Визначення і супровід контролів ІБ

Бондар 1-10
Лобода 11-20
Григорьева 21-30
Сенчило 31-40
Селянчин 41-50
Ткаченко 51-60
Марценюк 61-70
Ковалевский 71-79
Узик 80-88
1. Роль та задачі системи Аудиту та контролю якості інформаційної

безпеки.
СУІБ є частиною комплексної системи управління підприємством, що
базується на оцінці та аналізі ризиків для розробки, реалізації, адміністрування,
моніторингу, аналізу, підтримки, підвищення рівня ІБ згідно з встановлених
цілей організації, вимог до інформаційної безпеки, використовуваних процедур
надання послуг та структури організації.
Менеджмент безпеки (або управління безпекою) компанії —
поняття, що порівняно недавно з’явилося в лексиконі фахівців. Більшість
керівників компаній має на увазі під цим у першу чергу організацію
охоронно-режимної діяльності, однак це поняття набагато ширше. У нього
включаються такі напрямки, як:
• економічна безпека;
• інформаційна безпека;
• матеріальна (фізична) безпека — класична охоронно-режимна
діяльність.
Аудит інформаційної безпеки, це - ключ, фундамент, що підкреслює
важливість ефективного впровадження стратегії інформаційної безпеки на
підприємстві.
Аудит інформаційної безпеки забезпечує розуміння або навіть
гарантію, яку вимагають менеджери інформаційної безпеки та керівники
компаній. Аудит зі створенням чітких звітів про результати аудиту є ключовими
для забезпечення ефективного управління інформаційними системами та
інформаційною безпекою. Складним є перший аудит з точки зору інвестицій
ресурсів – фінансових, людських та часу. Вони також є обов'язковими в
багатьох стандартах та згідно найкращих практик, включаючи ITIL, PRINCE2,
COBIT5, PCI DSS та ISO 2700хх.
Для вирішення більшої частини проблем ІБ підприємства, які
виникають при функціонуванні інформаційних систем, використовують
системи моніторингу й управління бізнес процесів підприємства.
Аудит та контроль якості ІБ забезпечує:
Ø інвентаризацію й розширену діагностику ресурсів ІКС та мереж;
Ø постійний контроль функціонування використовуваного
мережного устаткування, прикладних систем і мережних
сервісів;
Ø з бір статистики й візуалізацію ключових показників
продуктивності й операційних параметрів мережної
інфраструктури;
Ø оптимізацію навантаження на мережне устаткування й сервери;
Ø фіксацію інцидентів;
Ø аналіз впливу ризиків на бізнес-процеси, і критично важливі
додатки;
Ø локалізацію причин інциденту і його автоматичне усунення;
Ø контроль за дотриманням вимог до відповідальних осіб, тощо.
Використання подібних систем дозволяє організації здійснювати про
активний моніторинг доступності, стану й продуктивності компонентів мережі
передачі даних, аналізувати й оптимізувати їхнє завантаження, а також
прогнозувати виникнення позаштатних ситуацій.
Основними завданнями аудиту є: оцінка поточного стану інформаційної
безпеки; ідентифікація та ліквідація уразливостей; мінімізація збитків від
потенційно реалізованих загроз; відповідність національним та міжнародним
стандартам і нормативним документам, надання ефективних рекомендацій до
зниження ризиків та підвищення рівня ІБ
2. Основні визначення та поняття системи Аудиту та контролю

інформаційної безпеки (ІБ).
Аудит автоматизованих інформаційних систем - це перевірка,
контроль матеріально технічних ресурсів організації, зокрема компонентів
інформаційно-комунікаційних систем та мереж (ІКСМ), систем безпеки на
предмет їх відповідності встановленим вимогам та стандартам.
Аудит інформаційної безпеки – це системний процес одержання
комплексної оцінки рівня інформаційної безпеки підприємства, а також
об'єктивних якісних і кількісних оцінок поточного стану безпеки
інформаційно-комунікаційних систем (або інформаційно-телекомунікаційної
системи) з урахуванням трьох основних факторів: персоналу, процесів та
технологій.
3. Оцінка якості робіт та послуг у галузі технічного захисту інформації.

Державна експертиза та система контролю у сфері ТЗІ.
Закони України.
Ø Закон України „ Про наукову і науково-технічну експертизу”.
Ø Закон України „ Про підтвердження відповідності”.
Ø Закон України „ Про акредитацію органів з оцінки відповідності”.
Ø Закон України „ Про стандарти, технічні регламенти та процедури
оцінки відповідності”.
Ø Закон України „ Про державний контроль за міжнародними
передачами товарів військового призначення та подвійного
використання”.
Накази Адміністрації Держспецзв’язку
Ø Положення про державну експертизу в сфері технічного захисту
інформації. Наказ Адміністрації Держспецзв’язку від16.05.2007 №
93, зареєстрований в Міністерстві юстиції України 16.07.2007 за №
820/14087 із змінами, затвердженими наказом Адміністрації
Держспецзв’язку від 10.10.2012 № 567, зареєстрованим в
Міністерстві юстиції України 06.11.2012 за № 1863/22175. (детально).
Ø Порядок формування Реєстру організаторів державної експертизи у
сфері технічного захисту інформації та Реєстру експертів з питань
технічного захисту інформації. Наказ Адміністрації Держспецзв’язку
від 16.04.2008 № 64. (детально).
Ø Положення про Експертну раду з питань державної експертизи в сфері
технічного захисту інформації. Наказ Адміністрації Держспецзв’язку
від 01.10.2010 № 291. (детально).
Нормативні документи системи ТЗІ
Ø НД ТЗІ 2.6-001-11 Порядок проведення робіт з державної експертизи
засобів технічного захисту інформації від несанкціонованого доступу
та комплексних систем захисту інформації в
інформаційно-телекомунікаційних системах. (детально).
Ø НД ТЗІ 2.7-009-09 Методичні вказівки з оцінювання функціональних
послуг безпеки в засобах захисту інформації від несанкціонованого
доступу. (детально).
Ø НД ТЗІ 2.7-010-09 Методичні вказівки з оцінювання рівня гарантій
коректності реалізації функціональних послуг безпеки в засобах
захисту інформації від несанкціонованого доступу. (детально).
Державний контроль у сфері ТЗІ.
Накази Адміністрації Держспецзв’язку.
Ø Положення про державний контроль за станом технічного захисту
інформації під час діяльності на території України іноземних
інспекційних груп. Наказ Адміністрації Держспецзв’язку від
16.05.2007 № 86, зареєстрований в Міністерстві юстиції України
04.06.2007 за № 577/13844. (детально).
Ø Положення про державний контроль за станом технічного захисту
інформації. Наказ Адміністрації Держспецзв’язку від 16.05.2007 №
87, зареєстрований в Міністерстві юстиції України 10.07.2007 за №
785/14052. (детально).
Ø Інструкція про порядок оформлення та складання Державною
службою спеціального зв’язку та захисту інформації України
матеріалів про адміністративні правопорушення. Наказ Адміністрації
Держспецзв’язку від 29.05.2007 № 100, зареєстрований в
Міністерстві юстиції України 12.06.2007 за № 618/13885. (детально).
Нормативні документи системи ТЗІ.
Ø НД ТЗІ 2.3-002-01 Технічний захист мовної інформації в симетричних
абонентських аналогових телефонних лініях. Засоби пасивного
приховування мовної інформації. Нелінійні атенюатори та
загороджувальні фільтри. Методика випробувань. (детально).
абонентських аналогових телефонних лініях. Засоби активного
приховування мовної інформації. Генератори спеціальних сигналів.
Методика випробувань. (детально).
абонентських аналогових телефонних лініях. Засоби визначення
наявності та віддаленості місця контактного підключення засобів
технічної розвідки. Рекомендації щодо розроблення методів
випробувань. (детально).
4. Світовий досвід контролю СМІБ та Інформаційних технологій

підприємств у відповідності вимогам світових та вітчизняних стандартів.
Міжнародна організація стандартизації (ISO) узагальнила весь накопичений
позитивний досвід робіт у сфері підвищення якості продукції і розробила на цій
основі стандарти серії ISO 9000 і ISO10000, що лягли в основу принципів
загального менеджменту TQM.
Стандарти ISO серії 9000 відразу здобули всесвітнє визнання, як особливо
популярні документи системи менеджменту.
Зазначені стандарти, задовольняючи зростаючі потреби споживачів,
перетворилися на універсальний інструмент забезпечення, оцінювання і
контролю систем якості підприємства.
Зазначені стандарти містять перевірені часом концепції та моделі не лише
внутрішнього, а й зовнішнього принципу управління якістю продукції та
послуг, встановлюють зворотній зв’язок :підприємство — споживач.
Щорічно міжнародні організації, такі як: ISO, IEC, ITU-T, ONZ, а також
Громадські об’єднання ISACA, IETF, CISA, (ISC)2, удосконалюють способи та
процедури проведення аудитів, підвищують міру відповідальності за
невідповідність міжнародним чи національним вимогам стандартів та
встановлюють обов’язковість уведення процедур проведення внутрішніх та
зовнішніх аудитів, моніторингу, процедур контролю ефективності ІБ. Власники
організацій сприймають цей факт досить неоднозначно, оскільки розробка,
побудова, впровадження СМІБ та проведення її моніторингу є досить затратним
та ресурсномістким процесом.
5. Роль та призначення Родини стандартів ISO / IEC 270хх в сфері

Аудиту та контролю ІБ. Базові стандарти з аудиту.
Стандарти, які стосуються безпосередньо управління інформаційною
безпекою являють собою сімейство стандартів ISO/IEC 270хх та слугують
основним нормативним документом при побудові СМІБ та аудиті ІБ.
На даний час, в Україні, офіційно прийняті такі стандарти з серії ISO/IEC
27K, як:
1. ДСТУ ISO/IEC 27000, в якому описуються основні поняття та
визначення;
2. ДСТУ ISO/IEC 27001:2015, що слугує основним стандартом при
побудові і супроводі СМІБ та у якому визначені основні вимоги до
інформаційної системи і її безпеки;
3. ДСТУ ISO/IEC 27002:2015, який містить більш детальні вимоги,
рекомендації та опис процесів управління інформаційною безпекою;
4. ДСТУ ISO/IEC 27005:2015 в якому описуються основні підходи по
управління ризиками та забезпеченнями;
5. ДСТУ ISO/IEC 27006:2015, який визначає перелік вимог до органів, які
здійснюють аудит та сертифікацію системи СМІБ;
Система СМІБ родини стандартів ISO / IEC 270хх складається з
взаємозалежних правил (опублікованих або розроблюваних) і включає в себе
ряд керівних принципів.
Сім'я розділена на 4 макросфери:
1. правила, що описують огляд та термінологію:
• ISO / IEC 27000 Системи управління інформаційною безпекою. Огляд та
словниковий запас.
2. правила, що визначають вимоги:
• ISO / IEC 27001 , системи управління інформаційною безпекою - вимоги;
• ISO / IEC 27006, Вимоги до органів, що здійснюють аудит та
сертифікацію СУІБ;
• ISO / IEC 27009, галузева практика застосування ISO / IEC 27001 -
Вимоги.
3. правила, що описують загальні принципи:
• ISO / IEC 27002 , Кодекс поведінки для перевірок інформаційної
безпеки;
• ISO / IEC 27003, Керівництво з впровадження СУІБ;
• ISO / IEC 27004, Управління інформаційною безпекою -
вимірювання;
• ISO / IEC 27005, Управління ризиками інформаційної безпеки;
• ISO / IEC 27007, інструкції з перевірки СУІБ;
• ISO / IEC TR 27008, Рекомендації для аудиторів перевірок
інформаційної безпеки;
• ISO / IEC 27013, Керівництво з комплексного впровадження ISO / IEC
27001 та ISO / IEC 20000-1;
• ISO / IEC 27014, Управління інформаційною безпекою;
• ISO / IEC TR 27016, Управління інформаційною безпекою - організаційна
економіка.
4. правила, що описують керівні принципи у конкретних галузях /
галузях:
• ISO / IEC 27010, Управління інформаційною безпекою для міжгалузевих
та міжорганізаційних комунікацій;
• ISO / IEC 27011, Керівництво з управління інформаційною безпекою для
телекомунікаційних організацій на основі ISO / IEC 27002;
• ISO / IEC TR 27015, Керівні принципи для управління інформаційною
безпекою для фінансових послуг;
• ISO / IEC 27017, Кодекс поведінки для перевірок інформаційної
безпеки на основі ISO / IEC 27002 для хмарних сервісів;
• ISO / IEC 27018, Кодекс поведінки щодо захисту персональної
ідентифікаційної інформації (PII) у публічних хмарах, які діють як процесори
PII;
• ISO / IEC 27019, Керівні принципи управління інформаційною безпекою
на основі ISO / IEC 27002 для систем керування процесами, специфічні для
сектора енергетичних послуг.
6. Серія Стандартів ISO / IEC 15408. Основні поняття, термінологія,

мета та задачі.
Наступним стандартом, що регламентує порядок проведення Аудиту та
контролю Інформаційної Безпеки, визначення слабких місць ІКСМ є
міжнародний стандарт ISO / IEC 15408 «Загальні критерії оцінки безпеки
інформаційних технологій».
Стандарт описує інфраструктуру, у якій користувачі (замовники)
комп’ютерної системи описують вимоги, розробники описують характеристики
з безпеки комп’ютерної системи, а експерти (аудитори) визначають, чи
задовольняє комп’ютерна система критеріям.
SO / IEC 15408 - міжнародний стандарт з комп'ютерної безпеки. На
відміну від стандарту НД ТЗІ 2.5-004-99, FIPS 140, тощо Common Criteria не
приводить списку вимог з безпеки або списку особливостей, які повинен
містити продукт. Замість цього він описує інфраструктуру (framework) ІКСМ
підприємства. В даній інфраструктурі, споживачі ІКСМ системи можуть
описати вимоги, розробники можуть заявити про властивості безпеки продуктів,
а експерти з безпеки визначити, чи задовольняє продукт заявам і яким чином
проводиться контроль ІБ.
Таким чином, Common Criteria дозволяє забезпечити умови, в яких процес
опису, розробки та перевірки продукту буде проведений з необхідною точністю
до відповідності встановленої політики безпеки.
Позначення й найменування відповідного стандартів серії:

Ø ДСТУ ISO / IEC 15408-1 : ISO / IEC 15408-1-20ХХ "Інформаційна
технологія. Методи й засоби забезпечення безпеки. Критерії оцінки
безпеки інформаційних технологій. Частина 1. Введення й загальна
модель".
безпеки інформаційних технологій. Частина 2. Функціональні
компоненти безпеки".
безпеки інформаційних технологій. Частина 3. Компоненти Довіри".
ДСТУ ISO / IEC 18045: ISO / IEC 18045:20ХХ "Інформаційна технологія.
Методи й засоби забезпечення безпеки. Методологія оцінки безпеки
інформаційних технологій".
7. Серія Стандартів ISO / IEC 17021 і ISO / IEC 17024. Основні

поняття, термінологія, мета та задачі.
В Україні впроваджено Комплекс стандартів ISO / IEC (адаптовані та
введені, як ДСТУ) з Аудиту та контролю системи «Тотального менеджменту
на підприємстві»:
Ø ISO / IEC 17021 «Оцінка відповідності - Вимоги згідно І8О/ІЕС
17021-1:2015 до органів, що здійснюють аудит і сертифікацію систем
менеджменту».
Цей документ розроблено і впроваджено Національним агентством з
акредитації України (далі - НААУ) відповідно до Політики НААУ щодо
застосування вимог міжнародних стандартів під час акредитації (ЗД-08.00.11).
Цей документ є неофіційним перекладом та носить інформаційний
характер, при цьому рекомендується використовувати стандарт КОЛЕС
17021-1:2015 на англійській мові. Документ рекомендований для використання
органами з оцінки відповідності, персоналом з акредитації, працівниками
НААУ, іншими зацікавленими сторонами.
Сфера застосування.
Ця частина ISO/IEC 17021 містить принципи та вимоги до компетентності,
послідовності та неупередженості органів, що провадять аудит та сертифікацію
всіх типів систем менеджменту.
Органи з сертифікації, що діють відповідно до цієї частини ISO/IEC 17021
не мають необхідності пропонувати сертифікацію систем менеджменту всіх
типів.
Сертифікація систем менеджменту - це діяльність третьої сторони з оцінки
відповідності (див. ISO/IEC 17000:2004, 5.5). Таким чином, органи, які
здійснюють таку діяльність, є органами оцінки відповідності третьої сторони.
Ø ISO / IEC 17024 «Схема сертифікації персоналу. Експерт з оцінки

відповідності у сфері дії технічних регламентів пс.01.2015».
Галузь використання - сертифікація Експертів з оцінки відповідності у сфері
дії технічних регламентів.
Необхідна компетентність визначається специфічними вимогами окремого
регламенту, відповідно до п.8.2. ДСТУ EN ISO/IEC 17024:2014.
Компетентність екзаменаційної комісії забезпечується участю експертів та
фахівців належного рівня, які мають необхідний рівень знань у сфері дії
окремого технічного регламенту (відповідно до п.6.2.2.1. ДСТУ EN ISO/IEC
17024:2014).
Діапазон сертифікації, включаючи умови надання чинності та обмеження
визначаються рішенням екзаменаційної комісії та затверджуються керівником
ОСП (відповідно до п.9.4.8. ДСТУ EN ISO/IEC 17024:2014).
Схема призначена для ознайомлення кандидатів на сертифікацію персоналу
щодо діючого порядку та процедур проведення таких робіт.
Сертифікація здійснюється з метою засвідчення відповідності кваліфікацій
кандидатів (далі - кандидат), які дозволяють професійно працювати у якості
Експертів у сфері дії технічних регламентів та вимогам, які до них висуваються:
• в ПКМУ № 95 від 13.01.2016р. "Про затвердження модулів оцінки
відповідності, які використовуються для розроблення процедур оцінки
відповідності, та правил використання модулів оцінки відповідності";
• вимогами окремих технічних регламентів, у сфері дії яких сертифікується
кандидат на посаду у сфері Аудиту та контролю стану системи менеджменту.
8. Роль Стандарту СОВІТ 5 в системі Аудиту та контрою в сфері ІБ.

Стандарт CoBiT (англ. Control Objectives for Information and Related
Technology , Контрольні об’єкти інформаційних та суміжних технологій) —
відкритий ІТ- стандарт, який в свою чергу містить ряд документів зі
стандартами щодо оптимізації управління ІТ: аудитом ІТ та ІТ-
безпекою.Створено Асоціацією з аудиту та контролю інформаційних система
(ISACA) спільно із Інститутом управлінням ІТ (ITGI).
Перше видання — 1996 рік. У квітні 2012 року відбувся реліз поточної версії -
COBIT 5.
Стандарт сприяє чіткішій координації дій ІТ- департаменту та керівництва
компанії, об'єднує в собі ряд інших стандартів, що дозволяє на високому рівні
якості отримувати інформацію про стан ІТ та управляти цілями і задачами ІТ.
Завдання COBIT полягає в ліквідації розриву між керівництвом компанії з їх
баченням бізнес-цілей і IT-департаментом, що здійснює підтримку
інформаційної інфраструктури, яка повинна сприяти досягненню цих цілей.
В COBIT детально описані цілі і принципи управління, об'єкти управління,
чітко визначені всі IT-процеси (завдання), що протікають в компанії, і вимоги
до них, описаний можливий інструментарій (практики) для їх реалізації. В описі
IT-процесів також приведені практичні рекомендації по управлінню
IT-безпекою. Важливу роль у роль у стандартизації критеріїв, яким повинна
відповідати ІКСМ грає асоціація. Даною асоціацією створено стандарт СОВІТ
«Контрольні об’єкти інформаційних та суміжних технологій».
Стандарт вводить 5 основних об’єктів, що являються ресурсами
інформаційних технологій:
Ø дані,
Ø додатки,
Ø технології,
Ø обладнання,
Ø персонал.
Та на відміну від державного нормативного документу НД ТЗІ 2.5-004-99,
описуються такі критерії оцінки властивостей інформації:
Ø ефективність(продуктивність),
Ø доступність,
Ø конфіденційність,Ø надійність,
Ø придатність,
Ø узгодженість.
Частина стандарту, що зосереджена на порядку проведення аудиту, орієнтована
на аудиту ІТ- процесів.
Ø цілісність,
СОВІТ складається з високого рівня цілей контролю, що охоплюють всі

параметри інформаційних систем, враховують життєвий цикл та специфічні
задачі ІКСМ.
9. Основні положення професійної практики аудиту та підтвердження

довіри до ІС. Стандарт ITAF.
ITAF – це вичерпна еталонна модель використання кращих практик, яка:
• встановлює стандарти, що описують ролі та обов’язки фахівців з аудиту та
підтвердження довіри до ІС; їх знання та навички;
ретельність; вимоги до проведення аудиту та звітності;
• визначає терміни та поняття, специфічні для сфери підтвердження довіри до
ІС;
• описує принципи, інструменти і методики планування, розробки, проведення
та звітування за результатами завдань з аудиту та підтвердження довіри до ІС.
ITAF орієнтується на матеріали ISACA і є єдиним джерелом, до якого можуть
звертатися фахівці з аудиту та підтвердження довіри до ІС за настановами, для
дослідження політик і процедур, отримання програм аудиту та підтвердження
довіри, а також формування ефективних звітів.
До кого застосовується ITAF? ITAF застосовується до осіб, які є фахівцями з
аудиту та підтвердження довіри до ІС і залучаються до підтвердження довіри до
складових прикладних програм та інфраструктури ІС. Однак, ці стандарти,
настанови, інструментарій і методики було розроблено таким чином, щоб їх
могла з користю застосовувати також ширша аудиторія, у тому числі
користувачі звітів аудиту та підтвердження довіри до ІС.
Коли слід використовувати ITAF? Застосування основних положень є
необхідною передумовою проведення аудиту та підтвердження довіри до ІС.
Стандарти носять обов’язковий характер. Настанови, інструментарій і методики
розроблено для
надання необов’язкової допомоги у виконанні завдань з підтвердження довіри.
Де слід використовувати стандарти аудиту та підтвердження довіри до ІС
ITAF і пов’язані з ними настанови? Дизайн ITAF передбачає, що перед
фахівцями з аудиту та підтвердження довіри до ІС висуватимуться різні вимоги
і типи завдань (від управління аудитом, спрямованим на ІС, до участі у
фінансовому чи операційному аудиті). ITAF застосовується до всіх офіційних
аудитів ІС та завдань з оцінювання.
Процес аудиту ІС або процес підтвердження довіри до ІС передбачає
виконання специфічних процедур для забезпечення належного рівня довіри до
об’єкта перевірки. Фахівці з аудиту та підтвердження довіри до ІС виконують
завдання, які спрямовані на забезпечення довіри на різних рівнях: від
обстеження до атестування або екзаменування.
Кожне завдання з аудиту та підтвердження довіри до ІС повинно відповідати
встановленим стандартам стосовно того, чи є особи достатньо кваліфікованими
для виконання цієї роботи, як виконується робота, яка робота виконується, і
яким чином буде проводитися звітування на основі різних характеристик
завдання та природи отриманих результатів. Якщо завдання виконується однією
особою, необхідно, щоб ця особа володіла навичками та знаннями, потрібними
для повного виконання завдання. Якщо завдання виконується більше, ніж
однією особою, необхідно, щоб група колективно володіла навичками та
знаннями, потрібними для виконання роботи.
Завданням з аудиту та підтвердження довіри до ІС притаманні кілька
важливих припущень, у тому числі:
• об’єкт перевірки можна ідентифікувати та піддати аудиту;
• існує висока ймовірність успішного завершення проекту;
• обрані підхід і методика є неупередженими;
• сфера застосування проекту є достатньою для досягнення цілей аудиту та
підтвердження довіри до ІС;
• проект завершиться формуванням об’єктивного звіту, який не буде
дезінформувати читачів.
10. Основні напрямки аудиту та контролю якості інформаційної безпеки
згідно ДСТТУ, НД ТЗІ.
Першим, нормативним документом з цих питань виступає НД ТЗІ
2.5-004-99 «Критерії оцінки захищеності інформації в комп’ютерних системах
від несанкціонованого доступу». Функціональними критеріями за документом є:
конфіденційність; цілісність; доступність; спостереженість.
Дані критерії надають базу для розробки або модернізації ІКСМ, у яких
мають бути реалізовані функції захисту інформації та містять порівняльну
шкалу для оцінки надійності діючих механізмів захисту інформації.
Окрім функціональних критеріїв захищеності існують критерії гарантій, що
дозволяють оцінити коректність реалізації систем захисту. Ці критерії
включають вимоги до архітектури комплексу засобів захисту, середовища
розробки, послідовності розробки, випробування комплексу засобів захисту,
середовища функціонування і експлуатаційної документації.
Основні напрямки аудиту інформаційної безпеки деталізуються за

вітчизняними стандартами та вимогами (ДСТУ, НД):
Ø атестацію комплексів;
Ø контроль захищеності інформації;
Ø спеціальні дослідження технічних засобів;
Ø проектування об'єктів в захищеному виконанні.
1. Атестація об'єктів інформатизації за вимогами безпеки інформації:
• атестація автоматизованих систем, засобів зв'язку, обробки і передачі
інформації;
• атестація приміщень, призначених для ведення конфіденційних
переговорів;
• атестація технічних засобів, встановлених у виділених приміщеннях.
2. Контроль захищеності інформації обмеженого доступу:
• виявлення технічних каналів витоку інформації та шляхів
несанкціонованого доступу до неї;
• контроль ефективності застосовуваних засобів захисту інформації.
3. Спеціальні дослідження технічних засобів на наявність побічних
електромагнітних випромінювань і наведень (ПЕМВН):
• персональні ЕОМ, засоби зв'язку та обробки інформації;
• локальні обчислювальні системи;
• оформлення результатів досліджень у відповідності з вимогами
Держспецзв’язку України.
4. Проектування об'єктів в захищеному виконанні:
Ø розробка концепції інформаційної безпеки;
Ø проектування автоматизованих систем, засобів зв'язку, обробки і передачі
інформації в захищеному виконанні;
Ø проектування приміщень, призначених для ведення конфіденційних
переговорів.
11. Основні етапи аудиту ІБ безпеки згідно стандартів серії ISO 27001\
270хх та ДСТУ ISO.
● ініціювання процедури аудиту;
● збір інформації аудиту;
● аналіз даних аудиту;
● вироблення рекомендацій;
● підготовку аудиторського звіту.
На етапі ініціювання процедури аудиту повинні бути вирішені наступні

організаційні питання:
1.права та обов'язки аудитора;
2.план проведення аудиту;
3.у положенні про внутрішній аудит має бути закріплено, зокрема, що
співробітники компанії зобов'язані сприяти й надавати аудитору всю необхідну
для проведення аудиту інформацію;
4.межі проведення обстеження.
Етап збору інформації аудиту є найбільш складним і тривалим.Компетентні

висновки щодо стану справ у компанії з інформаційною безпекою можуть бути
зроблені аудитором лише за умови наявності всіх необхідних вихідних даних
для аналізу.
Методи аналізу даних, що використовуються аудиторами, визначаються

вибраними підходами до проведення аудиту, які можуть істотно розрізнятися.
Перший підхід, найскладніший, базується на аналізі ризиків.
Другий підхід, самий практичний, спирається на використання стандартів
інформаційної безпеки.
Третій підхід, найбільш ефективний, припускає комбінування двох перших.
Рекомендації, що видаються аудитором за результатами аналізу стану ІС,

визначаються використовуваним підходом, особливостями обстежуваної ІС,
станом справ з безпекою і ступенем деталізації, що використовується при
проведенні аудиту. У будь-якому випадку, рекомендації аудитора повинні бути
конкретними і застосовними до даної ІС, економічно обґрунтованими,
аргументованими (підкріпленими результатами аналізу) і відсортованими за
ступенем важливості.
Аудиторський звіт є основним результатом проведення процесів контролю та

аудиту СМІБ.
12. Основні функції та базові етапи впровадження Аудиту

інформаційних систем за стандартом СОВІТ 5 ISACA.
Основні функції аудиту ІС:
➢ аналіз бізнес-процесів, технологій та структури ІС, притаманних їм ризиків;
➢ відповідність політики управління ризиками установи наявним ризикам;
➢ дієвість системи моніторингу ризиків та системи контролю ризиків;
➢ незалежне оцінювання ризиків, об’єктивна, неупереджена перевірка
результатів самооцінки ризиків, здійснених бізнес-підрозділами;
➢ ідентифікація потенційних проблем і ризиків;
➢ об’єктивний аудит проблемних ситуацій і повноти заходів їх вирішення;
➢ аналіз звітів моніторингу та контролю з наміром поліпшення існуючої
роботи/практики управління ризиками;
➢ аналіз та надання керівництву організації повного профілю ризиків,
висновків щодо стратегії управління ризиками, процедур і методів.
13. Серія Стандартів ISO / IEC 15408. Основні складові стандарту,

етапи впровадження, сфера застосування.
Стандарт ISO 15408 – один з найбільш поширених стандартів у галузі безпеки.
У його створенні взяли участь організації зі США, Канади, Англії, Франції,
Німеччини, Голландії. У стандарті, що отримав назву «Загальні критерії оцінки
безпеки інформаційних технологій » (The Common Criteria for Information
Technology Security Evaluation), докладно розглянуто загальні підходи, методи
та функції забезпечення захисту інформації в організаціях.
Стандарт ISO/IEC 15408 «Загальні критерії оцінки безпеки інформаційних

технологій» (англ. Common Criteria for Information Technology Security
Evaluation) описує інфраструктуру (Framework), в якій користувачі
комп’ютерної системи можуть описати вимоги, розробники можуть заявити про
властивості безпеки продуктів, а експерти з безпеки визначити, чи задовольняє
продукт заявам. Таким чином цей стандарт дозволяє бути впевненим, що процес
опису, розробки та перевірки продукту був проведений в строгому порядку.
У “Загальних критеріях ” (ЗК) проведена класифікація широкого набору

функціональних вимог і вимог довіри до безпеки, визначені структури їх
групування і принципи цільового використання.
Стандарт дозволяє оцінити повноту системи інформаційної безпеки з технічної

точки зору, не розглядаючи при цьому комплекс організаційних заходів щодо
забезпечення захисту інформації
14. Характеристики сучасного ІТ- аудиту, завдання ІТ- аудитора.

ІТ- аудити є ключовим компонентом для забезпечення якості інформаційних
систем та прикладного програмного забезпечення. Без надійних інформаційних
систем та результативних ІТ- заходів контролю, організація не може правильно
виконувати операції/транзакції та узагальнювати надійну фінансову звітність,
що, своєю чергою, впливає на рівень досягнення поставлених перед нею завдань
та цілей.
Кваліфікований ІТ- аудитор повинен надавати об'єктивну оцінку та поради

(рекомендації) щодо аспектів якості ІТ.
Оцінка та поради (рекомендації) охоплюють наступні аспекти ІТ:
➢ Інформаційна стратегія.
➢ Інформаційне управління та інформаційна технологія.
➢ Інформаційні системи.
➢ Технічні системи.
➢ Системи обробки.
➢ Операційна підтримка.
Професія ІТ- аудитора вимагає спеціального досвіду у сфері інформаційних
технологій та з питань забезпечення організації управлінською інформацією. ІТ-
аудитори повинні бути ознайомлені із загальноприйнятими методами і
прийомами внутрішнього аудиту, в т. ч. з тими, які використовуються під час
ІТ- аудиту, тестуванням та оцінкою ризиків, пов’язаних з ІТ. Вони також
повинні володіти інформацією про вартість ІТ та спеціальними навичками у
деяких сферах прикладного програмного забезпечення. Збільшення
актуальності ІТ посилює вимоги до якості, яка очікується від ІТ- аудиторів при
виконанні завдань.
15. Актуальність сучасного ІТ- аудиту, завдання ІТ- аудитора.

ІТ- аудити є ключовим компонентом для забезпечення якості інформаційних
систем та прикладного програмного забезпечення. Без надійних інформаційних
систем та результативних ІТ- заходів контролю, організація не може правильно
виконувати операції/транзакції та узагальнювати надійну фінансову звітність,
що, своєю чергою, впливає на рівень досягнення поставлених перед нею завдань
та цілей.
Кваліфікований ІТ- аудитор повинен надавати об'єктивну оцінку та поради

(рекомендації) щодо аспектів якості ІТ.
Оцінка та поради (рекомендації) охоплюють наступні аспекти ІТ:
➢ Інформаційна стратегія.
➢ Інформаційне управління та інформаційна технологія.
➢ Інформаційні системи.
➢ Технічні системи.
➢ Системи обробки.
➢ Операційна підтримка.
Професія ІТ- аудитора вимагає спеціального досвіду у сфері інформаційних
технологій та з питань забезпечення організації управлінською інформацією. ІТ-
аудитори повинні бути ознайомлені із загальноприйнятими методами і
прийомами внутрішнього аудиту, в т. ч. з тими, які використовуються під час
ІТ- аудиту, тестуванням та оцінкою ризиків, пов’язаних з ІТ. Вони також
повинні володіти інформацією про вартість ІТ та спеціальними навичками у
деяких сферах прикладного програмного забезпечення. Збільшення
актуальності ІТ посилює вимоги до якості, яка очікується від ІТ- аудиторів при
виконанні завдань.
16. Спеціальна термінологія в сфері ІТ- аудиту. Визначення галузі

відповідно до міжнародних стандартів та правил.
IT-аудит - це незалежна і неупереджена оцінка надійності, безпеки (включаючи
безпеку персональних даних), результативності та ефективності
функціонування інформаційних систем підприємства, організації роботи
департаменту з автоматизації ІТ процесів, технічно-організаційної
інфраструктури обробки інформації. Ця діяльність поширюється як на діючі
фінансово-економічні операційні системи, так і на операційні ІТ системи, які
розробляються.
17. Об’єкти ІТ- аудиту та межі контролю.
Об’єкт ІТ- аудиту (предмет дослідження) слід описувати таким чином, щоб не
виникало непорозумінь щодо визначення його меж. Належний об’єкт ІТ- аудиту
можна ідентифікувати, оцінювати однаковим способом або за визначеними
критеріями аудиту, і він носить такий характер, що інформація про нього може
стати предметом процедур збору достатніх належних доказів для формування
висновку.
Межі ІТ- аудиту означають:

➢ аспекти якості, які треба оцінити (конфіденційність, цілісність систем або
даних, доступність, результативність, ефективність, дотримання законів і
постанов, тощо);
➢ рівень ІТ- аудиту: результативність структури і/або операційна
результативність. Пояснення наведено нижче.
18. Аспекти якості контролю.

ІТ- аудитор оцінює один чи більше аспектів якості об’єктів аудиту, в т.ч.
управління ІТ процесом. Найбільш поширеними аспектами якості в ІТ- аудиті є:
➢ Надійність
У загальному надійність можна визначити як вірогідність того, що
інформаційна система на задовільному рівні виконає завдання, для якого її було
розроблено або задумано, за певний період часу у визначеному середовищі. Для
ІТ- аудитів надійність розділено на три аспекти (визначення ISACA):
1. Конфіденційність (ексклюзивність) – збереження обмежень з авторизації
доступу і розкриття даних, включаючи засоби для захисту особистих даних і
конфіденційної інформації.
2. Цілісність системи або даних полягає у повноті, правильності і точності.
Захист від неналежної зміни інформації або її знищення, а також включає
забезпечення неспростовною і справжньою інформацією.
3. Доступність (безперервність) – забезпечення своєчасним і надійним доступом
до інформації та її використання.
➢ Безпека (інформації) означає захист інформації та інформаційних систем від

неавторизованого доступу або зміни інформації, яка зберігається, обробляється
чи передається, а також відмови у послузі не авторизованим користувачам.
Безпека інформації передбачає заходи, необхідні для виявлення,
документування та боротьби з такими загрозами.
➢ Результативність – це здатність досягнути бажаного результату.
➢ Ефективність означає виконання або здатність виконати завдання у

співвідношенні із затратами часу і ресурсів.
19. Бібліотека кращих світових практик з інформаційних технологій
ITIL (Information Technology Infrastructure Library) - пропонує побудову

процессной моделі для управління ІТ-підрозділом, результатом діяльності якого
є ІТ послуги для бізнесу з прозорою вартістю, якість яких гарантується шляхом
організації безперервного контролю. Бібліотека ITIL містить кращий світовий
досвід з побудови єдиної комплексної системи управління ІТ-підрозділом, який
можна використовувати до конкретної ситуації.
COBIT (Control Objectives for Information and related Technology) - стандарт
управління та аудиту в області інформаційних технологій. Основою стандарту
COBIT є 34 високорівневі цілі контролю, по одній на кожен ІТ процес, які
згруповані в 4 домена: Планування і Організація, Проектування і впровадження,
експлуатація та супровід, Моніторинг. Особливістю стандарту COBIT по
відношенню до інших стандартів в області ІТ є присутність в ньому моделі
зрілості розробленої в кінці 80-х років.
MOF (Microsoft Operations Framework) - Управління інформаційними
технологіями ця тема, в якій компанія Microsoft має своє бачення. Система
стандартів Microsoft Enterprise Services від компанії Microsoft є три області:
● Першою областю є діяльність по підготовці до впровадження
інформаційної системи де формалізуються вимоги до ІТ і визначається
обсяг проекту. Підготовка до впровадження інформаційної системи
описана в стандарті Microsoft Readiness Framework (MRF);
● Другий областю є діяльність по впровадженню інформаційної системи на
підприємстві, де визначаються основні питання розробки і розгортання
ІТ- рішення. Побудова та впровадження інформаційної системи описано
в стандарті Microsoft Solutions Framework (MSF);
● Третьою областю є діяльність з підтримки інформаційної системи
впровадженої на підприємстві. Питання експлуатації інформаційної
системи розглядаються в стандарті Microsoft Operations Framework
(MOF).
ITPM (IT Process Model) - це стандарт, який був запропонований компанією
IBM в кінці 70-х років минулого століття для вирішення завдань управління
комп'ютерними системами. Була створена архітектура ISMA (Information
Systems Management Architecture) і концепція (IT Process Model), що виникла з
ISMA і прийнята до використання компанією IBM. Даний підхід відрізняється
від ITIL не тільки за способом поділу процесів, але і в ряді термінологічних
моментів. Фактично IT Process Model - це 41 процес, зібраний в вісім груп по
числу основних чинників, що впливають на успіх ІТ проектів.
20. Основні положення аудиту та підтвердження довіри до ІС. Загальні

стандарти ITIL.
ОТВЕТ ДЛЯ СТАНДАРТА ITAF смотри в вопросе 21

Information Technology Infrastructure Library (ITIL) - це набір інструкцій,
розроблених Відділом Урядової Торгівлі Великобританії (United Kingdom`s
Office Of Government
Commerce, OGC). Кожне посібник є набір книг, в яких описується інтегрована
методологія управління ІТ послугами, заснована на передовому досвіді і
використовує процесний підхід. На сьогоднішній день дані книги є єдиним,
вичерпним, загальнодоступним керівництвом для управління послугами ІТ (IT
Service Management), що не заснованому на приватних патентах.
ITIL була заснована в другій половині 1980-х років. Спочатку ITIL
призначалася для поліпшення якості управління ІТ обслуговуванням (IT Service
Management) в уряді Великобританії, проте, ITIL застосовна для всіх організацій
(приватних або державних; великих чи малих; централізованих або
розподілених).
Спочатку бібліотека ITIL складалася з кількох комплектів книг, в кожному з
яких описувалося окремий напрямок в сфері інформаційної інфраструктури.
Основою ITIL вважалися десять книг, присвячених підтримці і надання послуг.
Зараз бібліотека ITIL складається з восьми томів:

Service Support;
Service Delivery;
Planning to Implement Service Management;
Application Management;
ICT Infrastructure Management;
Security Management;
Software Asset Management;
The Business Perspective: The IS View on Delivering Services to the Business.
21. Основні положення аудиту та підтвердження довіри до ІС. Стандарти

виконання ITAF.
1. Стандарти аудиту та підтвердження довіри до ІС
Як зазначалось у Вступі, необхідно завжди слідувати усім стандартам ITAF:
загальним, виконання та звітування. Окрім того, ці стандарти містять ключові
аспекти, розроблені для сприяння діяльності фахівців з аудиту та підтвердження
довіри до ІС; саме тому, інформація, якої необхідно дотримуватися в
обов’язковому порядку, виділена у стандартах жирним шрифтом.
Положення стандартів
Для полегшення пошуку нижче наведено обов’язкові положення стандартів.
Загальні
1001 Статут аудиту
1002 Організаційна незалежність
1003 Професійна незалежність
1004 Обґрунтовані очікування
1005 Належна професійна ретельність
1006 Професійність
1007 Твердження
1008 Критерії
Виконання
● 1201 Планування завдань
1201.1 Фахівці з аудиту та підтвердження довіри до ІС повинні
планувати кожне завдання з аудиту та підтвердження довіри до ІС таким чином,
щоб воно відповідало: • цілі (цілям), обсягу, часовим рамкам і запланованим
результатам; • діючим законам і професійним стандартам аудиту; •
застосуванню ризик-орієнтованого підходу, де це можливо; • питанням, що
виникають у зв’язку зі специфікою завдань; • вимогам до документації та
звітності.
розробляти та документально оформляти для кожного проекту план завдань з
аудиту та підтвердження довіри до ІС, що описує: • характер, цілі та часові
рамки завдань, а також потреби у ресурсах; • терміни проведення та обсяг
аудиторських процедур, необхідних для виконання завдань.
● 1202 Оцінювання ризиків при плануванні
1202.1 Функція аудиту та підтвердження довіри до ІС повинна
застосовувати ризик-орієнтований підхід та відповідну методологію для
розроблення загального плану аудиту ІС і визначення пріоритетів для
ефективного розподілу ресурсів аудиту ІС.
1202.2 При плануванні індивідуальних завдань фахівці з аудиту та
підтвердження довіри до ІС повинні визначати та оцінювати ризики, пов’язані зі
сферою, що перевіряється. 1202.3 Фахівці з аудиту та підтвердження довіри до
ІС повинні враховувати ризики, пов’язані з об’єктом перевірки, ризики аудиту
та інші відповідні ризики для організації.
● 1203 Ефективність і нагляд
здійснювати роботу у відповідності до затвердженого плану аудиту ІС для того,
щоб врахувати виявлені ризики, та в рамках узгодженого графіку.
забезпечити контроль за роботою персоналу аудиту, яким вони керують, щоб
досягти цілей аудиту у відповідності до діючих професійних стандартів аудиту.
1203.3 Фахівці з аудиту та підтвердження довіри до ІС повинні братися
за виконання тільки таких задач, які можна завершити за допомогою уже
наявних знань і навичок, або якщо вони мають обґрунтовані очікування щодо
набуття таких навичок у процесі роботи чи виконання задач під наглядом.
1203.4 Для досягнення цілей аудиту фахівці з аудиту та підтвердження
довіри до ІС повинні отримати достатні та відповідні докази. Результати та
висновки аудиту повинні супроводжуватись відповідним аналізом і
тлумаченням таких доказів.
документально оформляти процес аудиту, описуючи аудиторську роботу та
аудиторські докази, що обґрунтовують результати та висновки.
визначати та робити висновки щодо результатів.
● 1204 Суттєвість
1204.1 При плануванні завдань фахівці з аудиту та підтвердження довіри
до ІС повинні враховувати потенційні недоліки або відсутність контролів, а
також те, чи можуть призвести до значного порушення чи суттєвого недоліку
такі недоліки або відсутність контролів.
1204.2 При визначенні характеру, часових рамок та обсягу процедур
аудиту фахівці з аудиту та підтвердження довіри до ІС повинні враховувати
суттєвість аудиту та її зв’язок із ризиком аудиту.
враховувати сукупний ефект незначного браку контролів і вразливих місць, а
також те, чи може така відсутність контролів створити значне порушення чи
суттєвий недолік.
1204.4 У своїх звітах фахівці з аудиту та підтвердження довіри до ІС
повинні розкривати наступне: • відсутність контролів чи їх неефективність; •
значущість порушення контролів; • ймовірність того, що такі вразливі місця
призведуть до значного порушення чи суттєвого недоліку.
● 1205 Докази
1205.1 Фахівці з аудиту та підтвердження довіри до ІС повинні отримати
достатні та відповідні докази, щоб зробити обґрунтовані висновки, на які
спиратимуться результати завдань з аудиту.
оцінювати достатність отриманих доказів для обґрунтування висновків і
досягнення цілей завдань.
● 1206 Залучення інших експертів
1206.1 Фахівці з аудиту та підтвердження довіри до ІС повинні, за
необхідності, розглядати можливість залучення інших експертів для виконання
завдань.
оцінювати та підтверджувати відповідність професійних кваліфікацій,
компетенції, належного досвіду, ресурсів, незалежності та процесів контролю
якості інших експертів до початку виконання завдань.
1206.3 В рамках виконання своїх завдань фахівці з аудиту та
підтвердження довіри до ІС повинні вивчати та оцінювати роботу інших
експертів, а також документально оформляти висновки щодо обсягу залучення
таких експертів і покладання на результати їх роботи.
визначати, чи є робота інших експертів, які не є членами групи, що виконує
завдання, достатньо адекватною та вичерпною для досягнення поточних цілей
завдань, а також чітко документально оформляти свої висновки.
визначати, чи можна вважати роботу інших експертів надійною і безпосередньо
включати її або посилатися на неї у звіті.
застосовувати додаткові процедури перевірки для отримання достатніх та
відповідних доказів, якщо їх не надає робота інших експертів.
1206.7 Фахівці з аудиту та підтвердження довіри до ІС повинні надавати
відповідні аудиторські оцінки або висновки та включати в них будь-які
обмеження обсягу робіт, якщо необхідні докази не можна отримати за
допомогою додаткових процедур перевірки.
● 1207 Невідповідності та незаконні дії
1207.1 При виконанні завдань фахівці з аудиту та підтвердження довіри
до ІС повинні враховувати ризики існування невідповідностей та незаконних
дій.
1207.2 При виконанні завдань фахівці з аудиту та підтвердження довіри
до ІС повинні дотримуватись позиції професійного скептицизму.
документально оформляти та вчасно звітувати перед відповідними особами про
будь-які суттєві невідповідності чи незаконні дії.
Звітування
1401 Звітування
1402 Подальша діяльність
22. Основні положення аудиту та підтвердження довіри до ІС. Стандарти

повтор вопроса №21
23. Настанови з аудиту та підтвердження довіри до ІС. Стандарти
Розділ 2000 розглядає настанови, що обґрунтовують наступні стандарти:
2000 Загальні настанови
2200 Настанови виконання
2400 Настанови звітування
Кожен підрозділ розділу про настанови орієнтується на:
• питання і процеси щодо ІС, які фахівці з аудиту та підтвердження довіри до ІС
повинні розуміти та враховувати, розглядаючи планування, визначення обсягу,
виконання завдань і звітування щодо діяльності в галузі аудиту та
підтвердження довіри до ІС;
• процеси, процедури, методи та підходи до аудиту та підтвердження довіри до
ІС, які фахівці з аудиту та підтвердження довіри до ІС повинні враховувати у
своїй діяльності в галузі аудиту та підтвердження довіри до ІС.
Загальні настанови:
2001 Статут аудиту — Мета цієї настанови полягає у тому, щоб сприяти
фахівцям з аудиту та підтвердження довіри до ІС у підготовці статуту аудиту,
який визначає мету, обов’язки, повноваження та підзвітність функції аудиту та
підтвердження довіри до ІС.
2002 Організаційна незалежність — Мета цієї настанови – розгляд
незалежності функції аудиту та підтвердження довіри до ІС в організації.
Необхідно враховувати три важливі аспекти:
• роль функції аудиту та підтвердження довіри до ІС в організації;
• рівень підзвітності функції аудиту та підтвердження довіри до ІС в
організації;
• надання керівництвом та фахівцям з аудиту та підтвердження довіри до ІС
неаудиторських послуг організації.
Ця настанова регулює оцінювання організаційної незалежності та детально
описує зв’язок між організаційною незалежністю і статутом аудиту та планом
аудиту.
2003 Професійна незалежність — Мета цієї настанови полягає у наданні
фахівцям з аудиту та підтвердження довіри до ІС основних положень, що
стосуються:
• визначення умов, за яких незалежність може бути обмеженою або
сприйматися як така;
• розгляду потенційних альтернативних підходів до таких аудиторських
процесів, при яких незалежність може бути обмеженою або сприйматися як
така;
• зменшення чи усунення впливу на незалежність фахівців з аудиту та
підтвердження довіри до ІС, які надають неаудиторські послуги або виконують
неаудиторські ролі або функції;
• визначення вимог розкриття інформації, якщо незалежність є обмеженою, або
може сприйматися як така.
2004 Обґрунтовані очікування — Мета цієї настанови полягає у сприянні
застосуванню фахівцями з аудиту та підтвердження довіри до ІС настанови
обґрунтованих очікувань при виконанні завдань з аудиту. Основні
характеристики, щодо яких фахівці повинні мати обґрунтовані очікування:
• завдання з аудиту можуть виконуватися у відповідності до цих стандартів або
інших діючих стандартів та нормативних документів і повинні завершитися
формуванням професійної думки чи висновків;
• обсяг завдань з аудиту дає можливість висловити професійну думку чи
висновки щодо об’єкта перевірки;
• керівництво надає фахівцям доречну, відповідну та своєчасну інформацію,
необхідну для виконання завдань з аудиту.
Окрім того, ця настанова сприяє розгляду фахівцями з аудиту та підтвердження
довіри до ІС обмежень обсягу робіт і надає вказівки щодо прийняття змін в
умовах.
2005 Належна професійна ретельність — Мета цієї настанови полягає у
роз’ясненні терміну «належна професійна ретельність» та його застосуванні при
цілісному та ретельному виконанні завдань з аудиту згідно з Кодексом
професійної етики ISACA.
Ця настанова пояснює, як фахівці з аудиту та підтвердження довіри до ІС
повинні застосовувати належну професійну ретельність при плануванні,
виконанні та звітуванні за результатами завдань з аудиту.
2006 Професійність — Ця настанова надає вказівки, які сприяють фахівцям з
аудиту та підтвердження довіри до ІС у набутті необхідних навичок і знань та
підтриманні професійної компетенції при виконанні завдань з аудиту
2007 Твердження — Мета цієї настанови полягає у детальному описі різних
тверджень, управлінні фахівцями з аудиту та підтвердження довіри до ІС при
підтвердженні того, що критерії, за якими здійснюватиметься оцінювання
об’єкта перевірки, відповідають твердженням, а також у наданні вказівок щодо
формулювання висновків та підготовки звітів щодо тверджень.
2008 Критерії — Мета цієї настанови полягає у сприянні фахівцям з аудиту та
підтвердження довіри до ІС при виборі критеріїв, за якими оцінюватиметься
об’єкт перевірки, які є придатними, доступними і з відповідного джерела.
Если нужна инфа по каждому пункту — смотри документ ITAF 3rd ukr
стр.43-82
24. Настанови з виконання. Стандарти ITAF.

Настанови з виконання:
2201 Планування завдань — Ця настанова надає вказівки фахівцям з аудиту
та підтвердження довіри до ІС. Адекватне планування сприяє забезпеченню
належної уваги до важливих сфер аудиту, виявлення і своєчасного вирішення
потенційних проблем, а також до правильної організації, управління та
ефективного і продуктивного виконання завдань з аудиту.
2202 Оцінювання ризиків у плануванні — Ця настанова надає вказівки щодо
застосування підходу оцінювання ризиків з метою розробки:
• плану аудиту ІС, що охоплює усі річні завдання з аудиту;
• проектного плану завдань з аудиту, зосередженому на одному окремому
завданні з аудиту.
Ця настанова описує різні типи ризиків, які постають перед фахівцями з аудиту
та підтвердження довіри до ІС
2203 Ефективність і нагляд — Ця настанова надає фахівцям з аудиту та
підтвердження довіри до ІС вказівки щодо виконання завдань з аудиту та
контролю за членами групи, що займається аудитом ІС. Вона описує:
• виконання завдань з аудиту;
• ролі та обов’язки, а також необхідні знання та навички для виконання завдань
з аудиту;
• ключові аспекти нагляду;
• збір доказів;
• документальне оформлення виконаної роботи;
• формулювання результатів і висновків.
2204 Суттєвість — Мета цієї настанови полягає у чіткому визначенні
концепції суттєвості для фахівців з аудиту та підтвердження довіри до ІС та у
поясненні чіткої відмінності від концепції суттєвості для фахівців з фінансового
аудиту та підтвердження довіри.
Ця настанова сприяє оцінюванню фахівцями з аудиту та підтвердження довіри
до ІС суттєвості об’єкта перевірки та розгляду суттєвості з врахуванням
контролів і питань, що підлягають звітуванню.
2205 Докази — Мета цієї настанови полягає у наданні фахівцям з аудиту та
підтвердження довіри до ІС вказівок щодо отримання достатніх і відповідних
доказів, оцінювання отриманих доказів і підготовки належної аудиторської
документації.
2206 Залучення інших експертів — Ця настанова надає фахівцям з аудиту та
підтвердження довіри до ІС вказівки щодо розгляду залучення інших експертів,
а також сприяє аналізу їх адекватності, перевірці та оцінюванню їх роботи,
визначенню необхідності здійснення додаткових процедур перевірки та
формуванню професійних суджень про завдання з аудиту, враховуючи роботу,
виконану іншими експертами.
2207 Невідповідності та незаконні дії — Мета цієї настанови полягає у
наданні фахівцям з аудиту та підтвердження довіри до ІС вказівок щодо того, як
боротися з невідповідностями та незаконними діями.
Ця настанова описує обов’язки керівництва і фахівців з аудиту та
підтвердження довіри до ІС щодо невідповідностей та незаконних дій. Окрім
того, вона надає вказівки щодо того, як боротися з невідповідностями та
незаконними діями при плануванні та здійсненні аудиторської роботи, а також
описує передовий досвід внутрішнього та зовнішнього звітування щодо
невідповідностей та незаконних дій.
2208 Вибірка — Мета цієї настанови полягає у наданні фахівцям з аудиту та
підтвердження довіри до ІС вказівок щодо планування та здійснення
аудиторської вибірки та оцінювання її результатів. Належна вибірка та
оцінювання сприятимуть виконанню вимог щодо достатності та відповідності
доказів.
подробнее: стр. 84-132 документа ITAF
25. Настанови щодо звітування. Стандарти ITAF.

Настанови щодо звітування:
2401 Звітування — Ця настанова надає фахівцям з аудиту та підтвердження
довіри до ІС вказівки щодо різних типів завдань з аудиту ІС і пов’язаних з ними
звітів.
Ця настанова детально описує всі аспекти, які необхідно включати у звіти про
завдання з аудиту, і надає фахівцям з аудиту та підтвердження довіри до ІС
фактори, які необхідно враховувати при підготовці проектів і завершенні
формування звітів про аудиторські завдання.
2402 Подальша діяльність — Мета цієї настанови полягає у наданні фахівцям
з аудиту та підтвердження довіри до ІС вказівок щодо відстеження за умови
вжиття керівництвом відповідних своєчасних заходів щодо рекомендацій та
аудиторських результатів, наведених у звітах.
26. Настанови з виконання . Стандарти ITAF.

повтор вопроса №24
27. Планування завдань. Стандарти ITAF.
1201 Планування завдань
Положення 1201.1 Фахівці з аудиту та підтвердження довіри до ІС повинні
планувати кожне завдання з аудиту та підтвердження довіри до ІС таким чином,
щоб воно відповідало:
• цілі (цілям), обсягу, часовим рамкам і запланованим результатам;
• діючим законам і професійним стандартам аудиту;
• застосуванню ризик-орієнтованого підходу, де це можливо;
• питанням, що виникають у зв’язку зі специфікою завдань;
• вимогам до документації та звітності.
1201.2 Фахівці з аудиту та підтвердження довіри до ІС повинні розробляти та
документально оформляти для кожного проекту план завдань з аудиту та
підтвердження довіри до ІС, що описує:
• характер, цілі та часові рамки завдань, а також потреби у ресурсах;
• терміни проведення та обсяг аудиторських процедур, необхідних для
виконання завдань.
Ключові аспекти
Фахівці з аудиту та підтвердження довіри до ІС повинні:
• розуміти вид діяльності, який підлягає аудиту; обсяг необхідних знань
повинен визначатися у відповідності до характеру організації, її середовища,
сфер ризику та цілей завдань;
• розглядати настанови та вказівки щодо об’єкта перевірки в рамках
законодавчих і нормативних актів, правил, вказівок і настанов, виданих
урядовими органами чи галузевими групами;
• проводити оцінку ризиків для забезпечення достатньої впевненості у
тому, що під час виконання завдань будуть охоплені всі важливі складові; після
того можуть бути встановлені стратегії аудиту, рівні суттєвості та потреби у
ресурсах;
• за допомогою відповідних методик управління проектом розробити
проектний план завдань, щоб забезпечити виконання діяльності згідно з
графіком і в рамках бюджету;
• включати у план питання, що виникають у зв’язку зі специфікою
завдань, як, наприклад:
– наявність ресурсів та необхідних знань, навичок і досвіду;
– визначення інструментів, необхідних для збору доказів,
проведення тестувань і підготовку / підсумовування інформації для
формування звітності;
– критерії оцінювання, які будуть застосовуватися;
– вимоги до звітування та розповсюдження;
• документально оформляти проектний план завдань з аудиту та
підтвердження довіри до ІС для чіткого визначення:
– цілі (цілей), обсягу, термінів виконання завдань;
– ресурсів;
– ролей та обов’язків;
– виявлених сфер ризику та їх впливу на план завдань;
– інструментів та технік, що будуть застосовуватися;
– майбутніх опитувань для встановлення фактів;
– відповідної інформації, що буде отримана;
– процедур перевірки та підтвердження отриманої інформації та її
використання як доказів;
– припущень стосовно підходів, методик, процедур та очікуваних
результатів і висновків;
• встановлювати графіки виконання завдань, максимально враховуючи
терміни проведення завдань, доступність та інші зобов’язання і вимоги
керівництва та організації, яка підлягає аудиту;
• під час виконання завдань з аудиту та підтвердження довіри до ІС
коригувати проектний план відповідно до виникаючих ситуацій, таких як нові
ризики, неправильні припущення чи результати здійснених процедур;
• виконуючи внутрішні завдання:
– надавати організації, яка підлягає аудиту, статут аудиту; за
необхідності, застосовувати контракт чи його аналог для подальшого
уточнення чи підтвердження участі у виконанні окремих завдань;
– надавати організації, яка підлягає аудиту, план, щоб вона була
повною мірою проінформована і мала змогу, за необхідності,
забезпечувати доступ до осіб, документації та інших ресурсів;
• виконуючи зовнішні завдання:
– готувати окремі контракти для кожного зовнішнього завдання з
аудиту та підтвердження довіри до ІС;
– готувати проектний план для кожного зовнішнього завдання з
аудиту та підтвердження довіри до ІС; такий план повинен, щонайменше,
документально оформляти ціль (цілі) та обсяг завдань.
28. Оцінювання ризиків у плануванні. Стандарти ITAF.

1202 Оцінювання ризиків у плануванні
Положення
1202.1 Функція аудиту та підтвердження довіри до ІС повинна застосовувати
необхідний підхід до оцінювання ризиків та відповідну допоміжну методику
для розроблення загального плану аудиту ІС і визначення пріоритетів для
ефективного розподілу ресурсів аудиту ІС.
1202.2 При плануванні індивідуальних завдань фахівці з аудиту та
підтвердження довіри до ІС повинні визначати та оцінювати ризики, пов’язані зі
сферою, що перевіряється.
1202.3 Фахівці з аудиту та підтвердження довіри до ІС повинні враховувати
ризики, пов’язані з об’єктом перевірки, ризики аудиту та інші відповідні ризики
для організації. Ключові аспекти
При плануванні поточної діяльності функція аудиту та підтвердження довіри до
ІС повинна:
• щорічно проводити та документально оформляти оцінювання ризиків
для розробки плану аудиту ІС;
• включати в оцінку ризиків стратегічні плани та цілі організації, а також
її структуру управління ризиками та ініціативи;
• для кожного завдання з аудиту та підтвердження довіри до ІС
визначати та підтверджувати кількість ресурсів, необхідних для проведення
аудиту ІС, щоб відповідати вимогам завдань;
• розробляючи та виконуючи певні завдання з аудиту та підтвердження
довіри до ІС, оцінювати ризики при виборі сфер і складових, необхідних для
проведення аудиту, а також при прийнятті рішень;
• надавати оцінку ризиків на затвердження зацікавленим та іншим
відповідним сторонам;
• на основі оцінки ризиків визначати пріоритети та встановлювати графік
роботи з аудиту та підтвердження довіри до ІС;
• на основі оцінки ризиків розробляти план, що:
– буде основою для діяльності у сфері аудиту та підтвердження
довіри до ІС;
– розглядатиме вимоги та діяльність, не пов’язані з аудитом та
підтвердженням довіри до ІС;
– щорічно переглядатиметься та затверджуватиметься особами,
відповідальними за корпоративне управління;
– описуватиме обов’язки, встановлені у статуті аудиту.
При плануванні індивідуальних завдань фахівці з аудиту та
підтвердження довіри до ІС повинні:
• визначати та оцінювати ризики, пов’язані з об’єктом перевірки;
• проводити попередню оцінку ризиків, пов’язаних з об’єктом перевірки,
для кожного завдання; цілі кожного окремого завдання повинні відображати
результати цієї попередньої оцінки ризиків;
• при розгляді сфер ризику та плануванні окремого завдання
враховувати результати попередніх аудитів, перевірки та результати, у тому
числі усі коригуючи заходи; окрім того, враховувати загальний процес оцінки
ризиків радою директорів підприємства;
• при плануванні та проведенні аудиту ІС намагатися зменшити ризики
аудиту до прийнятного рівня та відповідати аудиторським цілям шляхом
належної оцінки об’єкта перевірки ІС і пов’язаних контролів;
• при плануванні окремої процедури з аудиту ІС усвідомлювати, що чим
нижчий поріг суттєвості, тим точніші аудиторські очікування та більші ризики
аудиту;
• для забезпечення додаткової впевненості зменшувати ризики та
підвищувати поріг суттєвості шляхом розширення тестування контролів
(зменшення ризиків системи контролю) та / або розширення процедур перевірки
на суттєвість (зменшення ризиків невиявлення помилок).
29. Ефективність і нагляд. Стандарти ITAF.
1203 Ефективність і нагляд
Положення
1203.1 Фахівці з аудиту та підтвердження довіри до ІС повинні здійснювати
роботу у відповідності до затвердженого плану аудиту ІС для того, щоб охопити
виявлені ризики, та в рамках узгоджених процедур.
1203.2 Фахівці з аудиту та підтвердження довіри до ІС повинні забезпечити
контроль за роботою персоналу аудиту, який вони курують, щоб досягти цілей
аудиту у відповідності до діючих професійних стандартів аудиту.
1203.3 Фахівці з аудиту та підтвердження довіри до ІС повинні братися за
виконання тільки таких задач, які можна завершити за допомогою уже наявних
знань і навичок, або якщо вони мають обґрунтовані очікування щодо набуття
таких навичок у процесі роботи чи виконання задач під наглядом.
1203.4 Для досягнення цілей аудиту фахівці з аудиту та підтвердження довіри
до ІС повинні отримати достатні та відповідні докази. Результати та висновки
аудиту повинні супроводжуватись відповідним аналізом і тлумаченням таких
доказів.
1203.5 Фахівці з аудиту та підтвердження довіри до ІС повинні документально
оформляти процес аудиту, описуючи аудиторську роботу та аудиторські докази,
що обґрунтовують результати та висновки.
1203.6 Фахівці з аудиту та підтвердження довіри до ІС повинні визначати та
робити висновки щодо результатів.
Фахівці з аудиту та підтвердження довіри до ІС повинні:
• доручати завдання членам групи, навички та досвід яких відповідає
потребам завдань;
• за необхідності, залучати зовнішні ресурси до роботи групи, що
займається аудитом ІС, і забезпечувати належний контроль за здійсненням
роботи;
• під час виконання завдань управляти ролями та обов’язками окремих
членів групи, що проводить аудит ІС, визначаючи, щонайменше:
– ролі виконавців і перевіряючих;
– обов’язок щодо розробки методик і підходів;
– створення програм аудиту та підтвердження довіри;
– проведення роботи;
– вирішення гострих ситуацій, ускладнень і проблем у процесі їх
виникнення;
– документальне оформлення та роз’яснення результатів;
– написання звітів;
• забезпечувати перевірку кожної задачі, виконаної членом (членами)
групи, іншим відповідним членом групи;
• застосовувати найкращі доступні аудиторські докази у відповідності до
важливості аудиторських цілей, а також часу та зусиль, витрачених на
отримання доказів;
• отримувати додаткові докази, якщо згідно із професійним судженням
фахівця отримані докази не відповідають критеріям достатності та відповідності
для формування професійної думки або підтвердження результатів і висновків;
• організовувати та документально оформляти роботу, що здійснюється
під час виконання завдань, дотримуючись попередньо визначених,
документально оформлених і затверджених процедур;
• документально оформляти:
– цілі аудиту та обсяг роботи, програму аудиту, кроки, зроблені
під час аудиту, зібрані докази, результати, висновки та рекомендації;
– деталі, достатні для того, щоб розсудлива інформована особа
могла знову виконати задачі, що мали місце під час здійснення роботи, та
дійти тих самих висновків;
– хто виконав кожну задачу, а також роль цієї особи у підготовці
та перевірці документації; – дати підготовки та перевірки документації;
• отримувати від організації, що підлягає аудиту, відповідні письмові
звернення, які чітко деталізують важливі сфери завдань, питання, що виникали,
та їх вирішення, а також твердження, зроблені організацією, що підлягає
аудиту;
• визначити, чи організація, що підлягає аудиту, підписала та
продатувала свої звернення, щоб підтвердити прийняття обов’язків щодо
завдань;
• документально оформляти та зберігати у робочій документації всі
отримані під час проведення завдань звернення, як письмові, так і усні.
30. Суттєвість та Докази. Стандарти ITAF.

1204 Суттєвість
Положення
1204.1 При плануванні завдань фахівці з аудиту та підтвердження довіри до ІС
повинні враховувати потенційні вразливі місця та відсутність контролів, а також
те, чи можуть призвести до значного порушення чи суттєвого недоліку такі
вразливі місця та відсутність контролів.
1204.2 При визначенні характеру, часових рамок та обсягу процедур аудиту
фахівці з аудиту та підтвердження довіри до ІС повинні враховувати суттєвість
аудиту та її зв’язок із ризиками аудиту.
1204.3 Фахівці з аудиту та підтвердження довіри до ІС повинні враховувати
сукупний ефект незначного браку контролів і вразливих місць, а також те, чи
така відсутність контролів може перерости у значне порушення чи суттєвий
недолік.
1204.4 У своїх звітах фахівців з аудиту та підтвердження довіри до ІС повинні
розкривати наступне:
• відсутність контролів чи їх неефективність;
• значущість проблеми порушення контролів;
• ймовірність того, що такі вразливі місця призведуть до значного
порушення чи суттєвого недоліку.
При виконанні завдань фахівці з аудиту та підтвердження довіри до ІС повинні:
• застосовувати концепцію суттєвості при:
– плануванні та виконанні завдань;
– оцінці впливу окремих складових, процесів або помилок;
Будь-яке порушення, недолік чи брак відповідних політик, процедур і
контролів необхідно розглядати в рамках конкретних ситуацій, що
виникають під час виконання завдань;
• враховувати визначення суттєвості, надане законодавчими чи
регуляторними органами;
• враховувати те, що оцінка суттєвості та ризиків аудиту час від часу
може відрізнятися залежно від обставин та зміни середовища;
• при плануванні та виконанні завдання намагатися зменшити ризики
аудиту до прийнятного рівня та досягнути його цілей;
• враховувати суттєвість при визначенні характеру, часових рамок та
обсягу аудиторських процедур;
• зменшувати ризики аудиту для підвищення порогу суттєвості
предметних сфер шляхом розширення тестування контролів (зменшення
ризиків системи контролю) та / або розширення процедур перевірки на
суттєвість (зменшення ризиків невиявлення помилок);
• оцінювати вплив компенсуючих контролів та їх ефективність при
визначенні того, чи проблема порушення контролів або поєднання таких
проблем є суттєвим недоліком;
• при визначенні суттєвості враховувати сукупний ефект різних помилок
і недоліків контролів;
• враховувати не тільки розмір, а й характер проблем порушення
контролів, а також обставини їх виникнення, оцінюючи їх загальний
вплив на професійну думку чи висновки фахівця.
1205 Докази
Положення
1205.1 Фахівці з аудиту та підтвердження довіри до ІС повинні отримати
достатні та відповідні докази, щоб зробити обґрунтовані висновки, на які
спиратимуться результати завдань.
оцінювати достатність отриманих доказів для обґрунтування висновків і
досягнення цілей завдань.
Виконуючи завдання, фахівці з аудиту та підтвердження довіри до ІС
повинні:
• отримати достатні та відповідні докази, у тому числі вказати:
– виконані процедури;
– результати виконаних процедур;
– вихідну документацію (в електронному чи паперовому
форматі), записи та підтверджуючу інформацію для
обґрунтування завдань;
– висновки та результати завдань;
– документацію про виконання роботи у відповідності до
діючих законів, нормативних документів і політик;
• підготувати документацію, яка повинна:
– зберігатися і бути доступною у період та у форматі, що
відповідає політиці організації щодо аудиту та підтвердження
довіри, а також відповідним професійним стандартам, законам і
нормативним документам;
– бути захищеною від несанкціонованого розкриття та
зміни протягом її підготовки та зберігання;
– бути знищеною належним чином після завершення
періоду її зберігання;
• при отриманні доказів після перевірки контролів враховувати їх
достатність для обґрунтування оціненого рівня ризиків системи
контролю;
• належним чином визначати, зіставляти та каталогізувати
докази;
• при оцінці надійності доказів враховувати їхні властивості, такі
як джерело, характер (наприклад, письмові, усні, візуальні,
електронні) та автентичність (наприклад, електронні та
власноручні підписи, печатки);
• розглядати найбільш економічно ефективні засоби збору
необхідних доказів з мінімальними затратами часу, щоб
відповідати цілям і ризикам, пов’язаним із завданнями; однак, ні
ускладнення, ні ціна не повинні бути причиною нехтування
необхідними процедурами;
• вибирати найбільш відповідні процедури збору доказів в
залежності від об’єкта перевірки (тобто його характеру, часових
рамок для проведення аудиту, професійних суджень); процедури,
які використовують для отримання доказів:
– опитування та підтвердження;
– повторне проведення;
– перерахунки;
– підрахунки;
– аналітичні процедури;
– перевірки;
– спостереження;
– інші загальноприйняті методи;
• розглядати джерело та характер будь-якої отриманої інформації
для оцінки її надійності та виконання вимог до її подальшого
підтвердження; загалом, надійність доказів більша, якщо вони:
– надані у письмовій, а не усній формі;
– отримані з незалежних джерел;
– отримані фахівцями, а не організацією, що підлягає
аудиту;
– засвідчені незалежною стороною;
– зберігаються незалежною стороною;
– є результатом перевірки;
– є результатом спостережень;
• отримувати об’єктивні докази, достатні для того, щоб
кваліфікована незалежна сторона могла знову здійснити перевірку
та дійти тих самих результатів і висновків;
• отримувати докази, що відповідають суттєвості знахідки, а
також наявним ризикам;
• звертати належну увагу на точність і повноту інформації, якщо
фахівець з аудиту та підтвердження довіри до ІС отримав її від
організації для виконання аудиторських процедур;
• розкривати інформацію про будь-які ситуації, в яких неможливо
отримати достатні докази у спосіб, що відповідає звітуванню результатів
завдань з аудиту та підтвердження довіри до ІС;
• гарантувати безпеку доказів від несанкціонованого доступу та
змін;
• після завершення роботи з аудиту та підтвердження довіри до
ІС зберігати докази згідно з усіма діючими законами, нормативними
документами та політиками.
31. Невідповідності та незаконні дії. Стандарти ITAF.

Невідповідності та незаконні дії
1.Невідповідності та незаконні дії можуть впливати безпосередньо на
організацію різними
(негативними) способами. Таким чином, важливо, щоб організація мала
механізми інформування, попередження та виявлення невідповідностей та
незаконних дій для їх швидкого визначення.
2. Співробітники будь-якого рівня організації можуть призводити до
виникнення невідповідностей і незаконних дій, включаючи, але не
обмежуючись:
• шахрайством, що є будь-якою дією, пов’язаною з обманом, з метою отримання
незаконної вигоди;
• діями, пов’язаними із недотриманням законів і нормативних документів,
включаючи
невідповідність систем ІТ діючим законам і нормативним документам;
• несанкціонованим розкриттям даних, які підпадають під закони про
конфіденційність;
• діями, пов’язаними із недотриманням умов договорів і контрактів організації з
третіми
сторонами;
• маніпуляціями, фальсифікаціями, підробками або зміною записів і документів;
• приховуванням або замовчуванням впливу транзакцій у записах чи
документах;
• неприйнятним або навмисним витоком конфіденційної інформації;
3 Як правило, визначення незаконності певних дій ґрунтується на
рекомендаціях інформованих експертів, компетентних у сфері юриспруденції,
або на заключному рішенні суду загальної юрисдикції.
4 Не всі невідповідності вважаються шахрайськими діями. Шахрайські
невідповідності включають, але не обмежуються:
• навмисним обходом контролів з метою приховання шахрайства;
• несанкціонованим використанням активів або послуг;
• співучастю або сприянням у прихованні таких видів діяльності.
• навмисне порушення регуляторних вимог;
• навмисні недостовірності або упущення інформації стосовно сфери, яка
підлягає аудиту, або організації в цілому;
Невідповідність та незаконні дії при плануванні завдань:
1.При підготовці оцінювання фахівці повинні враховувати наступні фактори:
• характеристики організації, наприклад, корпоративну етику, організаційну
структуру, адекватність нагляду, структури компенсацій та винагород, обсяг
впливу на загальну результативність діяльності організації або напрямок
діяльності організації;
• історію організації, випадки виявлення невідповідностей у минулому та
подальші заходи, пов’язані зі зменшенням або мінімізацією результатів таких
невідповідностей;
• нещодавні зміни керівництва, діяльності або ІС і поточний стратегічний
напрямок діяльності організації;
• вплив нових стратегічних партнерств;
• типи активів або послуг, що надаються, та схильність до виникнення
невідповідностей;
• оцінювання ефективності відповідних контролів і вразливості організації до
обходу або
нехтування встановленими контролями;
• діючі регуляторні або юридичні вимоги;
• внутрішні політики, наприклад, політику корпоративного інформування,
політику інсайдерської торгівлі та кодекс етики співробітників і керівництва;
• взаємодію зацікавлених осіб та фінансові ринки;
• кадровий потенціал;
• конфіденційність і цілісність інформації, важливої для ринку;
• результати попередніх аудитів;
• галузеве та конкурентне середовище діяльності організації;
2.В рамках процесу планування та проведення оцінки ризиків фахівці повинні
консультуватися з керівництвом і, за необхідності, отримувати його письмові
звернення щодо:
• розуміння ним рівня ризику виникнення невідповідностей і незаконних дій в
організації;
• відомої йому інформації про невідповідності та незаконні дії, які мали чи
могли мати місце в організації чи проти неї;
• його відповідальності за розробку та впровадження внутрішніх контролів для
запобігання невідповідностям і незаконним діям;
• відстеження та управління ризиком невідповідностей і незаконних дій;
• наявності діючих процесів, пов’язаних зі звітуванням відповідним
зацікавленим сторонам про сумнівні, припустимі чи існуючі невідповідності або
незаконні дії;
32. Вибірка контролю. Стандарти ITAF.
Вибірка:
1.При формуванні професійної думки чи висновків фахівці, як правило,
перевіряють не всю доступну інформацію.
2. Застосовуючи статистичні або нестатистичні методи вибірки, фахівці повинні
планувати і здійснювати аудиторську вибірку, виконувати аудиторські
процедури та оцінювати результати вибірки з метою отримання достатніх і
відповідних доказів для формування висновків.
Планування вибірки:
1.Плануючи розмір і структуру аудиторської вибірки, фахівці повинні
враховувати конкретні цілі аудиту ІС, аудиторські процедури, за допомогою
яких можна досягти такі цілі, характер сукупності значень, відповідні підгрупи
такої сукупності значень, а також методи вибірки та її здійснення.
2.При плануванні аудиторської вибірки, окрім цілей аудиту ІС, фахівці повинні
враховувати:
• призначення вибірки;
• елементи вибірки;
• сукупність значень;
• ризики вибірки та її розмір;
• припустимі помилки;
3. Фахівці повинні враховувати мету формування вибірки.
4. Елементи вибірки залежать від її призначення. При перевірці контролів на
відповідність, коли елементами вибірки є події або транзакції,атрибутивна
вибірка, як правило, застосовується для визначення характеристик
сукупності значень.
5. Сукупність значень є всією множиною даних, з якої фахівці роблять вибірку
для формування висновків щодо сукупності значень
6. Для ефективного та дієвого планування вибірки може знадобитися
стратифікація вибірки.
7. При визначенні розміру вибірки фахівці повинні враховувати ризики вибірки,
прийнятну кількість помилок та їх очікуваний обсяг.
8. На розмір вибірки впливає рівень її ризиків, який має бути прийнятним для
фахівців.
9. Припустимі помилки – це максимальні помилки сукупності значень, які є
прийнятними для фахівців і дозволяють досягти цілей перевірки.
10. Якщо фахівці вважають ймовірною наявність помилок у сукупності значень,
необхідно оцінювати більшу вибірку, ніж у випадку відсутності помилок.
11. За необхідності, фахівці повинні розглядати потребу залучення фахівців до
розробки та аналізу комплексних підходів до вибірки.
12. Якщо фахівці приходять до висновків, що вибірка не дозволяє досягти цілі
аудиту ІС, і
необхідна перевірка всієї сукупності значень.
Здійснення вибірки:
1 Фахівці повинні забезпечити повноту сукупності значень і контролювати
здійснення вибірки з метою дотримання аудиторської незалежності.
2. Оскільки вибірка представляє всю сукупність значень, кожний елемент
вибірки із цієї сукупності повинна мати однакову або відому ненульову
ймовірність потрапляння у вибірку.
3. Нестатистична вибірка є підходом фахівців, які для визначення вибірки
застосовують
власний досвід, знання і професійні судження.
Оцінювання результатів вибірки:
1. Після виконання аудиторських процедур, відповідних для досягнення цілей
аудиту ІС, для кожного елемента вибірки фахівці повинні проаналізувати всі
можливі помилки, виявлені у вибірці
2. Усі можливі помилки, виявлені у вибірці, необхідно перевірити.
3. Фахівці повинні враховувати планування результатів вибірки на загальну
сукупність значень за допомогою методу планування разом із методом
формування пробної вибірки.
4. Фахівці повинні враховувати, чи помилки у сукупності значень можуть
перевищувати припустимі помилки, шляхом порівняння спроектованих на
сукупність значень помилок з оціненими або визначеними припустимими
помилками.
33. Типові види ІТ- аудиту для державних установ.
Існує багато видів ІТ-аудитів. Найбільш поширені ІТ-аудити такі:
a) ІТ-аудит безпеки (конфіденційність, цілісність і доступність): Ідеться не
тільки про безпеку інформації у системі чи прикладній програмі, а й також про
те, як організована безпека інформації, цілісність систем та розподіл
відповідальності в державній установі. b) ІТ-аудит якості (результативність,
ефективність): У цьому ІТаудиті розглядається якість інформаційної системи,
прикладної програми або/і бізнес процесів. Можуть бути корисними COBIT5,
GTAG-8 і Загальна програма аудиту/гарантії прикладних програм.
c) Аудит ІТ-проекту, під час якого внутрішній аудитор перевіряє управління та
організацію ІТ-проекту, наприклад, запровадження інформаційної системи.
Важливими аспектами для оцінки є: організація проекту, планування, персонал і
його обов’язки, кошти, час, управління діяльністю та змінами.
d) Аудит розробки систем: аудит для перевірки, чи системи, які
розробляються, відповідають цілям організації, та для гарантії того, що системи
розробляються відповідно до загально прийнятих стандартів розробки систем.
e) Аналіз даних: не зовсім ІТ-аудит, але часто це частина фінансового аудиту.
ІТ-аудитор може виконувати функцію підтримки в аналізі фінансових даних.
Завдання ІТ-аудитора полягає у виокремленні та зборі фінансової інформації з
бази даних інформаційної системи, у запитах та звітах, необхідних для аналізу
фінансових даних.
Взагалі існує багато думок щодо класифікації функціональних видів ІТаудитів.
Зокрема, виділяють ще такі види:
Аудит заходів контролю (controls review) – детальна перевірка ручних й
автоматизованих заходів контролю з метою оцінки рівня достовірності
виконаних транзакцій і звітів, що були згенеровані відповідними системами;
Судовий аудит (forensic audit) – аудит, що проводиться у випадку підозр у
шахрайстві, незаконних діях або порушеннях політики і правил, затверджених в
організації. Збір аудиторських доказів здійснюється за допомогою застосування
відповідних засобів для відновлення захисту від таких пристроїв, як кишенькові
електронні помічники (PDAs), мобільні телефони тощо, які можуть бути
використані для незаконних дій.
34. Типові заходи контролю IT: загальні заходи контролю і заходи
контролю за прикладними програмними продуктами.
Розрізняють дві широкі групи заходів контролю інформаційних систем,
зокрема:
a) Загальні заходи контролю;
b) Заходи контролю за прикладними програмами.
Ці заходи контролю також оцінюються під час ІТ-аудиту.
Загальні заходи контролю
Цілі загальних заходів контролю полягають у належній розробці та
впровадженні прикладних програм, а також у цілісності програм, файлів даних і
комп’ютерних операцій. Ці процеси використовує функція ІТ для управління та
контролю ІТ-середовища (персонал, процеси і технології).
Головні категорії загальних заходів контролю такі:
a) Планування і управління програмою безпеки: забезпечує рамкові основи та
безперервний цикл заходів для управління ризиками, розробки правил безпеки,
делегування обов’язків і моніторингу ефективності заходів контролю;
b) Заходи контролю щодо функціонування центру даних: напр., заходи
контролю щодо придбання і впровадження системного програмного
забезпечення та засобів телекомунікаційного програмного забезпечення;
програмного забезпечення графіку робіт, дій операторів, баз даних;
c) Заходи контролю щодо безпеки доступу: заходи контролю, які запобігають
неналежному і неавторизованому використанню інформаційної системи;
d) Заходи контролю щодо обслуговування систем: заходи контролю щодо
методології розробки, в тому числі структури інформаційної системи, вимог до
документації, управління змінами;
e) Розподіл обов’язків стосується правил, процедур та управлінської структури
для управління та контролю з покладанням на різних осіб відповідальності за
ініціювання та запис транзакцій.
Заходи контролю за прикладними програмами
Заходи контролю за прикладними програмами стосуються різних та спеціальних
структур, правил і процедур, які безпосередньо пов’язані з конкретними
прикладними програмами та призначені контролювати обробку даних.
Ціль заходів контролю за прикладними програмами полягає у забезпеченні того,
що:
● Введення даних є точним, вичерпним, авторизованим і правильним;
● Дані обробляються належним чином у прийнятний часовий проміжок;
● Збережені дані точні та вичерпні;
● Видані дані точні та вичерпні;
● Записується процес проходження даних від вводу до зберігання, і до
можливої видачі.
● Заходи контролю щодо вводу – використовуються здебільшого для
перевірки цілісності даних, які вводяться в прикладну бізнес-програму як
безпосередньо персоналом, так і віддалено бізнес-партнером.
● Заходи контролю щодо обробки даних – забезпечують автоматизованим
засобом гарантії вичерпної, точної і авторизованої обробки даних.
● Заходи контролю щодо видачі даних – охоплюють результат обробки
даних і мають порівнювати результати видачі із запланованим
результатом, перевіряючи видані дані із введеними даними.
● Заходи контролю щодо цілісності – здійснюють моніторинг даних, які
обробляються і зберігаються для забезпечення їхньої узгодженості та
правильності.
● Управлінський слід – обробка історії заходів контролю, яка дає
керівництву можливість визначати транзакції та події, які записуються
шляхом відстеження транзакцій від джерела до видачі даних та у
зворотному порядку.
35. Критерії, основи та інструменти аудиту.
Критерії аудиту – це принципи (або норми), які використовуються для
оцінки чи тестування об’єкта аудиту, та якщо необхідно для презентації або
повідомлення результатів аудиту. Мета розробки набору критеріїв аудиту
полягає у створенні набору норм для відображення реальності. Критерії аудиту
узгоджуються з керівництвом.
Критерії аудиту вказують на об’єкт аудиту, як правило, це спеціально
розроблена основа /робоча програма для ІТ- аудитора.
Набір критеріїв аудиту може бути поєднанням наступного:
· Наприклад такі основи , як COBIT5 (як правило витяг з неї);
· Вимога з внутрішнього положення або законодавства;
Процес/правила/процедури організації ІТ процесу або їх частина
Основи ІТ- аудиту.
Для обрання правильної основи ІТ- аудитор має вирішити, яка основа
найбільш підходить по відношенню до ІТ- об’єкта. Наприклад:
· Якщо ІТ- об’єкт – це Безпека, то найкращий вибір - ISO/IEC 27001.
· Якщо ІТ- об’єкт – це Проект, то найкращий вибір - PRINCE 2.
· Якщо ІТ- об’єкт – це Заходи контролю за прикладними програмами,
то найкращий вибір – це GTAG-8 або Загальна програма аудиту/гарантії
прикладних програм.
· Якщо ІТ- об’єкт – це якість процесів ІТ- департаменту, тоді,
ймовірно, ITIL – це найкраща основа.
Із цих основ (або з іншої основи за бажанням), ІТ- аудитор може вибрати
необхідну та правильну інформацію для визначення критеріїв аудиту, у
послідовності наступних кроків:
1. "Зрозуміти середовище": зібрати актуальну інформацію, щоб
зрозуміти організацію та її ІТ- інфраструктуру, прикладні програми, ІТ-
процеси, ІТ- організацію, тощо.
2. Визначити і класифікувати ризики, пов’язані з ІТ- об’єктом та обсяг
ІТ- аудиту. Наприклад: якщо обсяг "безпека", то актуальні ризики - втрата
конфіденційності, цілісності та доступності інформації. Та якщо, наприклад,
"доступність" не охоплюється ІТ- аудитом, то відсутня необхідність робити
наступний крок щодо доступності.
3. Обрати заходи контролю, які очікуються в ІТ- організації та ІТ-
системі щодо ІТ- об’єкта. Це критерії аудиту, які використовуватиме аудитор.
4. Побудувати основу ІТ- аудиту з цими критеріями аудиту.
Основи (стандарти, норми), які використовуються під час проведення ІТ-
аудиту:
· COBIT 5.
· ITIL V3.
· PRINCE 2.
· ASL.
· BiSL.
· ISO/IEC 27001 і 27002\27004\27006\27007\27008.
· Керівництво з аудиту глобальних технологій 8.
· Загальна програма аудиту/гарантії прикладних програм.
ІТ- аудитору слід володіти достатніми знаннями щодо того, де їх
застосовувати та які сфери вони охоплюють.
Набір інструментів ІТ- аудиту для конкретних завдань.
Інструменти аудиту стають дедалі важливішими для ІТ- аудитора. ІТ-
середовища, прикладні програми, транзакції та інше настільки складні в наш
час, що інструменти аудиту важливі для розуміння функціонування
інформаційних систем. Для кожного ІТ- аудиту аудитор має вирішити, чи
потрібні йому спеціальні інструменти і які саме. ІТ- аудитор має враховувати,
чи він може проводити аудит щодо усіх актуальних аспектів об’єкта ІТ- аудиту і
чи може виявити усі факти, не використовуючи інструментів.
Офіційна назва для спеціальних інструментів аудиту –
Інструменти і прийоми комп'ютеризованої підтримки аудиту
(CAATTs).
Використання CAATTs означає, що ІТ- аудитор використовує комп’ютерні
прикладні програми для автоматизації та сприяння ІТ- аудиту для обробки
даних, важливих для аудиту, які містяться в інформаційній системі.
36. Критерії аудиту БІТ: норми контролю ІБ, інструменти вимірювання
відповідності.
Для проведення ІТ- аудиту аудитору необхідний належний набір критеріїв
аудиту, які можна застосувати до об’єкта ІТ- аудиту.
Критерії аудиту – це принципи (або норми), які використовуються для
оцінки чи тестування об’єкта аудиту, та якщо необхідно для презентації або
повідомлення результатів аудиту. Мета розробки набору критеріїв аудиту
полягає у створенні набору норм для відображення реальності. Критерії
аудиту узгоджуються з керівництвом.
Набір критеріїв аудиту може бути поєднанням наступного:
Ø Наприклад такі основи , як COBIT5 (як правило витяг з неї);
Ø Вимога з внутрішнього положення або законодавства;
Ø Процес/правила/процедури організації ІТ процесу або їх частина.
Важливо, щоб ІТ- аудитор знав, що він повинен обрати правильні критерії
аудиту на основі об’єкта ІТ- аудиту, його Ризиків та Межі ІТ- аудиту.
Зазвичай критерії аудиту походять з багатьох рамкових основ.
Визначення критеріїв аудиту
Критерії аудиту мають бути адаптовані до кожного окремого виду та об'єкта
ІТ- аудиту. Критерії аудиту необхідні для послідовної оцінки або вимірювання
об’єкта ІТ- аудиту для надання (професійного) аудиторського висновку.
Критеріям ІТ- аудиту притаманні наступні характеристики:
Ø актуальність: критерії аудиту є актуальними, якщо вони відповідають
діючій нормативно-правовій базі та середовищу ІТ- аудиту;
Ø повнота: критерії аудиту вичерпні, якщо не пропущено важливі фактори,
які можуть вплинути на висновки у контексті завдання;
Ø надійність: надійні критерії аудиту дозволяють зробити помірковано
послідовну оцінку або вимірювання об’єкта аудиту та обґрунтувати аудиторські
висновки;
Ø об’єктивність: об'єктивні критерії оцінки сприяють наданню
неупереджених висновків;
Ø чіткість: чіткі критерії аудиту сприяють наданню точних і однозначних
висновків, які не допускають суттєво різного трактування.
Керівництво ухвалює остаточне рішення, які критерії аудиту
використовувати. Рівень залучення керівництва до визначення критеріїв аудиту
може бути різним для кожного завдання:
Ø Низьким: можливо, керівництво вимагає використання
стандартизованої тестової основи на базі загальноприйнятих норм або
стандартів кращої практики;
Ø Високим: також можливо, що критерії аудиту становлять частину
управлінської основи як такої, наприклад, у вигляді опису об’єкта
аудиту/внутрішнього контролю в організації. У цьому випадку критерії
аудиту базуються на аналізі ризиків самою організацією, можливо,
враховуючи вимоги третіх сторін (таких як користувачі).
Загальні і спеціальні критерії аудиту.
Критерії аудиту можуть бути загальними або спеціально розробленими.
Загальні критерії аудиту передбачені законодавством або рішеннями
уповноважених чи визнаних експертних органів, які дотримуються прозорого
процесу. Спеціальні критерії аудиту розробляються для досягнення цілей
завдання.
Доступність критеріїв аудиту.
Необхідно, щоб критерії аудиту були доступними для відповідних
користувачів, щоб вони могли зрозуміти, як оцінювався або тестувався об’єкт
ІТ- аудиту.
Критерії аудиту стають доступними для відповідних користувачів
шляхом:
Ø включення їх безпосередньо у звіт;
Ø вони можуть бути оприлюдненими;
Ø включення їх чітким способом у презентацію інформації про об’єкт
ІТ- аудиту.
37. Практичні Основи ІТ- аудиту на підприємстві.
Аудиторам слід виконати такі кроки:
1. "Зрозуміти середовище": зібрати актуальну інформацію, щоб
зрозуміти організацію та її ІТ- інфраструктуру, прикладні програми, ІТ-
процеси, ІТ- організацію, тощо.
2. Визначити і класифікувати ризики, пов’язані з ІТ- об’єктом та обсяг
ІТ- аудиту. Наприклад: якщо обсяг "безпека", то актуальні ризики - втрата
конфіденційності, цілісності та доступності інформації. Та якщо, наприклад,
"доступність" не охоплюється ІТ- аудитом, то відсутня необхідність робити
наступний крок щодо доступності.
3. Обрати заходи контролю, які очікуються в ІТ- організації та ІТ-
системі щодо ІТ- об’єкта. Це критерії аудиту, які використовуватиме аудитор.
4. Побудувати основу ІТ- аудиту з цими критеріями аудиту.
Практичні основи:
● COBIT 5.
● ITIL V3.
● PRINCE 2.
● ASL.
● BiSL.
● ISO/IEC 27001 і 27002\27004\27006\27007\27008.
● Керівництво з аудиту глобальних технологій 8.
● Загальна програма аудиту/гарантії прикладних програм.
ІТ- аудитору слід володіти достатніми знаннями щодо того, де їх застосовувати
та які сфери вони охоплюють.
38. Інструменти і прийоми комп'ютеризованої підтримки аудиту
(CAATTs).
Використання C AATTs означає, що ІТ- аудитор використовує комп’ютерні
Застосування CAATTs допомагає забезпечити належне охоплення питань
щодо огляду заходів контролю за прикладними програмами, особливо, коли під
час тестового періоду мають місце тисячі або, можливо, мільйони транзакцій. У
таких випадках було б неможливо дістати адекватну інформацію у форматі,
який можна переглянути без використання автоматизованих інструментів.
Нижченаведений перелік CAATTs містить кілька прикладів інструментів.
Для кожного інструменту існують еквіваленти, які, ймовірно, не менш корисні.
Назва Короткий опис

інструменту
Аналіз Цей інструмент можна використовувати

безпеки для оцінки рівня прогалин в операційних
Microsoft системах Microsoft та важливих
налаштувань, пов’язаних з безпекою.
Витрати: безкоштовно
Тестер Цей інструмент допомагає оцінити

SSL Labs якість зашифрованого зв’язку і написати
детальний звіт. Витрати: безкоштовно
NMAP Nmap (Мережевий сканер) – це сканер

безпеки, за допомогою якого виявляють
хости і сервіси в комп’ютерній мережі,
створюючи таким чином «карту» мережі.
Витрати: безкоштовно
OWASP Zed проксі Attack (ZAP) – це легкий у

ZAP використанні інтегрований інструмент для
тестування проникання, який виявляє
вразливі місця у веб-додатках. Витрати:
безкоштовно
Splunk Splunk збирає, індексує і заносить (у

режимі реального часу) дані реєстру у
сховище пошуку, з якого може генерувати
графіки, звіти, попередження, панелі
приладів та візуалізацій. Витрати:
безкоштовно для особистого використання
(500 мегабайт на день)
Flexicon DISCO – це інструмент процесу
Disco видобутку, який дозволяє аналізувати
бізнес-процеси на основі реєстру подій.
Головна ідея – видобувати знання з реєстру
подій, записаного інформаційною системою.
Витрати: на запит, однак можна завантажити
IDEA IDEA® - це інструмент аналізу даних,

призначений допомагати аудиторам швидко
проводити аналіз даних, аби покращити
аудити і виявити недоліки системи
контролю. Важливими характеристиками є
гарантія цілісності даних та забезпечення
легкого аналізу понад 100 команд,
пов’язаних з аудитом. Витрати: на запит
Qlikview QlikView – це Платформа

бізнес-інтелекту, яку аудитори також можуть
використовувати для аналізу даних. Можна
використовувати системи Планування
ресурсів підприємства як джерело даних.
Витрати: на запит, однак можна завантажити
BWISE Це рішення для програмного

забезпечення з корпоративного управління,
ризиків та дотримання законодавства, яке
аудитори можуть використовувати для
аудиту програмного забезпечення
Планування ресурсів підприємства, таких як
SAP і Oracle EBS. Витрати: залежно від
реалізації
39. Набір інструментів ІТ- аудиту для конкретних завдань.

Інструменти аудиту стають дедалі важливішими для ІТ- аудитора. ІТ-
середовища, прикладні програми, транзакції та інше настільки складні в наш
час, що інструменти аудиту важливі для розуміння функціонування
інформаційних систем. Для кожного ІТ- аудиту аудитор має вирішити, чи
потрібні йому спеціальні інструменти і які саме. ІТ- аудитор має враховувати,
чи він може проводити аудит щодо усіх актуальних аспектів об’єкта ІТ- аудиту і
чи може виявити усі факти, не використовуючи інструментів.
Офіційна назва для спеціальних інструментів аудиту –
Інструменти і прийоми комп'ютеризованої підтримки аудиту
(CAATTs).
Використання C AATTs означає, що ІТ- аудитор використовує комп’ютерні
Застосування CAATTs допомагає забезпечити належне охоплення питань
щодо огляду заходів контролю за прикладними програмами, особливо, коли під
час тестового періоду мають місце тисячі або, можливо, мільйони транзакцій. У
таких випадках було б неможливо дістати адекватну інформацію у форматі,
який можна переглянути без використання автоматизованих інструментів.
Інструменти: Аналіз безпеки Microsoft , Тестер SSL Labs, NMAP,
OWASP ZAP, Splunk, Flexicon Disco, IDEA, Qlikview, BWISE. их описание в
ответе 38
40. Організація та впровадження процесу та етапів ІТ- аудиту.
Етапи ІТ аудиту:
1. Попереднє дослідження об'єкта аудиту та планування внутрішнього аудиту;
2. Проведення аудиту та аналіз;
3. Підготовка аудиторського звіту;
4. Відстеження результатів впровадження аудиторських рекомендацій.
Остаточним завершенням внутрішнього аудиту є етап відстеження
результатів впровадження аудиторських рекомендацій.
Основи для успішного проведення цього етапу діяльності внутрішнього
аудиту мають бути закладені при підготовці самих рекомендацій.
Для забезпечення можливості подальшого відстеження результатів їх
впровадження, самі рекомендації повинні відповідати низці ключових правил,
зокрема, вони мають:
· містити конкретні, доцільні та економічні заходи (це означає, що кошти на
проведення заходів не повинні перевищувати очікуваного ефекту);
· за кожним заходом визначати відповідальних виконавців і чіткі терміни
виконання. Якщо реалізація одного заходу, передбачає декілька виконавців усі
вони мають бути визначені, при чому для кожного з них доцільно встановити
персональні терміни. В подальшому, у разі невиконання заходу, це дозволить
чітко розмежувати сфери відповідальності та встановити хто із співвиконавців і
на якому етапі не забезпечив його реалізації;
· бути орієнтовані на конкретний результат (містити очікуваний результат їх
впровадження), досягнення якого також має бути чітко визначено у часі;
· за можливості визначати методи, періодичність та часові рамки процесу
відстеження / моніторингу.
Загалом відстеження результатів впровадження аудиторських рекомендацій
забезпечує такі основні цілі:
· підвищує результативність аудиторських звітів;
· стимулює осіб, відповідальних за реалізацію визначених заходів, до
практичного впровадження розроблених рекомендацій;
· оцінює діяльність аудиторської групи;
· стимулює ініціативу до навчання та розвитку, оскільки розроблення та
практична реалізація заходів із відстеження впровадження рекомендацій
сприяють підвищенню фахового рівня та набуттю практичного досвіду.
Виділяють чотири рівні заходів відстеження аудиторських рекомендацій:
· усне інформування – найпростіший спосіб відстеження аудиторських
рекомендацій, який передбачає регулярне спілкування із відповідальними за
впровадження рекомендацій фахівцями об'єкта аудиту, спостереження, аналіз
прогресу діяльності, тощо. Це може бути зроблено швидко, однак дає обмежені
докази вжиття заходів;
· документальне відстеження – такий спосіб передбачає офіційне листування
із відповідальними за впровадження рекомендацій фахівцями, направлення їм
періодичних нагадувань, запитів, тощо; застосування форм (опитувальників)
для одержання підтвердження від об’єкта аудиту про вжиті заходи. Письмова
відповідь забезпечує більш якісні докази вжиття заходів, але все ще потребує
незалежної перевірки внутрішніми аудиторами рівня впровадження
рекомендацій;
· фактичне відстеження – передбачає короткі візити на об’єкт аудиту та
прямий зв’язок внутрішніх аудиторів із об’єктом аудиту для збору доказів щодо
заходів із впровадження рекомендацій;
· послідуючий аудит – проведення досліджень стану впровадження
рекомендацій, наданих за результатами попередньо проведених аудитів.
Керівник підрозділу внутрішнього аудиту визначає які способи (чи їх
поєднання) застосувати для відстеження результатів впровадження
аудиторських рекомендацій в кожному окремому випадку.
Відстеження та моніторинг результатів впровадження аудиторських
рекомендацій є частиною процесу управлінської підзвітності.
Результати впровадження аудиторських рекомендацій повинні системно
відстежуватися, а реалізовані заходи повинні оцінюватися та постійно
доповідатися керівництву органу влади.
41. Стандартні Етапи контролю системи ІБ та ІТ аудиту на
підприємстві.
● 1. Попереднє дослідження об'єкта аудиту та планування внутрішнього аудиту;

● 2. Проведення аудиту та аналіз;
● 3. Підготовка аудиторського звіту;
● 4. Відстеження результатів впровадження аудиторських рекомендацій.
Процес ІТ- аудиту в зазначених аспектах не відрізняється від будь-яких інших

видів аудиту та здійснюється відповідно до тих самих кроків.
42. Підготовка програми аудиту ІТ технологій. Попередній контроль та

аналіз.
Відповідно до Національних стандартів внутрішнього аудиту, програма

внутрішнього аудиту визначає:
● Ø напрям внутрішнього аудиту;

● Ø цілі внутрішнього аудиту;
● Ø підставу для проведення внутрішнього аудиту;
● Ø період, що охоплюється внутрішнім аудитом;
● Ø термін проведення внутрішнього аудиту;
● Ø початкові обмеження щодо проведення внутрішнього аудиту (часові,
географічні та інші);
● Ø питання, що підлягають дослідженню з урахуванням оцінки ризиків
(операції, ділянки бухгалтерського обліку та внутрішнього контролю установи,
тощо);
● Ø обсяг аудиторських прийомів і процедур за кожним фактором ризику;
● Ø послідовність і терміни виконання робіт;
● Ø склад аудиторської групи;
● Ø планові трудові витрати.
Аудиторська група повинна визначати цілі аудиту шляхом відповіді на

запитання: "чому ми проводимо аудит?" Як правило, цілі аудиту вказують на те,
що керівник буде робити із результатами аудиту.
Програма внутрішнього аудиту складається у письмовому вигляді,
підписується керівником підрозділу внутрішнього аудиту та затверджується
керівником установи до початку її виконання. Внесення змін до програми
внутрішнього аудиту здійснюється в порядку її затвердження.
43. Визначення джерел та методів збору аудиторських доказів.
Методи, що реалізуються в ході аудиту, повинні бути визначені у програмі
аудиту.
Збір аудиторських доказів є необхідним елементом аудиторського

дослідження, який допомагає аудитору обґрунтувати думки та надати відповідні
аудиторські висновки.
При проведенні ІТ- аудиту збір аудиторських доказів стосується
ефективності, результативності, надійності та безпеки систем ІТ
Методи та інструменти:
● Ø аналітичний контроль;
● Ø тестування систем контролю;
● Ø документальна перевірка;
● Ø вибірка;
● Ø фактична перевірка, обстеження, спостереження, перевірка на місці;
● Ø опис процесів (побудова блок-схем);
● Ø повна перевірка (відповідності) процесу;
● Ø опитувальники /анкетування;
● Ø інтерв’ю персоналу об’єкта аудиту / залучених третіх сторін;
● Ø вивчення нормативно-правової бази, інших документів;
● Ø спеціальна перевірка, експертна оцінка.
жерела отримання інформації:

Д
● Ø нормативно-правові акти, внутрішні інструкції об’єкта аудиту;
● Ø положення про організацію, організаційна структура;
● Ø проекти планів заходів, звітів, статистичних даних, протоколів;
● Ø дані первинних документів і звітів, у яких відображена основна
інформація про процеси та операції;
● Ø звіти, документи, облікові регістри та інша інформація про транзакції /
фінансові процеси;
● Ø фінансова, бюджетна, статистична, податкова звітність;
● Ø матеріали внутрішніх та зовнішніх контрольних заходів;
● Ø дані, отримані за результатами експертних перевірок;
● Ø інші документи, матеріали та інформація.
44. Кількісний та якісний аналіз даних, формування доказової бази.

Цей крок передбачає застосування аналітичних процедур, ефективне та
дієве використання засобів для аналізу й оцінки інформації та зібраних в ході
аудиту даних.
Оцінка аудиту – це результат порівняння зібраних даних (чи аудиторських
доказів) відповідно до попередньо визначених критеріїв аудиту.
Наступним кроком є документування робочих матеріалів, тобто

одержаної в ході аудиту інформації та заходів і результатів аналізу, яка є
основою доказової бази для аудиторських знахідок, висновків/оціночних
висновків та рекомендацій.
Як правило, керівник аудиторської групи переглядає, аналізує та узагальнює

робочі документи, підготовлені членами групи.
Ці документи накопичуються та зберігаються в аудиторському файлі

(матеріалах справи внутрішнього аудиту) та повинні:
● сприяти плануванню, проведенню та нагляду за проведенням аудиту;
● документально підтверджувати інформацію та факти, викладені в
аудиторському звіті;
● документувати рівень досягнення цілей аудиту;
● складати основу для проведення щорічних оцінок якості та підготовки
програм забезпечення та підвищення якості;
● містити докази на випадок скарг, розслідувань, контролю за матеріалами
аудиту;
● сприяти професійному розвитку внутрішніх аудиторів.
Однак незалежний оцінщик, переглядаючи матеріали справи (за потреби),

повинен відтворити увесь процес аудиту та знайти відповідні аудиторські
документи, що підтверджують аудиторські знахідки, висновки та оціночні
висновки.
Справи внутрішнього аудиту (аудиторські файли) повинні містити: робочу
програму;
● план аудиту;
● аудиторський звіт;
● зібрані аудиторські докази;
● спосіб аналізу даних, яким чином аудиторська група дійшла відповідного
аудиторського висновку та рекомендації.
45. Звітування за результатами контролю якості ІБ та ІТ- аудиту.
Аудиторський звіт є найбільш важливим результатом процесу аудиту,

оскільки у ньому представлені аудиторські висновки (знахідки) та рекомендації,
які забезпечують додаткову цінність від аудиту.
Добре написаний і представлений керівництву аудиторський звіт сприяє

розумінню необхідності змін (вдосконалення) та спонукає керівництво до
вжиття відповідних коригуючих дій.
Аудиторський звіт переслідує три основні цілі:

● інформувати керівництво установи щодо результатів аудиту та стану
об'єкта аудиту;
● переконати керівництво установи, що аудиторські висновки (знахідки) та
рекомендації дієві й важливі;
● переконати керівництво установи вжити відповідні дії.
Процес підготовки аудиторського звіту має низку послідовних дій, які

представлено нижче.
1. Підготовка аудиторських висновків/знахідок.
2. Розробка аудиторських рекомендацій.
3. Підготовка проекту звіту – стандартний формат.
4. Перевірка керівником підрозділу внутрішнього аудиту.
5. Заключна зустріч із представниками об'єкта аудиту.
6. Підготовка остаточного аудиторського звіту.
7. Представлення результатів аудиту керівництву установи.
8. Представлення результатів аудиту іншим зацікавленим сторонам.
9. Підготовка Плану заходів впровадження рекомендацій

46. Відстеження результатів впровадження аудиторських рекомендацій.
Процедури контролю.
Остаточним завершенням внутрішнього аудиту є етап відстеження

результатів впровадження аудиторських рекомендацій.
Основи для успішного проведення цього етапу діяльності внутрішнього
аудиту мають бути закладені при підготовці самих рекомендацій.
Для забезпечення можливості подальшого відстеження результатів їх

впровадження, самі рекомендації повинні відповідати низці ключових правил,
зокрема, вони мають:
● містити конкретні, доцільні та економічні заходи ;
● за кожним заходом визначати відповідальних виконавців і чіткі терміни
виконання.
● бути орієнтовані на конкретний результат, досягнення якого також має
бути чітко визначено у часі;
● за можливості визначати методи, періодичність та часові рамки процесу
відстеження / моніторингу.
Дотримання цих правил на етапі формування аудиторських рекомендацій

суттєво поліпшує подальший процес відстеження результатів їх впровадження
та дозволяє демонструвати "додаткову цінність" (реальний економічний ефект)
від кожного проведеного внутрішнього аудиту.
Загалом відстеження результатів впровадження аудиторських рекомендацій

забезпечує такі основні цілі:
● підвищує результативність аудиторських звітів;

● стимулює осіб, відповідальних за реалізацію визначених заходів, до
практичного впровадження розроблених рекомендацій;
● оцінює діяльність аудиторської групи;
● стимулює ініціативу до навчання та розвитку, оскільки розроблення та
практична реалізація заходів із відстеження впровадження рекомендацій
сприяють підвищенню фахового рівня та набуттю практичного досвіду.
Виділяють чотири рівні заходів відстеження аудиторських рекомендацій:
усне інформування
документальне відстеження
фактичне відстеження
послідуючий аудит
47. Забезпечення якості системи ІБ в організації при проведенні ІТ
аудитів.
Проводячи ІТ аудити, підрозділи внутрішнього аудиту повинні забезпечити

дотримання Національних стандартів внутрішнього аудиту[1] та Кодексу етики.
Забезпечення якості – це процес відстеження цієї відповідності шляхом

оцінки процесу аудиту на різних рівнях: постійний моніторинг процесу аудиту
та періодична внутрішня та зовнішня оцінки якості.
Забезпечення якості діяльності служби внутрішнього аудиту розпочинається
із самого аудиторського процесу. Тому, аудитори повинні мати достатні
професійні навики, знання та компетенції у різних ІТ- сферах, достатні для
проведення аудиту відповідно до регламентуючих документів. Керівник служби
внутрішнього аудиту повинен забезпечити організацію необхідного розвитку
спроможностей персоналу.
Організація забезпечення якості процесу аудиту може здійснюватися у
кілька напрямків. У випадку проведення ІТ- аудиту командою, рекомендується
призначити керівника групи, який відстежуватиме відповідність регулюючим
документам протягом кожного етапу аудиту (планування, проведення аудиту,
аналіз, звітування та відстеження).
48. Система забезпечення якості ІБ.

Відповідіть у питанні 47.
49. Національних стандартів внутрішнього аудиту та Кодексу етики.
Ці Стандарти розроблено з метою визначення єдиних підходів до
провадження діяльності з внутрішнього аудиту в державних органах України
оцінки якості такого аудиту.
Ці Стандарти містять Стандарти якісних характеристик, що визначають
положення, вимоги та підходи до організації діяльності з внутрішнього аудиту,
та Стандарти діяльності, що визначають положення, вимоги та підходи до
планування, здійснення внутрішнього аудиту, звітування про його результати.
I. Стандарти якісних характеристик

Стандарт 1 «Завдання, права та обов’язки»
Стандарт 2 «Незалежність і об’єктивність»
Стандарт 3 «Професійна компетентність та ретельність»
Стандарт 4 «Забезпечення та підвищення якості»
II. Стандарти діяльності

Стандарт 5 «Сутність діяльності з внутрішнього аудиту»
Стандарт 6 «Управління діяльністю підрозділу внутрішнього аудиту»
Стандарт 7 «Планування діяльності з внутрішнього аудиту»
Стандарт 8 «Організація внутрішнього аудиту»
Стандарт 9 «Планування аудиторського завдання»
Стандарт 10 «Виконання аудиторського завдання»
Стандарт 11 «Документування перебігу та результатів внутрішнього
аудиту»
Стандарт 12 «Моніторинг врахування рекомендацій за результатами
внутрішнього аудиту»
Стандарт 13 «Звітування про діяльність підрозділу внутрішнього аудиту»
Стандарт 14 «Надання інформації про результати внутрішнього аудиту»
Кодекс професійної етики внутрішніх аудиторів
банківських установ (далі - Кодекс) встановлює правила поведінки
та принципи етики, яких має дотримуватися внутрішній аудитор
банківської установи..
Головне завдання цього Кодексу є встановлення моральних
принципів етики та поведінки внутрішнього аудитора для
забезпечення гарантії високої якості його роботи, ефективної
роботи банківської установи, а також підвищення
організаційного статусу служби внутрішнього аудиту банку.
Кодекс розроблено відповідно до етичних вимог до
професійного зовнішнього аудитора, які наведені в Кодексі
професійної етики аудиторів України ( v0073230-98 ), затвердженому
рішенням Аудиторської палати України від 18.12.98 N 73.
50. Завдання управління для інформаційних та суміжних технологій

COBIT.
COBIT 5 – це пакет стандартів і вказівок, розроблених ISACA[1], який

можуть використовувати ІТ- аудитори завдяки його вичерпності та повноті. Він
містить міжнародно-визнані завдання управління для інформаційних технологій
підприємств усіх рівнів. Недолік COBIT полягає у тому, що він охоплює дуже
багато процесів і містить великий масив інформації і матриць. Як наслідок, це
може розпорошити увагу та дезорієнтувати ІТ- аудитора.
У першу чергу COBIT 5 – це основа для корпоративного управління. Її

розроблено, щоб допомагати підприємствам діставати оптимальну цінність від
ІТ шляхом підтримки балансу між отриманням користі, оптимізацією рівнів
ризиків та використанням ресурсів. З цією метою описуються процеси для
корпоративного управління інформаційними технологіями підприємства. Ці
процеси згруповані у чотирьох розділах:
1. Узгоджувати, планувати і організовувати (APO).
2. Будувати, набувати і впроваджувати (BAI).
3. Доставляти, обслуговувати і підтримувати (DSS).
4. Здійснювати моніторинг, аналіз та оцінку (MEA).
51. Методологія та функціональність COBIT.

Орієнтація на потреби бізнесу є головною метою стандарту CobiT®. Його
розроблено не тільки заради використання сервіс-провайдерами ІТ послуг, їх
користувачами та аудиторами, але й, що більш важливо, з метою надання
універсального посібника для керівництва та власників бізнес-процесів.
Основний принцип CobiT®: Забезпечити інформацію, якої потребує
організація для досягнення своїх цілей, у яку організація повинна робити
інвестиції та надати можливість управління та контролю ІТ ресурсів з
використанням структурованої сукупності процесів, що забезпечують необхідну
організації інформацію. Управління та контроль інформації є основою
методології CobiT® та спрямовані на забезпечення відповідності вимогам
бізнесу.
COBIT 5 пропонує цілісну методологію, яка покликана допомогти у
вирішенні завдання керівництва та управління ІТ на підприємстві. COBIT
5 дає можливість керувати і управляти ІТ в масштабах всього підприємства, як в
областях функціональної відповідальності ІТ, так і бізнесу, а також дозволяє
враховувати потреби в ІТ внутрішніх і зовнішніх
зацікавлених сторін. Методологія COBIT 5 універсальна і буде корисна
підприємствам будь-якого масштабу і сфери діяльності: комерційним,
громадським і державним.
COBIT 5 заснований на п'яти принципах керівництва та управління ІТ на
підприємстві:
• Принцип 1: Відповідність потребам зацікавлених сторін.
• Принцип 2: Комплексний погляд на підприємство.
• Принцип 3: Застосування єдиної інтегрованої методології.
• Принцип 4: Забезпечення цілісності підходу.
• Принцип 5: Поділ керівництва та управління.
52. Модель COBIT 5.Етапи та процеси. Визначення, класифікація

процесів, процедури впровадження.
Особливістю COBIT є чітке розмежування процесів керівництва (governance) та
управління (management). Відповідно до COBIT версії 5 «керівництво полягає в
забезпеченні: визначення балансу і узгодженості потреб зацікавлених сторін,
умов і можливостей при досягненні цілей підприємства; завдання напряму
розвитку через пріоритизації і прийняття рішень; а також відстеження
результативності та відповідності погодженим напрямку і цілям ». У свою
чергу, «управління планує, створює, використовує та відстежує діяльність
відповідно до напряму, встановленим керівництвом для досягнення цілей
підприємства».
Горезвісні труднощі перекладу полягають в тому, що обидва терміни

(governance і management) часто переводяться однаково, і зрозуміти, що малося
на увазі, можна тільки поконтексту. Що в даному випадку з цілком зрозумілих
причин не так просто.
У процеси керівництва, а саме оцінки, завдання напряму і моніторингу входить

п'ять процесів, а в процеси управління, розділені на чотири підгрупи
(координація, планування і організація; моніторинг, оцінка та аналіз; розробка,
придбання івнедреніе; надання, обслуговування і підтримка), які відповідають
областям відповідальності підрозділів ІТ, - 32.
53. Експлуатація та супровід системи контролю.

COBIT 5 – це основа для корпоративного управління. Її розроблено, щоб
допомагати підприємствам діставати оптимальну цінність від ІТ шляхом
підтримки балансу між отриманням користі, оптимізацією рівнів ризиків та
використанням ресурсів. З цією метою описуються процеси для корпоративного
управління інформаційними технологіями підприємства. Ці процеси згруповані
у чотирьох розділах: APO, BAI, DSS, MEA.
Розділ DSS описує всі інформаційні процеси, пов'язані з експлуатацією та
супроводом і відповідає за «виявлення і класифікацію проблем, причин їх
виникнення та забезпечення своєчасного дозволу з метою запобігання їх
повторного виникнення, а також надання рекомендацій щодо можливих
поліпшень». Мета процесу - «ІТ-проблеми вирішуються способом, що виключає
їх повторне виникнення».
Досягнення ІТ-цілей в процессной моделі здійснюється через ключові практики,
описані для кожного процесу. Вони взаємопов'язані (через входи-виходи) між
собою. В рамках процесу управління проблемами рекомендується виконувати
наступні ключові практики:
DSS 03.01. Виявлення і класифікація проблем
DSS 03.02. Розслідування та діагностика проблем
DSS 03.03. Залучення уваги до відомим помилкам
DSS 03.04. Дозвіл і закриття проблем
DSS 03.05. Проведення превентивних управління проблемами
54. Висновки експерта. Складові та роль. 3.6 Приклад.

Аудиторські висновки, мають вигляд узагальненого формулювання
підтверджених доказовою базою проблем аудиту (питань аудиту/гіпотез). Для
підготовки висновку аудиторська група, як правило, також використовує
критерії, які окремо визначаються для підтвердження/не підтвердження кожної
проблеми.
Підґрунтям для формування аудиторських висновків є фактичні
знахідки, отримані в результаті аналізу аудиторських доказів, інформації
зібраної в процесі аудиту під час документування різних питань аудиторського
дослідження. В окремих випадках вони можуть бути єдиним результатом
дослідження. Зокрема, це може бути у випадку, коли аудитору ставиться
завдання оцінити чи існують певні проблеми або ризики у процесі (як
наприклад, ймовірність помилки у процесі автоматизованої обробки
інформації).
Зазвичай фактичні знахідки є частиною доказової бази аудиторського
звіту та описуються в аналітичній частині звіту, а на їх основі формулюються
При підготовці аудиторських висновків або пошуку фактичних знахідок,
знадобиться більш широкий спектр методів збору доказової бази ніж для
надання оціночного висновку.
Для формулювання аудиторського висновку та пошуку знахідок,
доцільно проводити тестування, інтерв’ю, застосування опитувальника, аналіз
документів тощо.
55. Серія Стандартів ISO / IEC 15408-1\2\3. Сфера застосування.

Стандарт, що містить загальний набір вимог щодо функцій безпеки
ІТ-продуктів та систем та щодо заходів впевненості, що застосовуються до
них під час оцінки безпеки.
Стандарт складається з трьох частин:
а) Частина 1, Вступ та загальна модель, - це вступ до ISO / IEC 15408. Він

визначає загальні концепції та принципи оцінювання безпеки ІТ та представляє
загальну модель оцінки. Частина 1 також представляє конструкції для
вираження цілей безпеки ІТ, для вибору та визначення вимог щодо безпеки ІТ
та для написання специфікацій високого рівня для продуктів та систем. Крім
того, корисність кожної частини ISO / IEC 15408 описана з точки зору кожної з
цільових аудиторій.
b) Частина 2, функціональні вимоги до безпеки, встановлює набір

функціональних компонентів як стандартний спосіб вираження функціональних
вимог до TOE (Цілі оцінки). Частина 2 каталогізує набір функціональних
компонентів, сімей та класів.
c) Частина 3, Вимоги щодо забезпечення безпеки, встановлює набір

компонентів достовірності як стандартний спосіб вираження вимог щодо
надійності до TOE. Частина 3 каталогізує набір компонентів, сімей та класів
гарантій. Частина 3 також визначає критерії оцінювання для ПП та ІП та
представляє рівні достовірності оцінювання, які визначають попередньо
визначену шкалу ISO / IEC 15408 для забезпечення рейтингових оцінок для ТО,
яка називається Рівнями гарантії оцінювання (EAL).
тандарт може бути впроваджений у будь-якому секторі, що стикається з

С
необхідністю перевірити безпеку ІТ-продуктів та систем.
56. Модель стандарту та методики ISO / IEC 15408-1\2\3..

Цей стандарт є найповнішим і найсучаснішим серед стандартів – “Критерії
оцінювання безпеки інформаційних технологій” (виданий 1 грудня 1999 року),
який часто називають “Загальними критеріями”.
“Загальні критерії” визначають інструменти оцінювання безпеки ІС і порядок їх
використання. “Загальні критерії” не містять певних “класів безпеки”. Такі
класи можна будувати, виходячи з вимог безпеки, що існують для конкретної
організації та/або конкретної ІС.
“Загальні критерії” містять два основні вид ивимог безпеки:
функціональні, які висуваються до функцій безпеки і механізмів, які їх
реалізують;
вимоги довіри, які висуваються до технології та процесу розробки і
експлуатації.
Дуже важливо, що безпека в “Загальних критеріях” розглядається не статично, а
з прив’язкою до життєвого циклу об’єкту оцінювання. Виділяються такі етапи:
визначення призначення, умов застосування, цілей і вимог безпеки;
проектування і розробка;
випробування, оцінювання та сертифікація;
впровадження та експлуатація.
У “Загальних критеріях” об’єкт оцінювання розглядається в контексті
середовища безпеки, яке характеризується певними умовами і загрозами.
57. Основні складові стандарту ISO / IEC 15408-1\2\3., етапи

впровадження.
ISO / IEC 15408 є сукупністю самостійних, але взаємопов’язаних частин

1) Розділ Представлення і загальна модель – визначає загальну концепцію й
принципи оцінки безпеки ІТ і подає загальну модель оцінки, а також
конструкції для: формування задач захисту ІТ вибору й визначення вимог
безпеки ІТ опису специфікацій високого рівня для продуктів і систем.
2) Розділ Вимоги до функцій безпеки – встановлює набір функціональних
компонентів як стандартний шлях формулювання функціональних вимог до
об’єктів оцінки
3) Розділ Вимоги гарантій безпеки – включає компоненти вимог гарантій
оцінки, а також рівні гарантій оцінки, які визначають ранжування за ступенем
задоволення вимог
Стандарт зазвичай використовується як ресурс для оцінки безпеки ІТ-продуктів
і систем; включаючи (якщо не конкретно) рішення щодо закупівель щодо такої
продукції.
Таким чином, цей стандарт може бути використаний як інструмент для
визначення безпеки ІТ-продукту чи системи під час його проектування,
виготовлення чи збуту або перед його придбанням.
58. Базові рекомендації та методики ISO / IEC 15408-1\2\3..

Цей стандарт є найповнішим і найсучаснішим серед стандартів – “Критерії
оцінювання безпеки інформаційних технологій” (виданий 1 грудня 1999 року),
який часто називають “Загальними критеріями”.
“Загальні критерії” визначають інструменти оцінювання безпеки ІС і порядок їх
використання. “Загальні критерії” не містять певних “класів безпеки”. Такі
класи можна будувати, виходячи з вимог безпеки, що існують для конкретної
організації та/або конкретної ІС.
“Загальні критерії” містять два основні вид ивимог безпеки:
функціональні, які висуваються до функцій безпеки і механізмів, які їх
реалізують;
вимоги довіри, які висуваються до технології та процесу розробки і
експлуатації.
Дуже важливо, що безпека в “Загальних критеріях” розглядається не статично, а
з прив’язкою до життєвого циклу об’єкту оцінювання. Виділяються такі етапи:
визначення призначення, умов застосування, цілей і вимог безпеки;
проектування і розробка;
випробування, оцінювання та сертифікація;
впровадження та експлуатація.
У “Загальних критеріях” об’єкт оцінювання розглядається в контексті
середовища безпеки, яке характеризується певними умовами і загрозами.
59. Висновки експертів. Приклад.

Аудиторські висновки, мають вигляд узагальненого формулювання
підтверджених доказовою базою проблем аудиту (питань аудиту/гіпотез). Для
підготовки висновку аудиторська група, як правило, також використовує
критерії, які окремо визначаються для підтвердження/не підтвердження кожної
проблеми.
Підґрунтям для формування аудиторських висновків є фактичні
знахідки, отримані в результаті аналізу аудиторських доказів, інформації
зібраної в процесі аудиту під час документування різних питань аудиторського
дослідження. В окремих випадках вони можуть бути єдиним результатом
дослідження. Зокрема, це може бути у випадку, коли аудитору ставиться
завдання оцінити чи існують певні проблеми або ризики у процесі (як
наприклад, ймовірність помилки у процесі автоматизованої обробки
інформації).
Зазвичай фактичні знахідки є частиною доказової бази аудиторського
звіту та описуються в аналітичній частині звіту, а на їх основі формулюються
При підготовці аудиторських висновків або пошуку фактичних знахідок,
знадобиться більш широкий спектр методів збору доказової бази ніж для
надання оціночного висновку.
Для формулювання аудиторського висновку та пошуку знахідок,
доцільно проводити тестування, інтерв’ю, застосування опитувальника, аналіз
документів тощо.
60. Методологія Prince2 (Проекти в контрольованому середовищі.

