VIP STUDY сегодня – это учебный центр, репетиторы которого проводят консультации по написанию самостоятельных работ, таких как:
  • Дипломы
  • Курсовые
  • Рефераты
  • Отчеты по практике
  • Диссертации
Узнать цену

Основы аудита информационной безопасности

Внимание: Акция! Курсовая работа, Реферат или Отчет по практике за 10 рублей!
Только в текущем месяце у Вас есть шанс получить курсовую работу, реферат или отчет по практике за 10 рублей по вашим требованиям и методичке!
Все, что необходимо - это закрепить заявку (внести аванс) за консультацию по написанию предстоящей дипломной работе, ВКР или магистерской диссертации.
Нет ничего страшного, если дипломная работа, магистерская диссертация или диплом ВКР будет защищаться не в этом году.
Вы можете оформить заявку в рамках акции уже сегодня и как только получите задание на дипломную работу, сообщить нам об этом. Оплаченная сумма будет заморожена на необходимый вам период.
В бланке заказа в поле "Дополнительная информация" следует указать "Курсовая, реферат или отчет за 10 рублей"
Не упустите шанс сэкономить несколько тысяч рублей!
Подробности у специалистов нашей компании.
Код работы: K002344
Тема: Основы аудита информационной безопасности
Содержание
ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ	3
ГЛАВА 1. Основы аудита информационной безопасности	5
ГЛАВА 2. ПРОВЕДЕНИЕ И УПРАВЛЕНИЕ АУДИТОМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ	8
2.1. Процесс управления аудитом информационной безопасности	8
2.2. Процесс проведения аудита информационной безопасности	15
ГЛАВА 3. АВТОМАТИЗАЦИЯ ПРОЦЕССОВ ПРОВЕДЕНИЯ И УПРАВЛЕНИЯ АУДИТОМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ	24
3.1. Оптимизация процесса управления аудитом информационной безопасности	24
3.2. Оптимизация процесса проведения аудита информационной безопасности	27
3.3. Автоматизация проведения и управления аудитом информационной безопасности	30
3.4. Эффективность автоматизации аудита информационной безопасности	38
ЗАКЛЮЧЕНИЕ	42
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ	43
      
      
      
      
      
      
      
      
      
      
      
      
      
ВВЕДЕНИЕ

      На сегодняшний день развитие банковской сферы Российской Федерации имеет зависимость от уровня ее информационной безопасности (далее – ИБ). Основной задачей системы обеспечения информационной безопасности (далее – СОИБ) в кредитно-финансовых учреждениях является минимизация ущерба, который может быть нанесен организации при реализации различных угроз (несанкционированный доступ в помещения, утеря носителей информации, раскрытие конфиденциальной информации сотрудниками банка, возможные сбои в работе технических средств и т.д.) и обеспечение эффективной ликвидации последствий инцидентов ИБ.
      Выделяют основныесредства обеспечения информационной безопасности: организационная, инженерно-техническая, программная и смешанная защита. Вопрос обеспечения информационной безопасности – один из наиболее важных для банковской системы, поскольку любая дестабилизация в ее функционировании может быть разрушительна для работы всей структуры. 
      В рамках функционирования системы защиты информации (далее – СЗИ) в финансово-кредитных организациях большое значение имеет aудит ИБ - систeмaтический,незaвисимый и дoкументируемыйпрoцесс получения свидетельств aудитадеятельнoсти организации банкoвскойсистeмы Рoссийской Федерации (далее – СБ РФ) по oбеспечению ИБ и устанoвления степени выпoлнения в организации БC РФустановлeнныхкритериeв аудита ИБ, провoдимый внешней пoотнoшению к проверяемoй незaвисимой проверяющей организaцией.Аудит ИБ является крайне важным звеном в деятельности по обеспечению ИБ, т.к. он дает представление о соответствии текущего уровня защиты информационных активов, выявляетслабые места в реализуемой СЗИ, производит оценку соответствия СЗИ существующим стандартам в области информационной безопасности, а также, аудиторская группа можетпровести выработку рекомендаций дляповышения эффективности предпринимаемых мер по защите информации.
      В нашей стране на данный момент отсутствует нормативная документация, которая однозначно и четко регламентировала бы процесс автоматизации аудита ИБ, а потому, учитывая важность данного процесса, тема выпускной квалификационной работы является актуальной.
      Целью написания дипломной работы является определение особенностей автоматизации процессов проведения и управления аудитом информационной безопасности на основании стандарта Банка России СТО БР ИББС-1.1-2007.
      Объектом дипломной работы является стандарт Банка России СТО БР ИББС-1.1-2007.
      Предметом дипломной работы являются положения стандарта Банка России СТО БР ИББС-1.1-2007. 
      Для написания дипломной работы необходимо решить ряд задач:
 Провести анализ существующих требований и стандартов, по которым производится аудит ИБ.
 Составить порядок проведения аудита ИБ.
 Разработать рекомендации по автоматизации аудита ИБ.
ГЛАВА 1. ОСНОВЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
      
