7.2. Требования к этапам проведения аудита информационной безопасности организаций БС РФ
7.2. Требования к этапам проведения аудита
информационной безопасности организаций БС РФ
7.2.1. Работы по проведению аудита ИБ организаций БС РФ должны включать следующие этапы:
- подготовка к проведению аудита ИБ;
- проведение аудита ИБ на месте;
- подготовка, утверждение и рассылка отчета по аудиту ИБ;
7.2.2. Подготовка к проведению аудита ИБ должна начинаться с определения возможности проведения аудита ИБ, а также согласования и заключения договора на проведение аудита ИБ (см. пункт 7.1.2) между организацией БС РФ и аудиторской организацией. Дальнейшая подготовка аудиторской организации к проведению аудита ИБ должна заключаться в формировании аудиторской группы, назначении ее руководителя и установлении руководителем аудиторской группы контакта с проверяемой организацией.
Содержание договора на проведение аудита ИБ может иметь особенности, но, как правило, в нем рекомендуется указывать:
- ответственность руководства проверяемой организации за подготовку и предоставление необходимых свидетельств аудита ИБ;
- требования к отчету аудита ИБ;
- порядок взаимодействия представителей проверяющей и проверяемой организаций;
- порядок сбора необходимых свидетельств аудита;
- порядок привлечения к работе по каким-либо вопросам аудита ИБ других проверяющих организаций и (или) технических экспертов;
- необходимые ограничения ответственности проверяющей организации.
7.2.3. Аудиторская организация должна определить возможность проведения аудита ИБ на основании готовности к сотрудничеству со стороны проверяемой организации и наличия времени и соответствующих ресурсов.
Если проведение аудита ИБ признано невозможным, то по результатам консультаций с проверяемой организацией заказчику аудита должен быть предложен альтернативный вариант (перенос сроков проведения аудита, привлечение для проведения аудита ИБ другой аудиторской организации).
7.2.4. В аудиторской организации для проведения аудита ИБ должна быть сформирована аудиторская группа. Руководством аудиторской организации должен быть назначен руководитель аудиторской группы, ответственный за проведение аудита ИБ организации.
При определении размера и состава аудиторской группы прежде всего должна учитываться компетентность аудиторской группы, в основе которой лежит уровень квалификации ее участников.
Если аудиторы в аудиторской группе не обладают необходимыми знаниями и опытом по специальным вопросам, в группу включают технических экспертов. Технические эксперты должны работать под руководством аудиторов.
7.2.5. Руководитель аудиторской группы должен в соответствии с договором на проведение аудита установить контакт с проверяемой организацией прежде всего для установления способов обмена информацией с представителями проверяемой организации с целью подтверждения полномочий на проведение аудита ИБ и запроса доступа к необходимым документам проверяемой организации.
7.2.6. До проведения аудита ИБ на месте аудиторской группой должен быть проведен анализ требуемой документации проверяемой организации для определения соответствия положений, отраженных в документации, критериям аудита ИБ.
Если документация будет признана неадекватной, то руководитель аудиторской группы должен сообщить об этом заказчику аудита ИБ и проверяемой организации. Аудиторской группой должно быть принято решение, может ли аудит ИБ быть продолжен или его необходимо приостановить до момента решения всех вопросов по документации.
7.2.7. Если аудиторской группой принято решение о продолжении аудита ИБ, то руководитель аудиторской группы должен подготовить план аудита ИБ на месте и согласовать его с заказчиком аудита и проверяемой организацией.
План аудита ИБ на месте должен включать:
- дату и продолжительность проведения аудита ИБ на месте;
- роли членов аудиторской группы и сопровождающих лиц со стороны проверяемой организации;
- результаты анализа документов, предоставленных проверяемой организацией для проведения аудита ИБ, и оценку свидетельств аудита ИБ;
- описание деятельности и мероприятий по проведению аудита ИБ на месте;
- распределение ресурсов при проведении аудита.
Согласованный план должен быть представлен проверяемой организации перед началом аудита ИБ на месте.
7.2.8. Проведение аудита ИБ на месте должно включать следующие работы:
- проведение вступительного совещания;
- сбор дополнительных свидетельств аудита ИБ;
- оценка свидетельств аудита ИБ;
- подготовка заключения по результатам аудита ИБ;
- проведение заключительного совещания.
7.2.9. Вступительное совещание с участием аудиторской группы и лиц, ответственных за подразделения или процессы, подлежащие проверке, должно проводиться с целью изложения действий по проведению аудита ИБ и подтверждения способов обмена информацией между аудиторской группой и представителями проверяемой организации. Председательствовать на совещании должен руководитель аудиторской группы.
Изложение действий по проведению аудита ИБ заключается прежде всего в рассмотрении вопросов о процедурах аудиторской проверки, источниках, методах получения и достоверности свидетельств аудита ИБ, необходимых для составления заключения по результатам аудита ИБ.
7.2.10. Основными источниками свидетельств аудита ИБ должны являться:
- документы проверяемой организации и третьих лиц, относящиеся к обеспечению ИБ организации;
- устные высказывания и письменные ответы сотрудников проверяемой организации в процессе проводимых опросов;
- результаты наблюдений аудиторов за деятельностью организации в области ИБ.
Основными методами получения свидетельств аудита ИБ должны являться:
- проверка и анализ документов, касающихся обеспечения ИБ организации;
- наблюдение за деятельностью организации в области ИБ;
- опрос сотрудников проверяемой организации и независимой (третьей) стороны.
По степени достоверности (от наибольшей к наименьшей) свидетельства аудита ИБ делятся следующим образом:
- свидетельства, полученные от третьей стороны в письменном виде;
- свидетельства, полученные от проверяемой организации и подтвержденные третьей стороной в письменном виде;
- свидетельства, полученные в ходе проведения аудиторских процедур (наблюдения за деятельностью, анализа данных системы мониторинга ИБ и т.д.);
- свидетельства, полученные в форме документов;
- свидетельства, полученные в устной форме.
7.2.11. При сборе свидетельств аудита ИБ аудиторы должны исходить из того, что деятельность проверяемой организации в области ИБ осуществляется в соответствии с критериями аудита, если этому есть доказательства. Аудиторы должны проявлять достаточную степень профессионального скептицизма в отношении собираемых свидетельств аудита ИБ, принимая во внимание возможность наличия различного вида нарушений при обеспечении ИБ в проверяемой организации.
Проверка и анализ документов могут проводиться на всех этапах аудиторской проверки. Проверка и анализ документов позволяют аудитору получить свидетельства аудита ИБ, обладающие наибольшей полнотой и удобством восприятия и использования по сравнению с другими методами получения свидетельств аудита ИБ. Однако эти свидетельства аудита ИБ имеют различную степень достоверности в зависимости от их характера и источника, а также от эффективности внутреннего контроля организации за процессом подготовки и обработки представленных документов.
Устный опрос может проводиться на всех этапах аудиторской проверки. Результаты устных опросов должны оформляться в виде протокола или краткого конспекта, в котором обязательно должны быть указаны фамилия, имя, отчество сотрудника аудиторской организации, проводившего опрос, фамилия, имя, отчество опрашиваемого лица, а также представлены их подписи. Для проведения типовых опросов могут быть подготовлены бланки с перечнями интересующих вопросов. Письменная информация по итогам устных опросов должна приобщаться аудиторской организацией к другим рабочим документам аудиторской проверки. Однако результаты устного опроса следует проверять, так как опрашиваемый может выражать свое субъективное мнение. Хорошей практикой является проведение перекрестных опросов сотрудников организации (т.е. опрос различных лиц). Наблюдение представляет собой отслеживание аудитором процедур или процессов в проверяемой организации, выполняемых другими лицами (в т.ч. персоналом организации). Информация считается достоверной только в том случае, если она получена непосредственно в момент выполнения проверяемых процедур или функционирования процессов.
