Организация и проведение внутреннего аудита информационной безопасности

Проведение аудита ИБ состоит  из следующих этапов:

• организация проведения аудита ИБ;
• анализ документов;
• подготовка к аудиту ИБ на месте его проведения;
• проведение аудита ИБ на месте;
• подготовка, утверждение и рассылка отчета по аудиту ИБ;
• завершение аудита ИБ;
• выполнение действий по результатам аудита ИБ.

4.1. Этап организации проведения аудита ИБ включает:

• назначение руководителя аудиторской группы;
• определение целей, области и критериев аудита ИБ
• определение возможности аудита ИБ
• выбор аудиторской группы
• установление начального контакта с проверяемой организацией.

 

При определении размера  и состава аудиторской группы должны учитываться:

• цели, область аудита ИБ, критерии аудита и его ориентировочная продолжительность;
• общая компетентность и уровень квалификации аудиторской группы;
• необходимость исполнения принципов проведения аудита ИБ;
• законодательные, регламентирующие, контрактные требования и требования органов аккредитации/сертификации, если применимо;
• способность членов аудиторской группы к совместной работе и к эффективному взаимодействию с проверяемой организацией;
• понимание социальных и культурных особенностей проверяемой организации (это может быть достигнуто либо собственным опытом аудитора, либо с помощью эксперта).

Если в определенной области (по определенному вопросу) знаний аудиторской  группы недостаточно, то недостающие  знания и умения могут быть восполнены включением в группу экспертов. Эксперты должны работать под руководством аудитора.

Для взаимодействия с аудиторской  группой руководством проверяемой  организации должны быть назначены лица, на которых возлагается ответственность за своевременность, достоверность и полноту предоставления запрошенной аудиторами информации в объеме, не выходящем за пределы их полномочий и условий, определенных договором.

4.2. Этап анализа документов проверяемой организации проводится аудиторской группой для определения соответствия положений, отраженных в документации организации, критериям аудита ИБ. Документация может содержать:

• информацию, касающуюся организационно-правовой формы и организационной структуры проверяемой организации;
• выдержки или копии необходимых юридических документов, соглашений и протоколов;
• политики, действующие в организации;
• информацию о процессах организации;
• информацию о применяемых в организации средствах, в том числе это может быть:
• аппаратные диаграммы, чертежи и модели;
• программная документация;
• спецификации интерфейсов;
• рабочие инструкции;
• учебники для тренировки персонала;
• описание процедур сопровождения;
• вопросы снятия с эксплуатации;
• отчеты по предыдущим аудитам ИБ;
• любая другая документация, в которой отражаются вопросы, регламентируемые положениями действующих стандартов и нормативов в области ИБ.

Анализ должен учитывать  размер, тип и сложность организации, а также цели и область аудита ИБ. Если документация будет признана неадекватной, то руководитель аудиторской группы должен сообщить об этом заказчику аудита ИБ и проверяемой организации. Аудиторской группой должно быть принято решение, может ли аудит ИБ быть продолжен или приостановлен до момента решения всех вопросов по документации.

4.3. Этап подготовки к аудиту ИБ на месте его проведения включает в себя распределение работ в аудиторской группе и подготовку рабочей документации.

Руководитель аудиторской  группы должен подготовить план аудита ИБ, который облегчит составление графика и координацию действий при проведении аудита ИБ.

План аудита ИБ должен включать следующее:

• цель аудита;
• критерии аудита;
• область аудита, включая идентификацию организационных и функциональных единиц и процессов, подлежащих проверке;
• дату и место, где должны осуществляться действия по аудиту на месте;
• ожидаемое время и продолжительность действий по аудиту на месте, включая совещания с руководством проверяемой организации и совещания аудиторской группы;
• роли и обязанности членов аудиторской группы и сопровождающих лиц.

При необходимости, план аудита ИБ может включать следующее:

• перечень представителей проверяемой организации, которые будут сопровождать аудиторскую группу;
• разделы отчета;
• техническое обеспечение (поездки, оборудование на месте и т. д.);
• рассмотрение вопросов конфиденциальности;
• сроки и цели последующих аудитов ИБ.

План должен быть проанализирован  и представлен проверяемой организации  до начала проведения аудита ИБ на месте.

Любые возражения со стороны  проверяемой организации должны быть разрешены совместно руководителем аудиторской группы, проверяемой организацией и заказчиком аудита ИБ. Любой пересмотренный план аудита ИБ должен быть согласован вовлеченными сторонами до продолжения аудита.

Члены аудиторской группы должны проанализировать информацию, относящуюся к распределению обязанностей при проведении аудита ИБ, и подготовить документы, необходимые для регистрации результатов.

Такие документы могут  включать:

• контрольные листы и планы выборки для аудита ИБ;
• формы для регистрации данных, таких как подтверждающие свидетельства, выводы аудита ИБ и протоколы совещаний.