      Основные термины, определения, порядок проведения и управления аудитом ИБ в БС РФ регламентируется следующими документами:
 Стaндарт Бaнка Рoссии: «Обeспечeние инфoрмациoннойбезопаснoсти организаций банковской системы Рoссийской Федерации. Общие полoжения» (CТО БР ИББC-1.0-2014);
 Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 — 2014» (CТО БР ИББC-1.2-2014); 
 Стaндарт Бaнка Рoссии: «Обeспечение инфoрмационной безoпасностиоргaнизаций банкoвскойсистeмы РoссийскойФедeрации. Аудит инфoрмациoнной безoпаснoсти СТO БР ИББC-1.1-2007» (CТО БР ИББC-1.1-2007);
 Рекoмендации в oбластистандартизaции Бaнка Рoссии «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0» (PC БP ИББC-2.0-2007);
 Рекoмендaции в облaстистандaртизaции Бaнка Рoссии «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0» (PC БР ИББC-2.1-2007);
 ГOCTР ИCO/МЭK 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования;
 ГOCTР ИCO/МЭK 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности.
      В данной выпускной квалификационной работе будет рассматриваться аудит ИБ на основе требований из указанных стандартов и рекомендаций.
      Аудит классифицируется следующим образом: внешний и внутренний аудит. Внешний аудит – это, как правило, разовое событие, которое проводится по инициативе руководства организации или акционеров. Внешний аудит проводится регулярно.Внутренний аудит представляет собой постоянно осуществляемую деятельность. Онпроводится на основании «Положения о внутреннем аудите» и согласно плану, подготовка которого производится подразделениями службы безопасности и утверждается руководством организации. Также выделяют плановый и внеплановый аудиты. 
      Если говорить об основных целях аудита ИБ, то можно их определить, как повышение доверия к организациям БС РФ и проведение оценки соответствия уровня безопасности информационной системы критeриямaудитa ИБ, устaнoвлeннымсоглaснo требoвaниямстaндaртa Бaнкa России.
      Рассмотрим основные принципы аудита ИБ:
 Независимость аудита ИБ. Аудиторы независимы в своей деятельности и неответственны за деятельность, которая подвергается аудиту ИБ. Независимость является основанием для беспристрастности при проведении аудита ИБ и объективности при формировании заключения по результатам аудита ИБ.
 Полнота аудита ИБ. Аудит ИБ должен охватывать все области аудита ИБ, соответствующие аудиторскому заданию. Кроме того, полнота аудита ИБ определяется достаточностью затребованных и предоставленных материалов, документов и уровнем их соответствия поставленным задачам. Полнота аудита ИБ является необходимым условием для формирования объективных заключений по результатам аудита ИБ.
 Оценка на основе свидетельств аудита ИБ. При периодическом проведении аудита ИБ оценка на основе свидетельств аудита ИБ является единственным способом, позволяющим получить повторяемое заключение по результатам аудита ИБ, что повышает доверие к такому заключению. Для повторяемости заключения свидетельства аудита ИБ должны быть проверяемыми.
 Достоверность свидетельств аудита ИБ. У аудиторов должна быть уверенность в достоверности свидетельств аудита ИБ. Доверие к документальным свидетельствам аудита ИБ повышается при подтверждении их достоверности третьей стороной или руководством организации БС РФ. Доверие к фактам, полученным при опросе сотрудников проверяемой организации, повышается при подтверждении данных фактов из различных источников. Доверие к фактам, полученным при наблюдении за деятельностью проверяемой организации в области ИБ, повышается, если они получены непосредственно при функционировании проверяемых процедур или процессов.
 Компетентность. Доверие к процессу и результатам аудита ИБ зависит от компетентности тех, кто проводит аудит ИБ, и от этичности их поведения. Компетентность базируется на способности аудитора применять знания и навыки.
 Этичность поведения. Этичность поведения подразумевает ответственность, неподкупность, умение хранить тайну, беспристрастность.
ГЛАВА 2. ПРОВЕДЕНИЕ И УПРАВЛЕНИЕ АУДИТОМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