7.2.12. Свидетельства аудита ИБ должны быть оценены с точки зрения критериев аудита для формирования выводов аудита ИБ. Выводы аудита ИБ указывают на степень соответствия ИБ организации БС РФ критериям аудита ИБ.
Оценка соответствия ИБ организации БС РФ критериям аудита ИБ осуществляется на основе принятых в организации БС РФ документов и методик.
7.2.13. Выводы аудита ИБ и подтверждающие их свидетельства аудита ИБ должны быть рассмотрены и проанализированы аудиторами совместно с представителем проверяемой организации для получения подтверждения того, что свидетельства аудита ИБ верны и понятны. Нерешенные вопросы должны быть зарегистрированы в протоколах совещаний и отражены в отчете по аудиту ИБ.
7.2.14. По результатам аудита ИБ аудиторской группой должно быть подготовлено аудиторское заключение.
Если ограничение области аудита ИБ настолько существенно и глубоко, что аудитор не в состоянии провести оценку соответствия ИБ проверяемой организации критериям аудита ИБ, то аудиторская группа должна отказаться от формирования заключения.
В результате проведения аудита ИБ умышленно может быть сформулировано заведомо ложное аудиторское заключение. При выявлении любой из заинтересованных в деятельности проверяемой организации БС РФ сторон фактов, подтверждающих умышленное формирование ложного аудиторского заключения, она имеет право добиться отмены такого заключения. Заведомо ложным аудиторское заключение признается только в порядке, установленном органами, контролирующими деятельность аудиторских организаций.
7.2.15. По окончании аудита ИБ должно быть проведено заключительное совещание с участием представителей аудиторской организации, проверяемой организации и заказчика аудита ИБ под председательством руководителя аудиторской группы.
На совещании должны быть представлены выводы аудита ИБ и заключение по результатам аудита ИБ таким образом, чтобы они были понятны и признаны проверяемой организацией. Любые разногласия по выводам и/или заключению по результатам аудита ИБ между аудиторской группой и проверяемой организацией должны быть обсуждены и по возможности разрешены. Если стороны не пришли к единому мнению, то это должно быть зарегистрировано.
На совещании могут быть представлены рекомендации по повышению уровня ИБ проверяемой организации.
7.2.16. По результатам проведения аудита ИБ аудиторская группа должна подготовить отчет. Руководитель аудиторской группы несет ответственность за подготовку и содержание отчета по результатам проведения аудита ИБ.
Отчет должен предоставлять полные, точные, четкие и достаточные записи по аудиту ИБ и должен включать следующее:
- сведения об аудиторской организации;
- сведения о руководителе и членах аудиторской группы;
- сведения о проверяемой организации;
- сведения о заказчике аудита ИБ;
- область аудита ИБ, в частности, сведения о проверенных организационных и функциональных единицах или процессах и охваченном периоде времени;
- документально оформленную совокупность анкет, содержащих критерии аудита ИБ и выводы аудита ИБ, сделанные по каждому из рассмотренных критериев аудита ИБ;
- заключение по результатам аудита ИБ;
- перечень представителей со стороны проверяемой организации, которые сопровождали и опрашивались аудиторской группой при проведении аудита ИБ;
- краткое изложение процесса аудита ИБ, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам аудита ИБ;
- подтверждение, что цель аудита ИБ достигнута в области аудита ИБ в соответствии с планом аудита ИБ;
- любые неохваченные области, входящие в область аудита ИБ;
- любые неразрешенные разногласия между аудиторской группой и проверяемой организацией;
- заявление о конфиденциальном характере содержания отчета;
- лист рассылки отчета по результатам аудита ИБ.
Отчет по результатам проведения аудита ИБ должен быть выпущен в согласованные сроки, утвержден руководителем аудиторской организации и разослан получателям, определенным заказчиком аудита ИБ.
Отчет по результатам проведения аудита ИБ является собственностью заказчика аудита ИБ. Члены аудиторской группы и все получатели отчета должны обеспечивать конфиденциальность содержания отчета, за исключением случаев, прямо предусмотренных действующим законодательством Российской Федерации.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей