Professional Documents
Culture Documents
Лобода 11-20
Григорьева 21-30
Сенчило 31-40
Селянчин 41-50
Ткаченко 51-60
Марценюк 61-70
Ковалевский 71-79
Узик 80-88
11. Основні етапи аудиту ІБ безпеки згідно стандартів серії ISO 27001\
270хх та ДСТУ ISO.
● ініціювання процедури аудиту;
● збір інформації аудиту;
● аналіз даних аудиту;
● вироблення рекомендацій;
● підготовку аудиторського звіту.
1205 Докази
Положення
1205.1 Фахівці з аудиту та підтвердження довіри до ІС повинні отримати
достатні та відповідні докази, щоб зробити обґрунтовані висновки, на які
спиратимуться результати завдань.
1205.2 Фахівці з аудиту та підтвердження довіри до ІС повинні
оцінювати достатність отриманих доказів для обґрунтування висновків і
досягнення цілей завдань.
Ключові аспекти
Виконуючи завдання, фахівці з аудиту та підтвердження довіри до ІС
повинні:
• отримати достатні та відповідні докази, у тому числі вказати:
– виконані процедури;
– результати виконаних процедур;
– вихідну документацію (в електронному чи паперовому
форматі), записи та підтверджуючу інформацію для
обґрунтування завдань;
– висновки та результати завдань;
– документацію про виконання роботи у відповідності до
діючих законів, нормативних документів і політик;
• підготувати документацію, яка повинна:
– зберігатися і бути доступною у період та у форматі, що
відповідає політиці організації щодо аудиту та підтвердження
довіри, а також відповідним професійним стандартам, законам і
нормативним документам;
– бути захищеною від несанкціонованого розкриття та
зміни протягом її підготовки та зберігання;
– бути знищеною належним чином після завершення
періоду її зберігання;
• при отриманні доказів після перевірки контролів враховувати їх
достатність для обґрунтування оціненого рівня ризиків системи
контролю;
• належним чином визначати, зіставляти та каталогізувати
докази;
• при оцінці надійності доказів враховувати їхні властивості, такі
як джерело, характер (наприклад, письмові, усні, візуальні,
електронні) та автентичність (наприклад, електронні та
власноручні підписи, печатки);
• розглядати найбільш економічно ефективні засоби збору
необхідних доказів з мінімальними затратами часу, щоб
відповідати цілям і ризикам, пов’язаним із завданнями; однак, ні
ускладнення, ні ціна не повинні бути причиною нехтування
необхідними процедурами;
• вибирати найбільш відповідні процедури збору доказів в
залежності від об’єкта перевірки (тобто його характеру, часових
рамок для проведення аудиту, професійних суджень); процедури,
які використовують для отримання доказів:
– опитування та підтвердження;
– повторне проведення;
– перерахунки;
– підрахунки;
– аналітичні процедури;
– перевірки;
– спостереження;
– інші загальноприйняті методи;
• розглядати джерело та характер будь-якої отриманої інформації
для оцінки її надійності та виконання вимог до її подальшого
підтвердження; загалом, надійність доказів більша, якщо вони:
– надані у письмовій, а не усній формі;
– отримані з незалежних джерел;
– отримані фахівцями, а не організацією, що підлягає
аудиту;
– засвідчені незалежною стороною;
– зберігаються незалежною стороною;
– є результатом перевірки;
– є результатом спостережень;
• отримувати об’єктивні докази, достатні для того, щоб
кваліфікована незалежна сторона могла знову здійснити перевірку
та дійти тих самих результатів і висновків;
• отримувати докази, що відповідають суттєвості знахідки, а
також наявним ризикам;
• звертати належну увагу на точність і повноту інформації, якщо
фахівець з аудиту та підтвердження довіри до ІС отримав її від
організації для виконання аудиторських процедур;
• розкривати інформацію про будь-які ситуації, в яких неможливо
отримати достатні докази у спосіб, що відповідає звітуванню результатів
завдань з аудиту та підтвердження довіри до ІС;
• гарантувати безпеку доказів від несанкціонованого доступу та
змін;
• після завершення роботи з аудиту та підтвердження довіри до
ІС зберігати докази згідно з усіма діючими законами, нормативними
документами та політиками.
бути сертифікована.
А для проведення аудиту компанії слід застосовувати стандарт ISO/IEC 27007, який
І. Загальні питання
IІ. Основні принципи реалізації незалежного аудиту ІБ на об’єктах критичної
інфраструктури
IIІ. Порядок акредитації Центра сертифікації аудиторів ІБ
IV. Сертифікація аудиторів ІБ та вимоги до них
V. Порядок ведення Реєстру аудиторів ІБ
VІ. Права та обов’язки аудиторів ІБ
VIІ. Відповідальність аудиторів ІБ
VIІI. Порядок проведення незалежного аудиту ІБ
88. Типове положення про Службу аудиту (контролю) на підприємстві.
У загальних рисах процес організації служби аудиту складається із таких етапів:
- бюджет і звітність;
- штатний розклад;
- навчання персоналу;
- методику оцінки роботи персоналу, ефективність служби;