2.1. Процесс управления аудитом информационной безопасности
      
      Аудит ИБ включает в себя деятельность, необходимую для организации и планирования аудитов ИБ, их анализа, контроля и совершенствования, в том числе обеспечения их ресурсами, которые необходимы для результативного и эффективного проведения аудита ИБ в зaдaнныe срoки. Прoгрaммaaудитa ИБ рaзрaбaтывaeтсяoргaнизaциeй БC РФ. B некоторых случаях мoгут быть рaзрaбoтaны нeскoлькoпрoгpaмм aудитa ИБ. Последовательность, которая рекомендована СТО БР ИББС-1.1-2007 в процессеуправления аудитом ИБ, пpeдcтaвлeнa нapиcyнкe 2.1. 
      
      
      Рис. 2.1. - Пoслeдoвaтeльнocть пpoцeccoв мeнeджмeнтa пpoгpaммыayдитаинфopмациpннpй бeзопaснocти
      
      Рассмотрим процесс управления аудитом ИБ более детально. В первую очередь необходимо определить:
 ответственного за проведение аудита, являющегося руководителем аудиторской группы;
 состав и численность аудиторской группы;
 необходимость привлечения технических экспертов;
 перечень технических экспертов с указанием сферы их компетенции.
 планы проведения аудитов;
 условия и критерии необходимости проведения внеплановых аудитов;
 порядок проведения аудита;
 порядок формирования и согласования отчетной документации пopeзультaтaм пpoвeдeнияayдитa.
      Ответственным за проведение аудита должен назначаться сотрудник, компетентный в проведении аудитов ИБ. Он определяет состав и численность аудиторской группы, знания членов которой должны соответствовать целям и масштабу аудита ИБ. В случае соответствующих требований по проведению аудита ИБ или недостаточной компетенции аудиторской группы привлекаются технические эксперты в исследуемой области. 
      При наступлении времени проведения аудита, руководитель проверяемого подразделения организации должен:
 Назначить сотрудника, который будет взаимодействовать с ответственным за проведение аудита при проведении аудита ИБ;
 Обеспечить условия для проведения аудита: 
 определить каналы обмена информацией;
 обеспечить возможность проведения опросов сотрудников организации;
 обеспечить доступ для ознакомления со всеми необходимыми документами подразделения и организации и текущей деятельностью подразделения.
      При этом руководителю проверяемого подразделения запрещено препятствовать проведению аудиторской проверки и оказывать давление на ответственного за проведение аудита и членов аудиторской группы.
      Для упрощения процесса управления аудитом ИБ необходимо регламентировать проведение аудита ИБ во внутреннем документе «Программа проведения аудита информационной безопасности». Данный документ должен ежегодно перевыпускаться, а в течение года корректироваться, если это необходимо, на основании результатов прошлых аудитов, изменений в нормативно-правовой документации. В составе документа необходимо описывать:
 порядок проведения аудита информационной безопасности;
 цели проведения аудита информационной безопасности;
 статус и важность процессов, подвергаемых аудиту;
 состав аудиторской группы;
 критерии результатов проведения аудита;
 порядок реагирования на результаты проведения аудита;
 порядок документирования результатов проведения аудита.
      В управлении аудитом ИБ есть три основных этапа:
 этап подготовки аудита ИБ;
 этап проведения аудита ИБ;
 этап оценки результатов аудита ИБ.
      На этапе подготовки ответственный за проведение аудита ИБ разрабатывает «План проведения аудита информационной безопасности» для каждого из аудитов в соответствии с ежегодной программой, либо в трехдневный срок с момента получения указания о проведении внепланового аудита от руководителя организации. План должен в себя включать следующие элементы:
 цель аудита;
 область аудита;
 нормативная база аудита;
 сроки проведения аудита;
 состав аудиторской группы;
 объекты аудита;
 критерии аудита.
      Разработанный план проведения аудита ИБ утверждается руководителем организации и доводится до руководителей проверяемых структурных подразделений организации до момента начала проведения аудита. Если проводится внеплановый аудит ИБ, то план аудита и состав аудиторской группы должен быть определен и согласован до момента, определяемого организацией, как минимально необходимым для подготовки структурного подразделения для прохождения аудита, рекомендуемый срок – за 3 календарных дня до даты проведения аудита.
      В проверяемом подразделении (до начала проведения аудита) ответственный за проведение аудита проводит предварительное изучение ситуации по теме предстоящей проверки, включая документацию. Запрашиваемая информация предоставляется аудиторской группе по первому требованию. 
