок. Предметом такого договорамогутвыступатьодновременноуслугипопроведениюаудитаИБ кактакового, а такжесопутствующиеаудитуИБуслуги.
127
В случае, когда договору предшествует письмо-обязательство о согласии на проведение аудита ИБ, в тексте договора должно излагаться описание наиболее важныхусловийбудущегосотрудничества, правиобязанностейсторон.
Договор заключается в соответствии с требованиями гл. 28 и иными нормами Гражданского кодекса Российской Федерации. Договор на проведение аудиторской проверки является официальным документом, регламентирующим взаимоотношения между аудиторской и проверяемой организацией. В нем должны быть отраженыследующиеаспекты:
–предметдоговоранаоказаниеаудиторскихуслуг;
–условияоказанияаудиторскихуслуг;
–праваиобязанностиаудиторскойорганизации;
–праваиобязанностипроверяемойорганизации;
–ответственностьсторон, участвующихваудите, ипорядокразрешенияспоров;
–стоимостьипорядокоплатыаудиторскихуслуг;
–срокииэтапыпроведенияаудитаИБ.
Аудиторская организация обязана страховать риск ответственности за нарушение договора. Договор считается заключенным, если между сторонами в требуемойформедостигнутосоглашениеповсемусловиямдоговора.
Целью общения с представителями проверяемой организации во время проведения аудита ИБ являются оптимизация аудиторских процедур и обеспечение достижения целей аудита ИБ с максимально возможной эффективностью. Во время проведения аудита ИБ с представителями проверяемой организации могут обсуждатьсяследующиевопросы:
–составлениепланааудитаИБ;
–получениесвидетельстваудита;
–оценка уровня значимости компонентов проверяемой организации и аудиторскогориска;
–использованиеработыэкспертов;
–другиевопросы, связанныесподготовкойипроведениемаудитаИБ.
На заключительной стадии аудита ИБ с представителями проверяемой организации должны обсуждаться вопросы, связанные с завершением аудита ИБ, результаты обсуждения должны быть отражены в рабочей документации – отчете, которыйготовитсявцелях:
–доведения до руководства проверяемой организации сведений о выявленных ошибках и нарушениях, оказываемых или могущих оказать значительное влияние науровеньобеспеченияИБорганизации;
–внесения конструктивных предложений по совершенствованию систем обеспечения ИБ, включая системы внутреннего контроля и (или) мониторинга ИБ.
Управлениепрограммойаудитаинформационнойбезопасности
Программа аудита ИБ – это совокупность одного или нескольких аудитов ИБ, запланированных на конкретный период времени и направленных на достижение конкретной цели. Она включает в себя все мероприятия, необходимые для планирования, организации и эффективного, рационального проведения аудитов ИБ в определенных временных рамках. Цели и объем программы аудита ИБ зависятоттипааудируемойорганизации.
128
Может быть создано больше одной программы аудита ИБ. Каждая программа аудитаИБможетвключатьнесколькоаудитовИБ.
Управление программой аудита ИБ должно выполняться в рамках цикла «пла-
нирование– реализация– оценка– корректировка».
Вфазе планирования разрабатывается программа аудита ИБ, в которой определяются цели и объем аудита ИБ, лица, ответственные за его проведение, ресурсы
ипроцедуры.
Вфазе реализации осуществляется внедрение программы аудита ИБ. При этом разрабатывается план-график аудитов ИБ, формируется аудиторская группа, проводятся работы по аудиту ИБ, осуществляются ведение записей и руководство работамипоаудитуИБ.
Вфазе оценки осуществляются мониторинг и анализ программы аудита ИБ, определяются потребности в корректирующих и предупреждающих действиях, а такжевозможностидляулучшения.
Вфазе корректировки производится (при необходимости) улучшение программыаудитаИБ.
Объем программы аудита ИБ зависит от размера, вида деятельности, сложности структуры проверяемойорганизации, атакже:
– области, целиипродолжительностикаждогоосуществляемогоаудитаИБ;
– частоты проводимых аудитов ИБ;
– количества, важности, комплексности, степени сходства, местоположения подразделений, подлежащих аудиту ИБ;
– стандартов, законодательных, нормативных и контрактных требований и другихкритериеваудитаИБ;
– потребностей организации в оценке полноты и качества выполнения требований, предъявляемых к организации или ее СИТ, при возникновении необходимостиихаккредитацииилирегистрации/сертификации;
– заключений по результатам предыдущих аудитов ИБ или анализа результатов предыдущих программ аудитов ИБ;
– любых проблем, связанных с языком, культурой или социальными вопросами;
– мнений заинтересованных сторон;
– существенных изменений в организации или ее деятельности. Ответственность за управление программой аудита ИБ возлагают на одно
или нескольких лиц, имеющих представление о принципах аудита ИБ, компетентности аудитора по ИБ и применении методов аудита ИБ. Эти лица также должны обладать навыками менеджмента, техническими и экономическими знаниямивобластиИБ.
Ответственные за управление программой аудита ИБ должны:
– определять цели и объем программы аудита ИБ;
– устанавливать ответственность и процедуры, а также гарантировать обеспечение необходимыми ресурсами;
– внедрять программу аудита ИБ;
– вести записи по программе аудита ИБ;
– осуществлять мониторинг, анализ и улучшение программы аудита ИБ. ПриопределенииресурсовдляпрограммыаудитаИБнеобходимоучитывать:
– финансовые ресурсы для развития, внедрения, управления и улучшения деятельности поаудитуИБ;
129
–методы проведения аудитов ИБ;
–процессы по достижению и поддержанию компетентности и улучшению деятельности аудиторовпоИБ;
–наличие аудиторов по ИБ и технических экспертов, обладающих компетентностью, требуемойдлядостиженияконкретныхцелейпрограммыаудитаИБ;
–объем программы аудита ИБ;
–время в пути аудиторов по ИБ, обустройство и другие потребности для проведения аудита ИБ.
Процедуры программы аудита ИБ включают в себя:
–планирование и составление планов-графиков аудитов ИБ;
–обеспечение компетентности аудиторов по ИБ и руководителей аудиторских групп;
–подбор соответствующих аудиторских групп и распределение ролей и ответственности;
–проведение аудитов ИБ;
–выполнение действий по результатам аудита ИБ (если требуется);
–поддержание записей по программе аудита ИБ;
–мониторинг показателей результативности программы аудита ИБ;
–отчетность перед руководством организации по всей проделанной работе по программеаудитаИБ.
Внедрение программы аудита ИБ включает в себя:
–доведение программы аудита ИБ до участвующих сторон;
–координация и календарное планирование аудитов и другой деятельности, связанной с программой аудита ИБ;
–определение и поддержание процесса оценки аудиторов по ИБ и их непрерывного профессионального роста;
–формированиеаудиторскихгрупп;
–предоставление необходимых ресурсов аудиторским группам;
–проведениеаудитоввсоответствииспрограммойаудитовИБ;
–управлениезаписямипоаудитуИБ;
–анализ и утверждение отчетов по аудиту ИБ и их рассылка заказчикам аудитовИБизаинтересованным сторонам;
–действия по результатам аудита ИБ, если это требуется.
ЗаписипопрограммеаудитаИБдолжнывключатьвсебя: а) записи, связанныесотдельнымиаудитамиИБ:
–планы аудита ИБ;
–отчеты (акты) по аудиту ИБ;
–отчеты о несоответствиях;
–отчеты по корректирующим и предупреждающим действиям;
–отчеты о действиях по результатам аудита ИБ (если требуется); б) результатыанализапрограммыаудитаИБ; в) записиоперсонале, привлекаемомкаудитуИБ:
–оценкакомпетентностиаудиторапоИБиегодеятельности;
–выбор аудиторской группы;
–поддержаниеиповышениекомпетентности.
Записихранятсяизащищаютсядолжнымобразом.
Необходимо проводить мониторинг внедрения программы аудита ИБ, а через определенные интервалы времени – анализ достижения целей и идентификация
130
возможностей улучшения программы. О результатах анализа обязательно докладыватьруководствупроверяемойорганизации.
Показатели деятельности по аудиту ИБ должны быть использованы для мониторингаследующиххарактеристик:
–возможностиаудиторскойгруппыреализациипланааудитаИБ;
–соответствиепрограммамаудитовИБипланам-графикам;
–обратная связь от заказчиков аудита ИБ, проверяемых организаций и аудиторовпоИБ.
АнализпрограммыаудитаИБдолженохватывать:
–результаты мониторинга и установленные тенденции;
–соответствиепроцедурам;
–выявление потребностей и ожиданий заинтересованных сторон;
–записи по программе аудита;
–альтернативные или новые методики в области аудита;
–согласованность действий аудиторских групп в сходных ситуациях. Результаты анализа программы аудита ИБ могут привести к корректирующим
ипредупреждающимдействиям и улучшению программы аудита ИБ в целом.
Этапыпроведенияаудитаинформационнойбезопасности
Частью программы аудита ИБ являются указания по планированию и проведению аудитов ИБ. Степень распространения данных требований зависит от области применения, сложности конкретного аудита ИБ и предполагаемого использования заключений по результатам аудита ИБ.
ПроведениеаудитаИБсостоитизследующихэтапов:
–организацияпроведенияаудитаИБ;
–анализдокументов;
–подготовкакаудитуИБнаместеегопроведения;
–проведениеаудитаИБнаместе;
–подготовка, утверждениеирассылкаотчетапоаудитуИБ;
–завершениеаудитаИБ;
–выполнениедействийпорезультатамаудитаИБ.
ЭтапорганизациипроведенияаудитаИБвключаетвсебя:
–назначениеруководителяаудиторскойгруппы;
–определениецелей, областиикритериеваудитаИБ;
–определениевозможностиаудитаИБ;
–выбораудиторскойгруппы;
–установлениеначальногоконтактаспроверяемойорганизацией. Аудиторская организация должна определить осуществимость аудита ИБ на
основаниитакихфакторов, как:
–достаточностьисоответствиеинформациидлясоставленияпланааудитаИБ;
–готовностьксотрудничествусостороныпроверяемойорганизации;
–наличиевремениисоответствующихресурсов.
Если аудит ИБ неосуществим, то по результатам консультаций с проверяемой организациейзаказчикуаудитадолжен бытьпредложенальтернативныйвариант.
В аудиторской организации для проведения аудита ИБ должна быть подобрана аудиторская группа. Руководством аудиторской организации должен быть назначен руководитель аудиторской группы, ответственный за проведение аудиторской