 |
Контроль и совершенствование программы аудита ИБ
|
|
|
|
Семинар
Менеджмент аудита безопасности.
Программа аудита информационной безопасности
Программа аудита ИБ может включать, например следующие виды проверок организации:
1) Внутренний аудит организации (проводится 1 раз в год);
2) Внешний аудит (проводится раз в 2 года);
3) Обязательные аудиты по сертификации и другие, на обязательной основе.
Программа аудита ИБ включает планирование, обеспечение ресурсами и разработку процедур для проведения аудитов в объеме программы. В свою очередь планирование программы включает в себя определение цели, объема программы, а так же необходимых финансовых, инфраструктурных и кадровых ресурсов для ее реализации.
Основная цель аудита является улучшение системы обеспечения безопасности организации. Кроме основной может ставиться и остальные: оценка соответствия информационной безопасности организации, сертификации системы ИБ организации и т.д. Цели могут быть основаны на рассмотрении следующего:
1. Приоритеты руководства
2. Коммерческие или деловые намеренья
3. Характеристики процессов защиты информации, проектов и их изменение
4. Требования системы менеджмента ИБ
5. Законодательных, правовых и других требований
6. Потребности и заинтересованность
Примеры возможных целей:
1. Содействие улучшению менеджмента ИБ
2. Сертификация
3. Проверка соответствие контрактным требованиям
Объем программы аудита
Лицо ответственное за управления аудита должно определить объем программы аудита, которое может различаться в зависимости размера и характера деятельности организации, а так же от характера функциональных особенностей, сложности и уровня промеряемой системы менеджмента и тех ее элементов, которым придается наибольшее значение.
|
|
|
Кроме этого объем программы аудита зависит:
1. Конкретной цели
2. Области применения
3. Продолжительности каждого аудита
4. Кол-ва аудитов
5. Кол-ва, важности, сложности, степени сходства видов осуществляемой деятельно и расположения подразделений, которые будут проверяться
6. Критерий аудита (требования стандартов, контрактов и другие требования организация должна выполнять)
7. От заключений предыдущих аудитов
8. Мнение и озабоченность заинтересованных сторон
9. Изменения проверяемой организации или ее деятельности
10. Возникновение конфликтов или инцидентов ИБ
При определении аудита ИБ так же стоит учитывать след. факторы:
1) Достаточность и наличие необходимой информации для планирования аудита ИБ
2) Наличие времени и необходимых ресурсов
3) Готовность к сотрудничеству со стороны проверяемой организации
Оценка рисков программы аудитов
Риски программы аудита ИБ могут быть связанны, потому что цели аудита могут быть не достигнуты. Риски могут быть связаны:
1. Ошибками планирования программы аудита
2. С нехваткой ресурсов (мало времени, мало денег)
3. Слабая подготовка аудиторов
4. Компетентность
5. Обмен информации
6. Управление записями аудита (формирование аудита)
7. Контроль программы аудита
Разработка процедур по программе аудита
Лицо ответственное за программу аудита должно разработать процедуры, которые включают в себя:
1. Планирование графиков аудита с учетом рисков программы аудита
2. Обеспечение защиты и конфиденциальности информации
3. Обеспечение компетентности аудиторов и руководителей групп по аудиту
4. Подбор групп по аудиту и распределение ролей и обязанностей
5. Процедуры, связанные с аудитом (сбор, анализ, верификация, выводы информации)
6. Выполнение действий по выполнению аудита
|
|
|
7. Составление отчетов по аудиту
8. Поддержание записей по программе аудита
9. Осуществление мониторинга анализа реализации рисков и эффективности программы аудита
Идентификация ресурсов для программы аудита
Необходимо выделить следующие ресурсы:
1) Финансовые
2) Методы, технические приемы и средства проведения аудитов
3) Наличие аудиторов и технических экспертов нужной квалификации
4) Объем программы аудита и рисков аудита
5) Временные
6) Объем и уровень развития информационных и телекоммуникационных систем организации
Выбор методов аудита
Для выполнения аудита могут применяться различные методы:
1. По степени вовлеченности между аудиторской и проверяемой организации
1) С взаимодействием людей
2) Без взаимодействия с людьми
2. По месту положению аудитора
1) На местах производственной деятельности
2) На расстоянии
Формирование группы по аудиту
При определении кол-ва и состава по аудиту для каждого отдельного аудита необходимо учитывать следующие факторы:
1. Компетентность аудиторов
2. Сложность аудита
3. Выбранные методы аудита
4. Законодательные и другие требования, которые касаются проверяемой организации
5. Обеспечение независимости группы и отсутствие конфликтов интересов
6. Возможности аудиторов эффективно взаимодействовать с представителями проверяемой организации и работать с ними совместно
7. Язык аудита и учет социальных черт организации
Контроль и совершенствование программы аудита ИБ
1. Мониторинг программы аудита (контроль за программой аудита) – лицу управляющему программой аудита ИБ, стоит контролировать ее реализации и оценивать:
1) Соответствие программы аудита (календарные планы, цели аудита)
2) Должен контролировать деятельность аудиторов (способность аудиторов реализовывать план аудита, обратную связь от высшего руководства проверяемых аудиторов и других заинтересованных сторон)
2. Анализ и улучшение программы аудита, необходимо чтобы анализ аудита охватывал:
1) Результаты мониторинга
2) Соответствие
3) Выявление потребностей и ожидание заинтересованных сторон
4) Записи по программе аудита
5) Альтернативные или новые методы в области аудита
6) Результативность мер по управлению рисками
7) Вопросы, связанные с конфиденциальностью аудита
Основные этапы аудита ИБ
|
|
|