      Во время подготовки к проведению аудита ИБ следует уделить внимание анализу нормативной базы аудита. Если данная документация не актуальна, не соответствует целям или объектам аудита, то ответственный за проведение аудита должен информировать об этом лицо, отдавшее указание о проведении аудита, с целью принятия решения по продолжению или приостановке аудита до тех пор, пока проблемы с документацией не будут разрешены.
      Завершает подготовку разработка контрольных листов аудита руководителем аудиторской группы, с учетом плана проведения аудита и итогов предварительного изучения нормативной базы. Контрольные листы должны включать в себя:
 номер пункта (подпункта) документа из состава нормативной базы, определяющего требования к ИБ объекта аудита;
 критерий оценки соответствия требованиям;
 степень соответствия требованиям;
 комментарии аудиторской группы;
 доказательная база.
      Ответственный за проведение аудита должен обеспечить проведение подробного инструктажа аудиторской группы, в рамках которого должны быть донесены и разъяснены следующие сведения:
 общая информация о проверяемом подразделении;
 цели, область, критерии и продолжительность аудита;
 состав и порядок распределения работ и обязанностей между членами аудиторской группы;
 методы проведения аудиторской проверки;
 этические аспекты аудита.
      После проведения инструктажа, ответственный за проведение аудита ИБ должен организовать встречу с координатором, на которой производится:
 знакомство аудиторской группы с координаторами и руководителями проверяемых подразделений;
 информирование о цели, области, критериях и порядке проведения аудита;
 знакомство с методами составления отчетов;
 информирование об условиях прекращения аудита. 
      В ходе проведения аудита ИБ, члены аудиторской группы могут получать необходимые данные, отвечающие целям аудита ИБ, следующими способами:
 опрос персонала;
 экспертиза документов (документация, документированные процедуры, положения о подразделениях, должностные инструкции сотрудников, другие нормативные и организационные документы, записи, в том числе отчеты по предыдущим аудитам);
 анализ первичных носителей информации;
 наблюдение хода процесса на проверяемых участках.
      В ходе проверки члены аудиторской группы должны отмечать степень соответствия проверяемого объекта критериям, приведенным в контрольном листе. При проведении аудита члены аудиторской группы при необходимости могут задавать любые вопросы, относящиеся к области аудита. Вся информация о процессе аудита ИБ в конце каждого рабочего дня должна докладываться ответственному за проведение аудита и обсуждаться совместно, но только членами аудиторской группы. При необходимости ответственный за проведение аудита может перераспределять функции членов аудиторской группы. Все выявленные несоответствия должны быть зафиксированы в контрольном листе аудита и проанализированы с проверяемым подразделением для подтверждения объективности свидетельств аудита.  На каждое подтвержденное несоответствие, ответственный за проведение аудита заполняет «Лист регистрации несоответствия», который должен включать в себя:
 название проверяемого пункта из нормативной базы аудита;
 объект аудита;
 номер несоответствия;
 категория несоответствия;
 проверяемое подразделение;
 описание несоответствия;
 корректирующие действия;
 срок устранения несоответствия.
      Формулировка записи о несоответствии должна быть информативной, объективной, всеобъемлющей, краткой, корректной.
      По окончании аудиторской проверки проводится собрание с представителями проверяемых подразделений и ответственного за проведение аудита ИБ, на котором подводятся итоги, оглашаются выводы и заключение по результатам аудита ИБ. Любые разногласия по выводам и заключению между ответственным за проведение аудита и представителями проверяемых подразделений должны быть обсуждены и разрешены, а если единое мнение не достигается, то это должно быть зарегистрировано. 
      Результатом проведения аудиторской проверки является «Акт аудита», который составляется ответственным за проведение аудита ИБ на основании результатов аудиторского исследования в трехдневный срок на этапе оценки результатов проведения аудита ИБ. В Акте необходимо указать:
 цель аудита;
 область аудита;
 основание проведения аудита;
 время проведения проверки;
 состав аудиторской группы;
 нормативная база и критерии аудита;
 результаты проверки;
 выводы;
 рекомендации по улучшению.
      Акт аудита передается ответственному за ИБ проверяемого подразделения, который в трехдневный срок совместно руководителем подразделения разрабатывает «План корректирующих действий», утверждаемый руководителем организации. Планируемые корректирующие действия и сроки их проведения заносятся в Лист регистрации несоответствия и подписываются ответственным за ИБ подразделения, в котором данное несоответствие было обнаружено. «Акт аудита» с материалами аудиторской проверки и «План корректирующих действий» передаются на утверждение руководителю организации.
      
2.2. Процесс проведения аудита информационной безопасности
      
      Аудит ИБ организации БС РФ должен проводиться в соответствии с требованиями стандартов Банка России СТО БР ИББС-1.1 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности” и СТО БР ИББС-1.2 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0”
      Работы по проведению аудита ИБ организаций БС РФ должны включать следующие этапы: 
 подготовка к проведению аудита ИБ; 
 анализ документов; 
 проведение оценки соответствия; 
 подготовка, утверждение и рассылка отчета по аудиту ИБ; 
 завершение аудита ИБ.
      В процессе общения стороны (участники аудиторской группы и сотрудники проверяемого подразделения) на всех этапах проведения аудита ИБ должны демонстрировать честность, открытость, желание обсуждать и по возможности разрешать возникшие разногласия. 
      Аудиторское задание на проведение аудита ИБ должно оформляться договором в соответствии с требованиями законодательства РФ. Заказчик аудита направляет официальное предложение аудиторской организации о заключении договора на проведение аудита ИБ (далее – Договор). В свою очередь, аудиторская организация направляет руководству проверяемой организации письмо о проведении аудита ИБ с целью согласования условий Договора.В договоре обязательнофиксируются критерии аудита, по которым должно быть выражено мнение аудиторской организации. 
      При проведении аудита ИБ аудиторская группа вправе самостоятельно принимать решение об источниках, методах получения и достоверности свидетельств, необходимых для составления заключения, если иное не оговорено в Договоре. 
      В процессе проведения аудита ИБ руководитель аудиторской группы должен периодически доводить до сведения проверяемой организации и заказчика аудита информацию о ходе аудита ИБ и любых возникающих проблемах. Свидетельства, которые по мнению руководителя аудиторской группы выявляют критические уязвимости, должны быть немедленно доведены до сведения проверяемой организации идо сведения заказчика аудита. Если свидетельство аудита ИБ указывает на то, что цель аудита недостижима, то руководитель аудиторской группы должен сообщить причины заказчику и проверяемой организации для определения дальнейших действий. Эти действия могут включать либо изменение цели или областей аудита ИБ, либо прекращение аудита ИБ. 
      Аудиторская организация должна определить возможность проведения аудита ИБ на основании готовности к сотрудничеству со стороны проверяемой организации и наличия времени и соответствующих ресурсов. Если проведение аудита ИБ признано невозможным, то по результатам консультаций с проверяемой организацией заказчику аудита должен быть предложен альтернативный вариант (перенос сроков проведения аудита, привлечение для проведения аудита ИБ другой аудиторской организации). 
      В аудиторской организации для проведения аудита ИБ должна быть сформирована аудиторская группа. Руководством аудиторской организации должен быть назначен руководитель аудиторской группы, ответственный за проведение аудита ИБ организации. При определении размера и состава аудиторской группы прежде всего должна учитываться компетентность аудиторской группы, в основе которой лежит уровень квалификации ее участников. Если аудиторы в аудиторской группе не обладают необходимыми знаниями и опытом по специальным вопросам, в группу включают технических экспертов, которые должны работать под руководством аудиторов. 
      Руководитель аудиторской группы должен в соответствии с договором на проведение аудита установить контакт с проверяемой организацией прежде всего для установления способов обмена информацией с представителями проверяемой организации с целью подтверждения полномочий на проведение аудита ИБ и запроса доступа к необходимым документам проверяемой организации. 
      До проведения аудита ИБ на месте аудиторской группой должен быть проведен анализ требуемой документации проверяемой организации для определения соответствия положений, отраженных в документации, критериям аудита ИБ. Если документация будет признана неадекватной, то руководитель аудиторской группы должен сообщить об этом заказчику аудита ИБ и проверяемой организации. Аудиторской группой должно быть принято решение, может ли аудит ИБ быть продолжен или его необходимо приостановить до момента решения всех вопросов по документации. 
      Если аудиторской группой принято решение о продолжении аудита ИБ, то руководитель аудиторской группы должен подготовить план аудита ИБ на месте и согласовать его с заказчиком аудита и проверяемой организацией. План аудита ИБ на месте должен включать: 
 цель аудита ИБ; 
 критерии аудита; 
 область аудита; 
 дату и продолжительность проведения аудита; 
 роли членов аудиторской группы и сопровождающих лиц со стороны проверяемой организации; 
 результаты анализа документов, предоставленных проверяемой организацией для проведения аудита, и оценку свидетельств аудита; 
 описание деятельности и мероприятий по проведению аудита; 
 распределение ресурсов при проведении аудита. 
      Согласованный план должен быть представлен проверяемой организации перед началом аудита ИБ. 
      Проведение аудита ИБ должно включать следующие работы: 
 проведение вступительного совещания; 
 сбор дополнительных свидетельств аудита ИБ; 
 оценка свидетельств аудита ИБ; 
 подготовка заключения по результатам аудита ИБ; 
 проведение заключительного совещания. 
      Вступительное совещание с участием аудиторской группы и лиц, ответственных за подразделения или процессы, подлежащие проверке, должно проводиться с целью изложения действий по проведению аудита ИБ и подтверждения способов обмена информацией между аудиторской группой и представителями проверяемой организации. Председательствовать на совещании должен руководитель аудиторской группы. Изложение действий по проведению аудита ИБ заключается прежде всего в рассмотрении вопросов о процедурах аудиторской проверки, источниках, методах получения и достоверности свидетельств аудита ИБ, необходимых для составления заключения по результатам аудита ИБ.
      Основными источниками свидетельств аудита ИБ должны являться: 
 документы проверяемой организации и третьих лиц, относящиеся к обеспечению ИБ организации; 
 устные высказывания и письменные ответы сотрудников проверяемой организации в процессе проводимых опросов; 
 результаты наблюдений аудиторов за деятельностью организации в области ИБ. 
      Основными методами получения свидетельств аудита ИБ должны являться: 
 проверка и анализ документов, касающихся обеспечения ИБ организации; 
 наблюдение за деятельностью организации в области ИБ; 
 опрос сотрудников проверяемой организации и независимой (третьей) стороны.
       По степени достоверности (от наибольшей к наименьшей) свидетельства аудита ИБ делятся следующим образом: 
 свидетельства, полученные от третьей стороны в письменном виде; 
 свидетельства, полученные от проверяемой организации и подтвержденные третьей стороной в письменном виде; 
 свидетельства, полученные в ходе проведения аудиторских процедур (наблюдения за деятельностью, анализа данных системы мониторинга ИБ и т.д.); 
 свидетельства, полученные в форме документов; 
 свидетельства, полученные в устной форме. 
      При сборе свидетельств аудита ИБ аудиторы должны исходить из того, что деятельность проверяемой организации в области ИБ осуществляется в соответствии с критериями аудита, если этому есть доказательства. Аудиторы должны проявлять достаточную степень профессионального скептицизма в отношении собираемых свидетельств аудита ИБ, принимая во внимание возможность наличия различного вида нарушений при обеспечении ИБ в проверяемой организации. Проверка и анализ документов могут проводиться на всех этапах аудиторской проверки. Проверка и анализ документов позволяют аудитору получить свидетельства аудита ИБ, обладающие наибольшей полнотой и удобством восприятия и использования по сравнению с другими методами получения свидетельств аудита ИБ. Однако эти свидетельства аудита ИБ имеют различную степень достоверности в зависимости от их характера и источника, а также от эффективности внутреннего контроля организации за процессом подготовки и обработки представленных документов. Устный опрос может проводиться на всех этапах аудиторской проверки. Результаты устных опросов должны оформляться в виде протокола или краткого конспекта, в котором обязательно должны быть указаны фамилия, имя, отчество сотрудника аудиторской организации, проводившего опрос, фамилия, имя, отчество опрашиваемого лица, а также представлены их подписи. Для проведения типовых опросов могут быть подготовлены бланки с перечнями интересующих вопросов. Письменная информация по итогам устных опросов должна приобщаться аудиторской организацией к другим рабочим документам аудиторской проверки. Однако результаты устного опроса следует проверять, так как опрашиваемый может выражать свое субъективное мнение. Хорошей практикой является проведение перекрестных опросов сотрудников организации (т.е. опрос различных лиц). Наблюдение представляет собой отслеживание аудитором процедур или процессов в проверяемой организации, выполняемых другими лицами (в т.ч. персоналом организации). Информация считается достоверной только в том случае, если она получена непосредственно в момент выполнения проверяемых процедур или функционирования процессов. 