Вышеперечисленные документы  войдут в состав рабочей документации. Рабочая документация может быть создана самой аудиторской организацией либо получена от проверяемой организации или от других лиц. Рабочие документы могут быть собраны в виде данных, записанных на бумаге, электронных носителях, путем микрофильмирования или другими способами.

Документы должны быть составлены и систематизированы таким образом, чтобы отвечать обстоятельствам  каждой конкретной аудиторской проверки и потребностям аудитора в ходе ее проведения.

4.4. Этап проведения аудита ИБ на месте включает:

• проведение предварительного совещания;
• обмен информацией во время аудита ИБ;
• назначение ролей и обязанностей сопровождающих и наблюдателей;
• сбор свидетельств аудита ИБ;
• оценка свидетельств аудита ИБ;
• проведение заключительного совещания.

Перед началом проведения аудита ИБ на месте должно быть проведено  вступительное совещание с участием аудиторской группы и лиц, ответственных за функции или процессы, подлежащие проверке.

Цели совещания следующие:

• подтверждение плана аудита ИБ;
• краткое изложение действий по аудиту;
• подтверждение каналов обмена информацией между аудиторской группой и представителями проверяемой организации.

В случаях внутреннего  аудита организации, вступительное  совещание может просто состоять из сообщения, что будет проводиться  аудит ИБ, и разъяснения характера аудита ИБ.

Аудиторскую группу могут  сопровождать сопровождающие и наблюдатели, но они не являются ее членами. Они  не должны влиять или вмешиваться  в проведение аудита ИБ.

Если сопровождающие были назначены проверяемой организацией, то они должны помогать аудиторской  группе и действовать по просьбе  руководителя аудиторской группы. В их обязанности может входить следующее:

• установление контактов и времени для опроса;
• организация посещений конкретных мест в организации;
• обеспечение ознакомления и соблюдения членами аудиторской группы правил, касающихся техники безопасности на месте и охранных процедур;
• выступление в качестве свидетеля по поручению проверяемой организации;
• разъяснение или помощь в сборе информации.

4.5. Этап подготовки, утверждения и рассылки отчета по аудиту ИБ. По завершении проверки аудиторская группа должна предоставить установленным получателям отчет по результатам проведения аудита ИБ. Руководитель аудиторской группы должен нести ответственность за подготовку и содержание отчета.

Отчет должен предоставлять  полные, точные, четкие и достаточные  записи по аудиту ИБ и должен включать следующее:

• сведения об аудиторской организации;
• сведения о проверяемой организации;
• сведения о заказчике аудита ИБ;
• дату и место, где проводился аудит ИБ;
• идентификацию руководителя и членов аудиторской группы;
• цель аудита ИБ;
• область аудита ИБ, в частности, идентификацию проверенных организационных и функциональных единиц или процессов и охваченный период времени;
• критерии и выводы аудита ИБ;
• заключения по результатам аудита ИБ;
• выводы по результатам аудита ИБ и рекомендации по улучшению ИБ организации;
• лист рассылки отчета по результатам аудита ИБ.

Также отчет может содержать  следующее:

• план аудита ИБ;
• перечень представителей со стороны проверяемой организации, которые сопровождали аудиторскую группу при проведении аудита;
• краткое изложение процесса аудита ИБ, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам аудита;
• подтверждение, что цель аудита ИБ достигнута в области аудита в соответствии с планом аудита;
• любые неохваченные области, входящие в область аудита ИБ;
• любые неразрешенные разногласия между аудиторской группой и проверяемой организацией;
• при необходимости, согласованные планы последующих аудитов;
• заявление о конфиденциальном характере содержания отчета.

Отчет по результатам проведения аудита ИБ должен быть выпущен в  согласованные сроки. Если это невозможно, то причины задержки должны быть доведены до сведения заказчика аудита ИБ, и должна быть согласована новая дата выпуска.

Далее утвержденный отчет  подлежит рассылке получателям, определенным заказчиком аудита ИБ.

Отчет по результатам проведения аудита ИБ является собственностью заказчика аудита. Члены аудиторской группы, и все получатели отчета должны учитывать и обеспечивать конфиденциальность содержания отчета.

4.6. Этап завершения аудита ИБ.

 Аудит ИБ считается завершенным, если все процедуры, предусмотренные планом аудита ИБ, выполнены, и утвержденный отчет разослан заинтересованным сторонам.

 

 

4.7. Этап выполнения действий по результатам аудита ИБ.

 В заключении по результатам аудита ИБ может быть указано на необходимость корректирующих, предупреждающих действий или действий по улучшению в случае необходимости. Такие действия обычно разрабатываются и проводятся проверяемой организацией в течение согласованного срока и не рассматриваются как часть аудита. Проверяемая организация должна информировать заказчика аудита о статусе таких действий.

Должны проверяться выполнение и результативность корректирующего  действия. Данная проверка может быть частью очередного аудита ИБ.