6. Менеджмент программы аудита информационной безопасности
6.1. Программа аудита ИБ включает деятельность, необходимую для планирования и организации определенного количества аудитов ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения аудитов ИБ в заданные сроки.
Программа аудита ИБ разрабатывается организацией БС РФ. В общем случае могут быть разработаны несколько программ аудита ИБ.
Рекомендованная последовательность процессов менеджмента программы аудита ИБ представлена на рисунке 1 <*>.
--------------------------------
<*> Последовательность процессов менеджмента программ аудита гармонизирована с моделью менеджмента ИБ, определенной разделом 5 СТО БР ИББС-1.0 и положениями международного стандарта [1].
6.2. Руководство организации БС РФ должно распределять полномочия и ответственность за управление программой аудита ИБ.
Ответственные за управление программой аудита ИБ лица должны иметь представление о принципах аудита ИБ, компетентности аудиторов, содержании этапов аудита ИБ, а также обладать знаниями по обеспечению ИБ.
Ответственные за управление программой аудита ИБ лица должны:
- разрабатывать, внедрять, контролировать, анализировать и совершенствовать программу аудита ИБ;
- определять потребность программы аудита ИБ в ресурсах;
- способствовать принятию решений об обеспечении программы аудита ИБ необходимыми ресурсами.
6.3. Разработка программы аудита ИБ должна включать в себя определение целей, объема программы, а также необходимых финансовых, информационных и людских ресурсов для ее реализации.
Рисунок 1. Последовательность процессов менеджмента программы аудита ИБ
/────────────────────────\
│ по программе аудита ИБ │
\───────────┬────────────/
│
\/
┌────────────────────────┐
│ Разработка программы │<─────────────┐
│ аудита ИБ │ │
└───────────┬────────────┘ │
│ │
\/ │
┌────────────────────────┐ ┌────────┴──────────┐
│ Внедрение программы │ │ Совершенствование │
│аудита ИБ и деятельность│ │программы аудита ИБ│
│по проведению аудита ИБ │ └───────────────────┘
└───────────┬────────────┘ /\
│ │
\/ │
┌────────────────────────┐ │
│ программы аудита ИБ │ │
└───────────┬────────────┘ │
│ │
└───────────────────────────┘
Целью программы аудита ИБ является оценка соответствия ИБ организации БС РФ критериям аудита и содействие в повышении при необходимости уровня ИБ организации БС РФ.
На объем программы аудита ИБ влияют размер и сложность структуры организации БС РФ, область каждого аудита ИБ и частота проводимых аудитов ИБ.
6.4. Внедрение программы аудита ИБ должно включать в себя:
- доведение программы аудита ИБ до участвующих в ее реализации сторон;
- определение привлекаемых аудиторских организаций и предоставляемых ресурсов для проведения аудитов ИБ;
- проведение аудитов ИБ в соответствии с программой аудита ИБ;
- анализ и утверждение отчетов по результатам аудитов ИБ;
- определение действий по результатам аудитов ИБ.
6.5. В организации БС РФ должны проводиться контроль внедрения программы аудита ИБ, анализ достижения целей программы аудита ИБ и определение возможностей для ее совершенствования. О результатах анализа должно информироваться руководство организации БС РФ.
Контроль и анализ программы аудита ИБ должны включать в себя:
- проверку возможностей аудиторских групп, служб или лиц по реализации аудита ИБ. Подтверждением возможности по реализации аудита могут являться информация об образовании и опыте работы членов аудиторской группы, сертификаты, подтверждающие квалификацию членов аудиторской группы;
- анализ достижения целей аудита ИБ и программы аудита ИБ в целом;
- анализ отчетов и заключений по результатам аудита ИБ.
6.6. Совершенствование программы аудита ИБ состоит в определении корректирующих и превентивных действий по совершенствованию программы аудита ИБ, включающих в себя пересмотр и корректировку сроков проведения аудитов ИБ и необходимых ресурсов, улучшение методов подготовки свидетельств аудита ИБ.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей