<< Пред.           стр. 2 (из 3)           След. >>

Список литературы по разделу

  Объем программы аудита ИБ зависит от размера, вида деятельности, сложности структуры проверяемой организации, а также:
 - области, цели и продолжительности каждого осуществляемого аудита ИБ;
 - частоты проводимых аудитов ИБ;
 - количества, важности, комплексности, степени сходства, местоположения подразделений, подлежащих аудиту ИБ;
 - стандартов, законодательных, нормативных и контрактных требований и другие критериев аудита ИБ;
 - потребностей организации в оценке полноты и качества выполнения требований, предъявляемых к организации или ее СИТ, при возникновении необходимости их аккредитации или регистрации/сертификации;
 - заключений по результатам предыдущих аудитов ИБ или анализа результатов предыдущих программ аудитов ИБ;
 - любых проблем, связанные с языком, культурой или социальными вопросами;
 - мнений заинтересованных сторон;
 - существенных изменений в организации или ее деятельности.
  Ответственность за управление программой аудита ИБ возлагают на одно или нескольких лиц, имеющих представление о принципах аудита ИБ, компетентности аудитора по ИБ и применении методов аудита ИБ. Эти лица также должны обладать навыками менеджмента, техническими и экономическими знаниями в области ИБ.
  Ответственные за управление программой аудита ИБ должны:
 - определять цели и объем программы аудита ИБ;
 - определять ответственность и процедуры, а также гарантировать обеспечение необходимыми ресурсами;
 - внедрять программу аудита ИБ;
 - вести записи по программе аудита ИБ;
 - осуществлять мониторинг, анализ и улучшение программы аудита ИБ.
  При определении ресурсов для программы аудита ИБ необходимо учитывать:
 - финансовые ресурсы для развития, внедрения, управления и улучшения деятельности по аудиту ИБ;
 - методы проведения аудитов ИБ;
 - процессы по достижению и поддержанию компетентности и улучшению деятельности аудиторов по ИБ;
 - наличие аудиторов по ИБ и технических экспертов, обладающих компетентностью, требуемой для достижения конкретных целей программы аудита ИБ;
 - объем программы аудита ИБ;
 - время в пути аудиторов по ИБ, обустройство и другие потребности для проведения аудита ИБ.
  Процедуры программы аудита ИБ включают в себя:
 - планирование и составление планов - графиков аудитов ИБ;
 - обеспечение компетентности аудиторов по ИБ и руководителей аудиторских групп;
 - подбор соответствующих аудиторских групп и распределение ролей и ответственности;
 - проведение аудитов ИБ;
 - выполнение действий по результатам аудита ИБ, если требуется;
 - поддержание записей по программе аудита ИБ;
 - мониторинг показателей результативности программы аудита ИБ;
 - отчетность перед руководством организации по всей проделанной работе по программе аудита ИБ.
  Внедрение программы аудита ИБ включает в себя:
 - доведение программы аудита ИБ до участвующих сторон;
 - координация и календарное планирование аудитов и другой деятельности, связанной с программой аудита ИБ;
 - определение и поддержание процесса оценки аудиторов по ИБ и их непрерывного профессионального роста;
 - формирование аудиторских групп;
 - предоставление необходимых ресурсов аудиторским группам;
 - проведение аудитов в соответствии с программой аудитов ИБ;
 - управление записями по аудиту ИБ;
 - анализ и утверждение отчетов по аудиту ИБ и их рассылка заказчикам аудитов ИБ и заинтересованным сторонам;
 - действия по результатам аудита ИБ, если это требуется.
  Записи по программе аудита ИБ должны включать в себя:
  а) записи, связанные с отдельными аудитами ИБ:
  - планы аудита ИБ,
  - отчеты (акты) по аудиту ИБ,
  - отчеты о несоответствиях,
  - отчеты по корректирующим и предупреждающим действиям,
  - отчеты о действиях по результатам аудита ИБ, если это требуется;
  б) результаты анализа программы аудита ИБ;
  в) записи о персонале, привлекаемом к аудиту ИБ:
  - оценка компетентности аудитора по ИБ и его деятельности,
  - выбор аудиторской группы,
  - поддержание и повышение компетентности.