      Свидетельства аудита ИБ должны быть оценены с точки зрения критериев аудита для формирования выводов аудита ИБ. Выводы аудита ИБ указывают на степень соответствия ИБ организации БС РФ критериям аудита ИБ. Оценка соответствия ИБ организации БС РФ критериям аудита ИБ осуществляется на основе принятых в организации БС РФ документов и методик. 
      Выводы аудита ИБ и подтверждающие их свидетельства аудита ИБ должны быть рассмотрены и проанализированы аудиторами совместно с представителем проверяемой организации для получения подтверждения того, что свидетельства аудита ИБ верны и понятны. Нерешенные вопросы должны быть зарегистрированы в протоколах совещаний и отражены в отчете по аудиту ИБ.
      По результатам аудита ИБ аудиторской группой должно быть подготовлено аудиторское заключение. Если ограничение области аудита ИБ настолько существенно и глубоко, что аудитор не в состоянии провести оценку соответствия ИБ проверяемой организации критериям аудита ИБ, то аудиторская группа должна отказаться от формирования заключения. В результате проведения аудита ИБ умышленно может быть сформулировано заведомо ложное аудиторское заключение. При выявлении любой из заинтересованных в деятельности проверяемой организации БС РФ сторон фактов, подтверждающих умышленное формирование ложного аудиторского заключения, она имеет право добиться отмены такого заключения. Заведомо ложным аудиторское заключение признается только в порядке, установленном органами, контролирующими деятельность аудиторских организаций. 
      По окончании аудита ИБ должно быть проведено заключительное совещание с участием представителей аудиторской организации, проверяемой организации и заказчика аудита ИБ под председательством руководителя аудиторской группы. На совещании должны быть представлены выводы аудита ИБ и заключение по результатам аудита ИБ таким образом, чтобы они были понятны и признаны проверяемой организацией. Любые разногласия по выводам и/или заключению по результатам аудита ИБ между аудиторской группой и проверяемой организацией должны быть обсуждены и по возможности разрешены. Если стороны не пришли к единому мнению, то это должно быть зарегистрировано. На совещании могут быть представлены рекомендации по повышению уровня ИБ проверяемой организации. 
      По результатам проведения аудита ИБ аудиторская группа должна подготовить отчет. Руководитель аудиторской группы несет ответственность за подготовку и содержание отчета по результатам проведения аудита ИБ. Отчет должен предоставлять полные, точные, четкие и достаточные записи по аудиту ИБ и должен включать следующее: 
 сведения об аудиторской организации; 
 сведения о руководителе и членах аудиторской группы; 
 сведения о проверяемой организации; 
 сведения о заказчике аудита ИБ; 
 цель аудита ИБ; 
 область аудита ИБ, в частности, сведения о проверенных организационных и функциональных единицах или процессах и охваченном периоде времени; 
 сроки проведения аудита ИБ; 
 план аудита ИБ на месте;
 документально оформленную совокупность анкет, содержащих критерии аудита ИБ и выводы аудита ИБ, сделанные по каждому из рассмотренных критериев аудита ИБ; 
 заключение по результатам аудита ИБ; 
 перечень представителей со стороны проверяемой организации, которые сопровождали и опрашивались аудиторской группой при проведении аудита ИБ; 
 краткое изложение процесса аудита ИБ, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам аудита ИБ; 
 подтверждение, что цель аудита ИБ достигнута в области аудита ИБ в соответствии с планом аудита ИБ; 
 любые неохваченные области, входящие в область аудита ИБ; 
 любые неразрешенные разногласия между аудиторской группой и проверяемой организацией; 
 заявление о конфиденциальном характере содержания отчета; 
 лист рассылки отчета по результатам аудита ИБ. 
      Отчет по результатам проведения аудита ИБ должен быть выпущен в согласованные сроки, утвержден руководителем аудиторской организации и разослан получателям, определенным заказчиком аудита ИБ. Отчет по результатам проведения аудита ИБ является собственностью заказчика аудита ИБ. Члены аудиторской группы и все получатели отчета должны обеспечивать конфиденциальность содержания отчета, за исключением случаев, прямо предусмотренных действующим законодательством Российской Федерации.

       
       
ГЛАВА 3. АВТОМАТИЗАЦИЯ ПРОЦЕССОВ ПРОВЕДЕНИЯ И УПРАВЛЕНИЯ АУДИТОМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

3.1. Оптимизация процесса управления аудитом информационной безопасности

      С целью формализации подхода к управлению аудитом ИБ следует заранее распределять и доводить до сведения ответственных лиц состав и порядок исполнения их обязанностей в рамках выполнения аудита ИБ:
 Ответственный за организацию и проведение аудитов ИБ, как руководитель аудиторской группы обязан:
 осуществлять руководство аудиторской группой;
 согласовывать персональный состав группы аудита и обеспечивать полную информированность членов группы;
 обеспечивать разработку Программы проведения аудитов;
 обеспечивать разработку Плана аудита;
 распределять обязанности членов аудиторской группы;
 быть в курсе хода и текущих результатов аудиторской проверки;
 обеспечивать подготовку Акта аудита;
 поддерживать постоянный контакт с руководством и координатором;
 получать необходимые разрешения, согласования и т.п.;
 способствовать разрешению возникающих конфликтных ситуаций;
 участвовать в разработке и согласовании Плана корректирующих действий по устранению несоответствий, выявленных в ходе аудита;
 отвечать за проверку выполнения корректирующих действий;
 обеспечивать ведение и сохранность документации внутреннего аудита.
 Члены аудиторской группы обязаны:
 изучить необходимую документацию до проведения аудита;
 подготовить персональные рабочие планы в соответствии с Планом проведения аудита и Контрольными листами аудита;
 действовать в рамках Плана проведения аудита;
 собирать и анализировать доказательства;
 оказывать помощь руководителю аудиторской группы;
 сообщать обо всех полученных данных в ходе аудиторской проверки руководителю аудиторской группы;
 вести подробные записи о несоответствиях и наблюдениях;
 соблюдать конфиденциальность;
 участвовать в подготовке Акта аудита, разработке рекомендаций по корректирующим действиям.
 Члены аудиторской группы должны знать:
 основополагающие нормативные документы (инструкции, стандарты, приказы, прочие нормативные и организационные документы, имеющие отношение к области проводимого аудита);
 специфику организации работ по обеспечению ИБ организации;
 методы и приемы проведения аудитов.
 Члены аудиторской группы должны обладать следующими личностными качествами:
 умением устанавливать личные контакты;
 умением выслушивать собеседника;
 уравновешенностью;
 объективностью;
 умением адекватно реагировать на события;
 целеустремленностью;
 умением устно и письменно выражать свои мысли;
 тактичностью;
 вежливостью;
 надежностью в работе.
 Руководитель проверяемого подразделения обязан:
 информировать персонал подразделения о целях и масштабах проверки;
 ознакомиться с Планом проведения аудита;
 назначить ответственных сотрудников .......................
Для получения полной версии работы нажмите на кнопку "Узнать цену"
Узнать цену Каталог работ

Похожие работы:

Отзывы

Очень удобно то, что делают все "под ключ". Это лучшие репетиторы, которые помогут во всех учебных вопросах.

Далее
Узнать цену Вашем городе
Выбор города
Принимаем к оплате
Информация
Онлайн-оплата услуг

Наша Компания принимает платежи через Сбербанк Онлайн и терминалы моментальной оплаты (Элекснет, ОСМП и любые другие). Пункт меню терминалов «Электронная коммерция» подпункты: Яндекс-Деньги, Киви, WebMoney. Это самый оперативный способ совершения платежей. Срок зачисления платежей от 5 до 15 минут.

Сотрудничество с компаниями-партнерами

Предлагаем сотрудничество агентствам.
Если Вы не справляетесь с потоком заявок, предлагаем часть из них передавать на аутсорсинг по оптовым ценам. Оперативность, качество и индивидуальный подход гарантируются.