  Записи должны храниться и должным образом быть защищены.
  Должен проводиться мониторинг внедрения программы аудита ИБ, а через определенные интервалы времени - анализ достижения целей и идентификация возможностей улучшения программы. О результатах анализа необходимо докладывать руководству проверяемой организации.
  Показатели деятельности по аудиту ИБ должны быть использованы для мониторинга следующих характеристик:
 - возможности аудиторской группы реализовать план аудита ИБ;
 - соответствие программам аудитов ИБ и планам-графикам;
 - обратная связь от заказчиков аудита ИБ, проверяемых организаций, и аудиторов по ИБ.
  Анализ программы аудита ИБ должен охватывать:
 - результаты мониторинга и установленные тенденции;
 - соответствие процедурам;
 - выявление потребностей и ожиданий заинтересованных сторон;
 - записи по программе аудита;
 - альтернативные или новые методики в области аудита;
 - согласованность действий аудиторских групп в сходных ситуациях.
  Результаты анализа программы аудита ИБ могут привести к корректирующим и предупреждающим действиям и улучшению программы аудита ИБ.
  Этапы проведения аудита информационной безопасности
  Частью программы аудита ИБ являются указания по планированию и проведению аудитов ИБ. Степень распространения данных требований зависит от области применения, сложности конкретного аудита ИБ и предполагаемого использования заключений по результатам аудита ИБ.
  Проведение аудита ИБ состоит из следующих этапов:
 - организация проведения аудита ИБ;
 - анализ документов;
 - подготовка к аудиту ИБ на месте его проведения;
 - проведение аудита ИБ на месте;
 - подготовка, утверждение и рассылка отчета по аудиту ИБ;
 - завершение аудита ИБ;
 - выполнение действий по результатам аудита ИБ.
  Этап организации проведения аудита ИБ включает:
 - назначение руководителя аудиторской группы;
 - определение целей, области и критериев аудита ИБ
 - определение возможности аудита ИБ
 - выбор аудиторской группы
 - установление начального контакта с проверяемой организацией.
  Аудиторская организация должна определить осуществимость аудита ИБ на основании таких факторов, как:
  - достаточность и соответствие информации для составления плана аудита ИБ;
  - готовность к сотрудничеству со стороны проверяемой организации;
  - наличие времени и соответствующих ресурсов.
  Если аудит ИБ неосуществим, то по результатам консультаций с проверяемой организацией заказчику аудита должен быть предложен альтернативный вариант.
  В аудиторской организации для проведения аудита ИБ должна быть подобрана аудиторская группа. Руководством аудиторской организации должен быть назначен руководитель аудиторской группы, ответственный за проведение аудиторской проверки организации. При наличии только одного аудитора, последний должен выполнять все предусмотренные обязанности руководителя аудиторской группы.
  При определении размера и состава аудиторской группы должны учитываться:
  - цели, область аудита ИБ, критерии аудита и его ориентировочная продолжительность;
  - общая компетентность и уровень квалификации аудиторской группы;
  - необходимость исполнения принципов проведения аудита ИБ;
  - законодательные, регламентирующие, контрактные требования и требования органов аккредитации/сертификации, если применимо;
  - способность членов аудиторской группы к совместной работе и к эффективному взаимодействию с проверяемой организацией;
  - понимание социальных и культурных особенностей проверяемой организации (это может быть достигнуто либо собственным опытом аудитора, либо с помощью эксперта).
  Если в определенной области (по определенному вопросу) знаний аудиторской группы недостаточно, то недостающие знания и умения могут быть восполнены включением в группу экспертов. Эксперты должны работать под руководством аудитора.
  Для взаимодействия с аудиторской группой руководством проверяемой организации должны быть назначены лица, на которых возлагается ответственность за своевременность, достоверность и полноту предоставления запрошенной аудиторами информации в объеме, не выходящем за пределы их полномочий и условий, определенных договором.
  Руководитель аудиторской группы должен установить первоначальный контакт с проверяемой организацией. Первоначальный контакт с проверяемой организацией может быть неофициальным или официальным. Цели первоначального контакта следующие:
  - установление каналов связи с представителями проверяемой организации;
  - подтверждение полномочий на проведение аудита ИБ;
  - предоставление информации по предполагаемым срокам аудита ИБ и составу аудиторской группы;
  - запрос доступа к необходимым документам проверяемой организации;
  - определение применимых правил техники безопасности на месте проведения аудита ИБ;
  - подготовка мероприятий аудита ИБ;
  - достижение соглашения о присутствии со стороны проверяемой организации наблюдателей и необходимости в сопровождающих для аудиторской группы.
  Этап анализа документов проверяемой организации проводится аудиторской группой для определения соответствия положений, отраженных в документации организации, критериям аудита ИБ. Документация может содержать:
  - информацию, касающуюся организационно-правовой формы и организационной структуры проверяемой организации;
  - выдержки или копии необходимых юридических документов, соглашений и протоколов;
  - политики, действующие в организации;
  - информацию о процессах организации;
  - информацию о применяемых в организации средствах, в том числе это может быть:
  * аппаратные диаграммы, чертежи и модели;
  * программная документация;
  * спецификации интерфейсов;
  * рабочие инструкции;
  * учебники для тренировки персонала;
  * описание процедур сопровождения;
  * вопросы снятия с эксплуатации;
  - отчеты по предыдущим аудитам ИБ;
  - любая другая документация, в которой отражаются вопросы, регламентируемые положениями действующих стандартов и нормативов в области ИБ.
  Анализ должен учитывать размер, тип и сложность организации, а также цели и область аудита ИБ. Если документация будет признана неадекватной, то руководитель аудиторской группы должен сообщить об этом заказчику аудита ИБ и проверяемой организации. Аудиторской группой должно быть принято решение, может ли аудит ИБ быть продолжен или приостановлен до момента решения всех вопросов по документации.
  Этап подготовки к аудиту ИБ на месте его проведения включает в себя распределение работ в аудиторской группе и подготовку рабочей документации.
  Руководитель аудиторской группы должен подготовить план аудита ИБ, который облегчит составление графика и координацию действий при проведении аудита ИБ.
  План аудита ИБ должен включать следующее:
  - цель аудита;
  - критерии аудита;
  - область аудита, включая идентификацию организационных и функциональных единиц и процессов, подлежащих проверке;
  - дату и место, где должны осуществляться действия по аудиту на месте;
  - ожидаемое время и продолжительность действий по аудиту на месте, включая совещания с руководством проверяемой организации и совещания аудиторской группы;
  - роли и обязанности членов аудиторской группы и сопровождающих лиц.
  При необходимости, план аудита ИБ может включать следующее:
  - перечень представителей проверяемой организации, которые будут сопровождать аудиторскую группу;
  - разделы отчета;
  - техническое обеспечение (поездки, оборудование на месте и т. д.);
  - рассмотрение вопросов конфиденциальности;
  - сроки и цели последующих аудитов ИБ.
  План должен быть проанализирован и представлен проверяемой организации до начала проведения аудита ИБ на месте.
  Любые возражения со стороны проверяемой организации должны быть разрешены совместно руководителем аудиторской группы, проверяемой организацией и заказчиком аудита ИБ. Любой пересмотренный план аудита ИБ должен быть согласован вовлеченными сторонами до продолжения аудита.
  Руководитель аудиторской группы, путем консультаций с аудиторской группой, должен установить ответственность каждого члена группы за проверку конкретных процессов, функций, площадок, областей или действий. Такие назначения должны учитывать необходимость выполнения принципов аудита ИБ и эффективность использования аудитором ресурсов, а также различные роли и обязанности аудиторов и экспертов. В процессе аудита ИБ для достижения его цели в распределение обязанностей могут быть внесены изменения.
  Члены аудиторской группы должны проанализировать информацию, относящуюся к распределению обязанностей при проведении аудита ИБ, и подготовить документы, необходимые для регистрации результатов.
  Такие документы могут включать:
  - контрольные листы и планы выборки для аудита ИБ;
  - формы для регистрации данных, таких как подтверждающие свидетельства, выводы аудита ИБ и протоколы совещаний.
  Вышеперечисленные документы войдут в состав рабочей документации. Рабочая документация может быть создана самой аудиторской организацией либо получена от проверяемой организации или от других лиц. Рабочие документы могут быть собраны в виде данных, записанных на бумаге, электронных носителях, путем микрофильмирования или другими способами.
  Документы должны быть составлены и систематизированы таким образом, чтобы отвечать обстоятельствам каждой конкретной аудиторской проверки и потребностям аудитора в ходе ее проведения.
  Состав, количество и содержание документов, входящих в рабочую документацию аудита ИБ, определяются аудиторской организацией, исходя из:
  - вида проводимого аудита ИБ (внутреннего или внешнего);
  - сложности деятельности проверяемой организации;
  - состояния системы внутреннего контроля и (или) мониторинга ИБ.
  Рабочая документация включает следующие основные документы:
  - информацию, касающуюся организационно-правовой формы и организационной структуры проверяемой организации;
  - выдержки или копии необходимых юридических документов, соглашений и протоколов;
  - план проведения аудита ИБ;
  - описания использованных аудиторской организацией процедур и их результатов;
  - объяснения, пояснения и заявления проверяемой организации;
  - копии переписки с другими аудиторскими организациями, экспертами и прочими лицами в связи с проводимым аудитом ИБ;
  - описания системы внутреннего контроля и(или) мониторинга ИБ;
  - аналитические документы аудиторской организации.
  Рабочие документы, включая записи по результатам их использования, должны храниться, по крайней мере, до окончания аудита ИБ. Такие документы, содержащие конфиденциальную или запатентованную информацию, должны храниться в течение всего времени членами аудиторской группы с соблюдением соответствующих требований безопасности.
  Этап проведения аудита ИБ на месте включает:
 - проведение предварительного совещания;
 - обмен информацией во время аудита ИБ;
 - назначение ролей и обязанностей сопровождающих и наблюдателей;
 - сбор свидетельств аудита ИБ;
 - оценка свидетельств аудита ИБ;
 - проведение заключительного совещания.
  Перед началом проведения аудита ИБ на месте должно быть проведено вступительное совещание с участием аудиторской группы и лиц, ответственных за функции или процессы, подлежащие проверке.
  Цели совещания следующие:
  - подтверждение плана аудита ИБ;
  - краткое изложение действий по аудиту;
  - подтверждение каналов обмена информацией между аудиторской группой и представителями проверяемой организации.
  В случаях внутреннего аудита организации, вступительное совещание может просто состоять из сообщения, что будет проводиться аудит ИБ, и разъяснения характера аудита ИБ.
  В других случаях проведения аудита ИБ совещание должно быть официальным и должен быть составлен список присутствующих. Председательствовать на совещании должен руководитель аудиторской группы
  В зависимости от области и сложности аудита ИБ может возникнуть необходимость в официальных мероприятиях для обеспечения связи между аудиторской группой и проверяемой организацией в процессе проведения аудита.
  Аудиторская группа должна периодически совещаться для обмена информацией, оценки хода аудита ИБ и, при необходимости, перераспределения обязанностей между аудиторами.
  В процессе проведения аудита ИБ руководитель аудиторской группы должен периодически доводить до сведения проверяемой организации и заказчика аудита информацию о ходе аудита и любых возникающих проблемах. Свидетельства, собранные при аудите ИБ, которые выявляют критические для ИБ проверяемой организации уязвимости, должны быть немедленно доведены до сведения проверяемой организации и, если возможно, заказчика аудита.
  Если имеющееся свидетельство аудита ИБ указывает на то, что цель аудита недостижима, то руководитель аудиторской группы должен сообщить причины заказчику аудита и проверяемой организации для определения дальнейших действий. Эти действия могут включать повторное подтверждение или изменение плана аудита ИБ, либо изменение цели или области аудита, либо прекращение аудита.
  Любая необходимость изменения области аудита ИБ, которая может стать очевидной по мере выполнения аудита на месте, должна быть проанализирована и утверждена заказчиком аудита и проверяемой организацией.
  Аудиторскую группу могут сопровождать сопровождающие и наблюдатели, но они не являются ее членами. Они не должны влиять или вмешиваться в проведение аудита ИБ.
  Если сопровождающие были назначены проверяемой организацией, то они должны помогать аудиторской группе и действовать по просьбе руководителя аудиторской группы. В их обязанности может входить следующее:
  - установление контактов и времени для опроса;
  - организация посещений конкретных мест в организации;
  - обеспечение ознакомления и соблюдения членами аудиторской группы правил, касающихся техники безопасности на месте и охранных процедур;
  - выступление в качестве свидетеля по поручению проверяемой организации;
  - разъяснение или помощь в сборе информации.
  В процессе проведения аудита ИБ, информация, относящаяся к цели, области и критериям аудита, включая информацию по взаимодействию функций, видов деятельности и процессов, должна собираться методом соответствующей выборки и должна быть проверяема. Только проверяемая информация может стать свидетельством аудита ИБ. Свидетельства аудита должны регистрироваться.
  Можно выделить следующие виды свидетельств аудита:
  - внутренние свидетельства аудита. Они включают в себя информацию, полученную от проверяемой организации в письменном или устном виде,
  - внешние свидетельства аудита. Они включают в себя информацию, полученную от третьей стороны в письменном виде (обычно по письменному запросу аудиторской организации);
  - смешанные свидетельства аудита. Они включают в себя информацию, полученную от проверяемой организации в письменном или устном виде и подтвержденную третьей стороной в письменном виде.
  Качество свидетельств аудита зависит от их источников. Наиболее ценными считаются свидетельства аудита, полученные аудиторской организацией непосредственно в результате исследования деятельности организации по обеспечению ИБ.
  Определение достаточности свидетельств аудита зависит от следующих факторов:
  - степени аудиторского риска, т.е. вероятности принятия неверного решения аудиторской организацией;
  - наличия свидетельства от независимого источника (третьих лиц) как более достоверного, чем полученное непосредственно от сотрудников проверяемой организации;
  - получения свидетельства аудита на основе данных системы внутреннего контроля и (или) мониторинга ИБ, достоверность которых определяется состоянием самой системы внутреннего контроля и (или) мониторинга ИБ;
  - получения информации в результате самостоятельного анализа или проверки аудиторской организацией как более достоверной, чем сведения, полученные от других лиц;
  - получения свидетельств аудита в форме документов и письменных показаний как более достоверных, чем показания в устной форме;
  - возможности сопоставления выводов, сделанных в результате использования свидетельств, полученных из различных источников.
  Свидетельства аудита ИБ должны быть оценены с точки зрения критериев аудита для формирования выводов аудита ИБ.
  Оценка свидетельств аудита ИБ должна проводиться на основе постоянного и непрерывного накопления и обобщения Федеральным органом исполнительной власти, ответственным в пределах своих полномочий за нормативно-методологическое обеспечение деятельности в области аудита ИБ, соответствующего мирового опыта, а также лучших практик отечественных организаций, аккредитованных на право осуществления деятельности по аудиту ИБ. Для этого аккредитованные аудиторы должны представлять в Федеральный орган исполнительной власти регулярные отчеты о своей деятельности.
  Выводы аудита ИБ могут указывать либо на соответствие, либо на несоответствие критериям аудита ИБ. Выводы аудита ИБ о несоответствии критериям аудита ИБ и подтверждающие их свидетельства аудита ИБ должны быть рассмотрены и проанализированы аудиторами совместно с представителем проверяемой организации для получения подтверждения того, что свидетельства аудита ИБ верны и несоответствия понятны. Нерешенные вопросы должны быть зарегистрированы.
  До заключительного совещания аудиторская группа должна собраться, чтобы:
  - проанализировать выводы аудита и любую другую соответствующую информацию, собранную в процессе аудита ИБ, с точки зрения целей аудита;
  - согласовать заключения по результатам аудита ИБ, с учетом элемента неопределенности, свойственного процессу аудита ИБ;
  - подготовить рекомендации для проверяемой организации по результатам проведенного аудита ИБ;
  - обсудить последующий аудит ИБ, если это было включено в план аудита ИБ.
  Заключение по результатам аудита ИБ должно охватывать следующие вопросы:
  - степень соответствия проверяемой организации критериям аудита ИБ;
  - оценка системы внутреннего контроля и (или) мониторинга ИБ проверяемой организации;
  - способность со стороны руководства обеспечить постоянную пригодность, адекватность, результативность системы внутреннего контроля и (или) мониторинга ИБ и ее совершенствование.
  Аудиторской группой может быть подготовлено четыре типа заключений:
  - безусловно положительное;
  - условно положительное;
  - отрицательное;
  - отказ от выражения заключения.
  В случае, если по результатам аудита ИБ будет сформировано аудиторское заключение, отличное от безусловно положительного, должны быть изложены причины, приведшие к составлению данного заключения.
  Отказ от выражения заключения имеет место в тех случаях, когда ограничение области аудита настолько существенно и глубоко, что аудитор не может получить достаточные доказательства и, следовательно, не в состоянии провести оценку показателей, отражающих соответствие ИБ организации критериям аудита.
  Заведомо ложное аудиторское заключение признается таковым только по решению суда.
  По окончанию аудита ИБ должно быть проведено заключительное совещание.
  При проведении внутреннего аудита ИБ в малой организации, заключительное совещание может состоять только из доведения до сведения выводов аудита и заключения по результатам аудита.
  В других случаях, совещание должно быть официальным с ведением протокола и списка присутствующих.
  Совещание должно вестись под председательством руководителя аудиторской группы. На нем должны быть представлены выводы аудита ИБ и заключения по результатам аудита таким образом, чтобы они были понятны и признаны проверяемой организацией. Участниками заключительного совещания должны быть представители проверяемой организации, а также могут быть заказчик аудита и другие стороны. В случае возникновения в процессе аудита ситуаций, которые могут отразиться на надежности заключений по результатам аудита, руководитель аудиторской группы должен сообщить об этом проверяемой организации.
  Любые разногласия в отношении выводов аудита и/или заключений по результатам аудита ИБ между аудиторской группой и проверяемой организацией должны быть обсуждены и, если возможно, разрешены. В противном случае все мнения должны быть зарегистрированы.
  На совещании должны быть представлены рекомендации по улучшению состояния ИБ проверяемой организации.
  Этап подготовки, утверждения и рассылки отчета по аудиту ИБ. По завершении проверки аудиторская группа должна предоставить установленным получателям отчет по результатам проведения аудита ИБ. Руководитель аудиторской группы должен нести ответственность за подготовку и содержание отчета.
  Отчет должен предоставлять полные, точные, четкие и достаточные записи по аудиту ИБ и должен включать следующее:
  - сведения об аудиторской организации;
  - сведения о проверяемой организации;
  - сведения о заказчике аудита ИБ;
  - дату и место, где проводился аудит ИБ;
  - идентификацию руководителя и членов аудиторской группы;
  - цель аудита ИБ;
  - область аудита ИБ, в частности, идентификацию проверенных организационных и функциональных единиц или процессов и охваченный период времени;
  - критерии и выводы аудита ИБ;
  - заключения по результатам аудита ИБ;
  - выводы по результатам аудита ИБ и рекомендации по улучшению ИБ организации;
  - лист рассылки отчета по результатам аудита ИБ.
  Также отчет может содержать следующее:
  - план аудита ИБ;
  - перечень представителей со стороны проверяемой организации, которые сопровождали аудиторскую группу при проведении аудита;
  - краткое изложение процесса аудита ИБ, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам аудита;
  - подтверждение, что цель аудита ИБ достигнута в области аудита в соответствии с планом аудита;
  - любые неохваченные области, входящие в область аудита ИБ;
  - любые неразрешенные разногласия между аудиторской группой и проверяемой организацией;
  - при необходимости, согласованные планы последующих аудитов;
  - заявление о конфиденциальном характере содержания отчета.
  Отчет по результатам проведения аудита ИБ должен быть выпущен в согласованные сроки. Если это невозможно, то причины задержки должны быть доведены до сведения заказчика аудита ИБ, и должна быть согласована новая дата выпуска.
  Далее утвержденный отчет подлежит рассылке получателям, определенным заказчиком аудита ИБ.
  Отчет по результатам проведения аудита ИБ является собственностью заказчика аудита. Члены аудиторской группы, и все получатели отчета должны учитывать и обеспечивать конфиденциальность содержания отчета.
  Этап завершения аудита ИБ. Аудит ИБ считается завершенным, если все процедуры, предусмотренные планом аудита ИБ, выполнены, и утвержденный отчет разослан заинтересованным сторонам.
  Этап выполнения действий по результатам аудита ИБ. В заключении по результатам аудита ИБ может быть указано на необходимость корректирующих, предупреждающих действий или действий по улучшению в случае необходимости. Такие действия обычно разрабатываются и проводятся проверяемой организацией в течение согласованного срока и не рассматриваются как часть аудита. Проверяемая организация должна информировать заказчика аудита о статусе таких действий.
  Должны проверяться выполнение и результативность корректирующего действия. Данная проверка может быть частью очередного аудита ИБ.
  Инструментальное обеспечение аудита информационной безопасности
  При проведении аудита ИБ должно применяться соответствующее инструментальное обеспечение. Инструментальное обеспечение, используемое при аудите ИБ, может включать средства автоматизации анализа выполнения требований ИБ и средства автоматизации оценки рисков.
  Инструментальные средства автоматизации анализа выполнения требований ИБ (критериев аудита ИБ) должны позволять:
  - автоматизировать процесс оценки степени выполнения требований ИБ с учетом их важности;
  - оценивать эффективность различных вариантов защитных мер;
  - автоматизировать процессы анализа идентифицированных и зафиксированных системами мониторинга ИБ, используемых в аудируемых организациях, внештатных действий пользователей и инцидентов ИБ;
  - генерировать документальные отчеты с результатами выполнения различных процедур.
  Инструментальные средства автоматизации оценки рисков должны позволять:
  - анализировать выполнение политики ИБ в организации;
  - оценивать риски с использованием принятых в организации подходов и методик (для негосударственных организаций, обрабатывающих конфиденциальную информацию, не являющуюся собственностью государства), или с использованием подходов и методик, утвержденных уполномоченным Федеральным органом исполнительной власти в области технической защиты информации (для государственных и негосударственных организаций, обрабатывающих конфиденциальную информацию, являющуюся собственностью государства);
  - идентифицировать и оценивать варианты корректировки риска;
  - вырабатывать рекомендации по методам и средствам снижения риска при сборе, обработке, хранении конфиденциальной информации при использовании в организации различных СИТ;
  - вырабатывать и предоставлять обоснования для выбора защитных мер;
  - генерировать отчеты по результатам оценки.
  Инструментальные средства автоматизации анализа выполнения требований ИБ и инструментальные средства автоматизации оценки рисков могут применяться при необходимости как при проведении внешнего, так и при проведении внутреннего аудита.
  Требования к кадровому обеспечению аудиторской деятельности в области информационной безопасности
  Доверие к аудиту ИБ зависит от компетентности аудиторов по ИБ. Аудиторы по ИБ должны продемонстрировать:
  - личные качества (порядочность, открытость, тактичность, наблюдательность, проницательность в оценке ситуации, готовность к различным ситуациям, упорство в достижении цели, решительность в своевременном принятии решений, самостоятельность);
  - способность применить знания и навыки по принципам, процедурам и методам аудита ИБ, системе управления ИБ и ссылочным документам, организационным моментам. применяемым законам, техническим регламентам и другим требованиям, относящимся к ИБ;
  - образование, опыт работы, обучение на аудитора по ИБ и опыт проведения аудита ИБ.
  Оценка аудиторов по ИБ и руководителей аудиторских групп должна быть спланирована, реализована и запротоколирована в соответствии с процедурами программы аудита ИБ с целью обеспечения объективных, последовательных, достоверных и надежных результатов. Процесс оценки должен выявить потребности в обучении и приобретении других навыков.
  Оценка аудиторов по ИБ происходит на следующих этапах:
  - начальное оценивание лиц, желающих стать аудиторами по ИБ;
  - оценивание аудиторов, как части процесса формирования аудиторской группы;
  - постоянное оценивание характеристик аудитора по ИБ с целью идентификации потребностей, необходимых для поддержания и улучшения знаний и навыков.
 Процесс оценки включает четыре основных этапа:
  - идентификация личных качеств, знаний и навыков для соответствия потребностям программы аудита ИБ с учетом размера, вида деятельности и сложности проверяемой организации, целей и объема программы аудита, требований сертификации/регистрации и аккредитации, роли процесса аудита ИБ для руководства проверяемой организации, уровень конфиденциальности, требуемый в программе аудита ИБ, сложность проверяемой системы управления ИБ;
  - определение критериев оценки. Критерии могут быть количественными (опыт работы в годах, образование, количество проведенных аудитов, количество часов обучения аудиту) или качественными (демонстрируемые личные качества, знания или характеристики навыков при обучении или при нахождении на рабочем месте);
  - выбор соответствующего метода оценки;
  - проведение оценки.
  Собранную информацию о персонале сравнивают с критериями. Если персонал не соответствует критериям, указывают на необходимость дополнительного обучения, опыта работы и (или) участия в аудите, после чего проводят повторную оценку.
  Требования к уровню квалификации аудиторской группы следующие:
  - наличие базового образования. Базовым образованием для аудитора в области ИБ является высшее техническое образование по специальностям, связанным с ИБ, СИТ, вычислительной техникой или по другим специальностям, которые могут иметь отношение к рассматриваемой области. Образование должно быть получено в учебном учреждении Российской Федерации, имеющем государственную аккредитацию, либо полученное в учебном учреждении иностранного государства, дипломы которого имеют юридическую силу в Российской Федерации;
  - наличие практического опыта. Практический опыт работы определяется стажем работы не менее трех из последних пяти лет в качестве:
  * руководителя, аудитора или специалиста аудиторской организации, оказывающей аудиторские услуги в области ИБ;
  * руководителя или сотрудника службы (или подразделения) организации, отвечающей за обеспечение ее ИБ;
  * научного работника или преподавателя по профилю, связанному с ИБ.
  - наличие специального профессионального образования. Специальное профессиональное образование включает обучение с отрывом или без отрыва от производства в учебно-методических центрах и организациях по обучению и переподготовке аудиторов и стажировку в аудиторской организации;
  * знание законов, зарубежных и отечественных стандартов, инструкций и других нормативных актов, вносимых в них дополнений и изменений, относящихся к области информационной безопасности.
  - свободное владение деловым русским языком. Владение деловым русским языком включает наличие навыков владения русским языком в объеме, необходимом для изучения нормативных актов, проверки документации, ведения рабочей документации, делового общения с клиентами и составления аудиторского заключения и отчета по результатам проведения аудита ИБ.
  Кроме перечисленных требований к уровню квалификации, каждый аттестованный аудитор должен ежегодно проходить курс повышения квалификации и систематически самостоятельно повышать свою квалификацию путем:
  - изучения законов, стандартов, инструкций и других нормативных актов, вносимых в них дополнений и изменений;
  - изучения зарубежного и отечественного опыта по организации и методике проведения аудита ИБ;
  - участия в семинарах, конференциях, симпозиумах;
  - разработки пособий, монографий по вопросам теории и практики аудита ИБ;

<< Пред.           стр. 2 (из 3)           След. >>

Список литературы по разделу