Версія 2).
Prince2 — це головний стандарт проектного менеджменту в Великобританії.
Його також з успіхом застосовували в США, Канаді, Австралії, країнах Європи.
Сильними сторонами цієї методології є гнучкість, посилений контроль над

проектом, чіткий розподіл обов’язків між членами команди.
Кожен проект викликає три різних очікування. Замовник бачить в голові
готовий результат і як він принесе йому вигоду. Виконавець думає про виклики,
які його чекають. Десь знаходиться невидимий поки споживач, думку якого
треба передбачити, — як він сприйме зміни або новий продукт.
Ці три точки зору стають цілісним трикутником завдяки керуючому органу в

Prince2 — Проектному комітету. У нього входять Замовник, Старший
користувач і Старший виконавець.
Їм підпорядкований Проектний менеджер. Проектний комітет наділений

відповідальністю, він перевіряє на кожному етапі, наскільки дотримуються
інтереси бізнесу, споживачів і виконавців. Владу і ресурси передають
Проектному менеджеру.
Його робота починається після затвердження Внутрішнього документа проекту.
61. Складові методики Prince2. Етапи впровадження. Приклад.
ІТ-аудитор може використовувати ці ключові характеристики, а також інші

характеристики Prince2 для визначення критеріїв аудиту. Проведення аудиту –
це основа для моніторингу успіху будь-якого проекту. Аудит проекту важливий,
щоб підтвердити, чи проект здійснений для цього бізнесу, перевірити, чи проект
може перейти на наступний етап і також перевірити будь-які спеціальні
питання, які виникають під час реалізації проекту. Найважливіше те, що аудити
допомагають заспокоїти керівництво. Користь від аудиту проекту може бути
наступною: Найперше і найважливіше – здатність заздалегідь виявляти
проблеми; Доступ до взаємозв’язків між результатами виконання, витратами
проекту та часовими рамками проекту; Підвищення загальної продуктивності
проекту; Здатність виявляти потенційні можливості; Скорочення витрат часу,
зусиль, матеріалів та коштів.
62. Керівництво з аудиту інформаційних глобальних технологій (GTAG

8).
Це керівництво з аудиту розроблене ІВА для аудиту заходів контролю за

прикладними програмами. Воно містить хорошу теоретичну базову інформацію.
Заходи контролю за прикладними програмами – це ті заходи контролю, які
належать до обсягу індивідуальних бізнес-процесів або прикладних систем, у
тому числі редагування даних, розподіл бізнес функцій, баланс обробки
підсумків, реєстрація транзакцій та звітування про помилки.
63. Модель та складові рекомендацій GTAG 8. Заходи контролю.
Отже, ціль заходів контролю за прикладними програмами полягає у

забезпеченні того, щоб: введення даних було точним, вичерпним,
авторизованим і правильним; дані оброблялись належним чином у прийнятний
часовий проміжок; збережені дані були точними і вичерпними; видані дані були
точними і вичерпними;
записувався процес проходження даних від вводу до зберігання, і до можливої
видачі. Найбільш важливі заходи контролю за прикладними програмами такі:
Заходи контролю щодо вводу – використовуються здебільшого для перевірки
цілісності даних, які вводяться в прикладну бізнес-програму, як введені
безпосередньо персоналом, так і віддалено бізнес-партнером, або через
веб-інтерфейс, або прикладну програму з Інтернет-доступом. Введення даних
перевіряється, щоб забезпечити його відповідність визначеним параметрам.
Заходи контролю щодо обробки – забезпечують автоматизованим засобом
гарантії вичерпної, точної і авторизованої обробки даних. Заходи контролю
щодо видачі даних – охоплюють результат обробки даних, мають порівнювати
результати виданих даних із запланованим результатом, перевіряючи видані
дані із введеними даними. Заходи контролю щодо цілісності – здійснюють
моніторинг даних, які обробляються і зберігаються для забезпечення їхньої
узгодженості та правильності. Управлінський слід – обробка історії заходів
контролю, часто називається аудиторським слідом, яка дає керівництву
можливість визначати транзакції та події, які записуються, шляхом відстеження
транзакцій від джерела до видачі даних та у зворотному порядку. Ці заходи
контролю також здійснюють моніторинг результативності інших заходів
контролю та виявляють помилки якнайближче до джерел їх виникнення.
64. Класифікація засобів контролю (моніторингу) процесів ІКСМ.
Різноманіття засобів, що використовуються для контролю та аналізу ІКСМ

поділяються на декілька класів: 1. Системи керування мережею – централізовані
програмно-апаратні системи, що збирають дані про стан вузлів та
комунікаційних пристроїв мережі, дані про трафік, що циркулює у мережі.
Особливістю даних систем є, те що вони в автоматичному або
напівавтоматичному режимах виконують дії з керування мережею – увімкнення
або відімкнення портів приладів, зміна змісту маршрутизуючих таблиць, правил
брандмауерів, тощо
2) Засоби керування системою – виконують функцію, що аналогічні до систем
керування мережею, але по відношенню до комунікаційного обладнання. Також
вона здатна виконувати найпростіший аналіз мережевого трафіка.
Вбудовані системи діагностики та управління – дані системи реалізуються
шляхом використання програмних модулей у комунікаційне обладнання. Вони
направлені на виконання функцій діагностики та керування лише над одним
пристроєм. На даний час вбудовані системи також виконують роль
SNMP-агентів, що постачають дані для систем керування мережею. 4.
Аналізатори протоколів – програмні або програмно – апаратні системи, що
виконують лише функції моніторингу та аналізу трафіку. Характеристикою
аналізатора є здатність до виявлення певного числа протоколів. Аналізатори
встановлюють логічні умови з метою перехоплення пакетів для визначених
протоколів. 5. Експертні системи – даний вид систем акумулює людські знання
про виявлення причин аномальної роботи мережі та можливих способах
повернення мережі до нормального режиму функціонування. Експертні системи
часто реалізуються у вигляді підсистем засобів моніторингу та систем
керування мережею. Функціональною основою складних експертних систем є
так звані бази знань, що володіють елементами штучного інтелекту.
65. ASL (бібліотека послуг прикладних програм).
ASL – це опис найкращих практик, які використовуються для стандартизації

процесів в Управлінні прикладними програмами, основа для створення і
обслуговування інформаційних систем і прикладних програм. ASL – суспільне
надбання. Стандартизований підхід ASL сприяє професіоналізації ІТ-організації
та більш ефективному способу роботи, оптимізації витрат і кращому розумінню
та комунікації між залученими сторонами. ASL має на меті професіоналізацію
управління прикладними програмами. Він узгоджується з ITIL та BiSL. Деякі
процеси ITIL, ASL і BiSL більш-менш однакові, наприклад, на управлінському
рівні. Додану цінність ASL ІТ-аудитор може знайти з окремих питань
управління прикладними програмами такими як дизайн, розробка, тестування і
запровадження (нових) прикладних програм. ASL складається з 6 груп процесів
(a, b, c…), до яких входить 26 процесів на трьох рівнях: 1. Операційний рівень:
a. Підтримка прикладної програми (4 процеси) b. Процеси зв’язку (2) c.
Обслуговування і оновлення прикладної програми (5) 2. Управлінський рівень:
a. Процеси управління (5) 3. Стратегічний рівень: a. Стратегія прикладних
програм (5) b. Стратегія організації управління прикладними програмами (5)
IT-аудитор може використовувати цю основу для визначення критеріїв аудиту
організацій, які розробляють і обслуговують прикладні програми. Найкраще
підходять для застосування процеси на операційному та управлінському рівні.
66. BiSL (бібліотека послуг бізнес-інформації).
BiSL – це основа, яка описує стандарт для процесів у рамках управління

бізнес-інформацією на стратегічному, управлінському та операційному рівні.
BiSL – це суспільне надбання. BiSL описує процеси та заходи з точки зору
клієнта надання інформації. Бізнес та клієнт (у цьому випадку) також
називаються «організація користувача»: організація, яка використовує та
визначає попит на ІТ. BiSL зосереджується на тому, як бізнес-організації
можуть покращити контроль за інформаційними системами: попит на
бізнес-підтримку, використання інформаційних систем, договорів та інших
домовленостей з ІТпостачальниками. BiSL пропонує супровід в управлінні
бізнес-інформацією: підтримку у використанні інформаційних систем у
бізнес-процесах, операційний ІТ-контроль та управління інформацією.
Бібліотека складається з рамкової основи, найкращих практик, стандартних
шаблонів та самооцінки. У рамковій основі BiSL наведено опис усіх процесів,
які роблять можливим контроль за інформаційними системами з точки зору
бізнесу.
IT-аудитор може використовувати цю основу для визначення критеріїв аудиту
організацій користувача. У більшості випадків це буде функціональне
управління. Найкраще підходять для застосування процеси на операційному та
управлінському рівні.
67. Стандарт ISO/IEC 27002 в рамках ISO/IEC 27001 в системі

менеджменту і контролю ІБ.
Міжнародна рамкова основа/стандарт безпеки ISO 27001 містить вимоги до

управління інформаційною безпекою та до системи управління інформаційною
безпекою (ISMS). ISO 27002 містить рекомендації з управління інформаційною
безпекою на основі найкращих практик.
ISO 27001 і 27002 містять тільки незначні заходи контролю в цій сфері. У цьому
випадку слід враховувати напр.
68. Складові стандарту ISO/IEC 27002. Значення для системи Аудиту і

контролю ІБ.
Поточна версія стандарту складається з наступних основних розділів:

Політика безпеки (Security policy)
Організація інформаційної безпеки (Organization of information security)
Управління ресурсами (Asset management)
Безпека персоналу (Human resources security)
Фізична безпека і безпека оточення (Physical and environmental security)
Управління комунікаціями та операціями (Communications and operations
management)
Управління доступом (Access control)
Придбання, розробка та підтримка систем (Information systems acquisition,
development and maintenance)
Управління інцидентами інформаційної безпеки (Information security incident
management)
Управління безперебійною роботою організації (Business continuity management)
Відповідність нормативним вимогам (Compliance)
Стандарт надає кращі практичні поради з менеджменту інформаційної безпеки

для тих, хто відповідає за створення, реалізацію або обслуговування систем
менеджменту інформаційної безпеки. Інформаційна безпека визначається
стандартом як «збереження конфіденційності (впевненості в тому, що
інформація доступна тільки тим, хто уповноважений мати такий доступ),
цілісності (гарантії точності і повноти інформації, а також методів її обробки) і
доступності (гарантії того, що уповноважені користувачі мають доступ до
інформації та пов'язаним з нею ресурсів)».
69. Модель ISO/IEC 27002., Базові рекомендації та методики.
Цей міжнародний стандарт розроблено для організацій для використання

як довідкової інформації щодо вибору заходів безпеки під час
впровадження системи управління інформаційною безпекою (СУІБ) на
базі ISO/IEC 27001 або як настанову для організацій, які впроваджують
загальноприйняті заходи інформаційної безпеки. Цей стандарт також
призначено для використання в розробленні настановчих документів з
управління інформаційною безпекою, специфічних для промисловості та
організацій, з урахуванням специфічних ризиків інформаційної безпеки
їх середовища.
Організації всіх типів та розмірів (охоплюючи публічний та приватний
сектор, комерційні та неприбуткові) збирають, обробляють, зберігають та
передають інформацію в багатьох формах, включаючи електронну,
фізичну та усну (наприклад, бесіди та презентації).
Інформаційної безпеки досягають впровадженням відповідного набору
заходів безпеки, який охоплює політику, процеси, процедури,
організаційні структури й програмні та апаратні функції. Ці заходи
безпеки необхідно розробити, впровадити, здійснювати моніторинг,
переглядати та, за потреби, вдосконалювати для гарантування
досягнення певного рівня безпеки та бізнес-цілей організації. СУІБ, як це
визначено в ISO/IEC 27001 [10], надає цілісний, узгоджений розгляд
ризиків інформаційної безпеки організації для того, щоб впровадити
всебічний набір заходів інформаційної безпеки в межах загальних
принципів зрозумілої системи управління.

У цьому стандарті представлені заходи вимірювань і види діяльності, пов'язані з

вимірами, необхідними для оцінки ефективності реалізації вимог СМІБ до
менеджменту необхідних і достатніх заходів і засобів контролю та управління
безпекою відповідно ISO / IEC 27001: 2005.
Цей стандарт має наступну структуру:
- загальний огляд програми вимірювань і моделі вимірювань, пов'язаних з
інформаційною безопасностью1) (див. Розділ 5);
- обов'язки керівництва щодо вимірів, пов'язаних з інформаційною безпекою.
- конструктивні елементи і процеси вимірювань (такі, як планування і розробка,
реалізація і функціонування, а також вдосконалення вимірювань: поширення
результатів вимірювань), що підлягають реалізації в рамках програми
вимірювань.
ISO/IEC 27004 Інформаційна технологія – Методи і засоби забезпечення
безпеки – Менеджмент інформаційної безпеки – Вимірювання
Область застосування: Міжнародний стандарт дає рекомендації з розробки
використання вимірювань для оцінки результативності СУІБ, виконання
завдань управління і застосовуваних для впровадження та управління
інформаційною безпекою засобів управління, встановлених в ISO/IEC 27001.
Призначення: ISO/IEC 27004 пропонує систему вимірювань, що дозволяє
оцінити результативність СУІБ, яка повинна вимірюватися відповідно ISO/IEC
27001.
72. Модель ISO/IEC 27002, Базові рекомендації та методики
Міжнародний стандарт розроблено для організацій для використання як довідкової
інформації щодо вибору заходів безпеки під час впровадження системи управління
інформаційною безпекою (СУІБ) на базі ISO/IEC 27001 [10] або як настанову для
організацій, які впроваджують загальноприйняті заходи інформаційної безпеки. Цей
стандарт також призначено для використання в розробленні настановчих документів з
управління інформаційною безпекою, специфічних для промисловості та організацій, з
урахуванням специфічних ризиків інформаційної безпеки їх середовища.
Організації всіх типів та розмірів (охоплюючи публічний та приватний сектор, комерційні та
неприбуткові) збирають, обробляють, зберігають та передають інформацію в багатьох
формах, включаючи електронну, фізичну та усну (наприклад, бесіди та презентації).
Цінність інформації виходить за межі записаних слів, чисел та зображень: знання,
концепції, ідеї та бренди є прикладами нематеріальних форм інформації. У
взаємопов’язаному світі інформація та пов’язані процеси, системи, мережі й персонал, який
бере участь в їх функціонуванні, обробленні та захисті, є ресурсами СУІБ, які нарівні з
іншими важливими бізнес-активами є цінними для бізнесу організації і тому заслуговують
чи потребують захисту від різних небезпек.
Ресурси СУІБ є суб’єктами як навмисних, так і випадкових загроз, а пов’язані процеси,
системи, мережі та персонал мають притаманні вразливості. Зміни в бізнес-процесах і
системах або зовнішні зміни (такі як нові закони та регуляторні вимоги) можуть створювати
нові ризики інформаційної безпеки. Отже, маючи величезну кількість шляхів, за якими
загрози можуть використовувати вразливості для завдання шкоди організації, ризики
інформаційної безпеки завжди наявні. Ефективна інформаційна безпека зменшує ці ризики
за допомогою захисту організації від загроз та вразливостей і таким чином зменшує впливи
на її активи.
Вимоги щодо інформаційної безпеки
Організація повинна ідентифікувати свої вимоги щодо безпеки. Існують три основні
джерела формування вимог щодо безпеки:
a) результат оцінки ризиків для організації, який враховує загальну бізнес-стратегію та цілі.
Під час оцінювання ризиків ідентифікують загрози ресурсам СУІБ, вразливості та
ймовірність подій і оцінюють величину потенційного впливу;
b) законодавство, нормативні та контрактні вимоги, яким організація, її партнери,
підрядники та постачальники послуг повинні відповідати, а також їх соціально-культурне
середовище.
c) набір принципів, цілей та бізнес-вимог щодо управління, оброблення, зберігання,
передавання та архівування інформації, який організація розробила для підтримки свого
функціонування.

ISO 27001 2013 являє собою перелік вимог до системи менеджменту
інформаційної безпеки, обов 'язкових для сертифікації, а стандарт ISO 17799
2005 виступає в якості керівництва з впровадження, яке може
використовуватися при проектуванні механізмів контролю, обраних
організацією для зменшення ризиків інформаційної безпеки. Стандарт ISO
27001 визначає процеси, що представляють можливість бізнесу встановлювати,
застосовувати, переглядати, контролювати і підтримувати ефективну систему
менеджменту інформаційної безпеки; встановлює вимоги до розробки,
впровадження, функціонуванню, моніторингу, аналізу, підтримці і
вдосконаленню документованої системи менеджменту інформаційної безпеки в
контексті наявних бізнес ризиків організації.

ISO/IEC 17021-1 встановлює критерії для організацій, які виконують аудит і
сертифікацію систем управління. Якщо такі організації є акредитованими як
відповідні ISO/IEC 17021-1 і мають за мету виконувати аудит і сертифікацію систем
управління інформаційною безпекою (СУІБ) згідно з ISO/IEC 27001:2013, необхідні
деякі додаткові вимоги та настанови до ISO/IEC 17021-1
Цей стандарт визначає вимоги та надає настанови для організацій, які надають
послуги з аудиту та сертифікації систем управління інформаційною безпекою (СУІБ)
додатково до вимог, що містяться в ISO/IEC 17021-1 та ISO/IEC 27001. Це, в першу
чергу, спрямовано на підтримку акредитації організацій, які надають послуги із
сертифікації СУІБ.
Вимоги, які містить цей стандарт, необхідно продемонструвати в термінах
компетентності та надійності всім організаціям, які здійснюють сертифікацію СУІБ, а
настанови, долучені до цього стандарту, надають додаткову інтерпретацію цих
вимог для будь-якої організації, яка виконує сертифікацію СУІБ.
Примітка. Цей стандарт може бути застосований як документ критеріїв для
акредитації, експертного оцінювання або інших процесів аудиту.
75. Модель ISO/IEC 27006. Базові рекомендації та методики.

ISO/IEC 27006 2015 визначає вимоги і дає уявлення для об ’ єктів, що
забезпечують аудит і сертифікацію системи управління інформаційною
безпекою (ISMS), на Додаток до вимог, що містив в ISO / IEC 17021 1 та ISO /
IEC 27001. Це, перш за все, призначена, щоб підтримати акредитацію органів із
сертифікації, що забезпечують сертифікацію.
Мета міжнародного стандарту - дати можливість органам акредитації більш

ефективно застосовувати стандарти, за якими вони зобов'язані оцінювати
органи сертифікації. У цьому контексті будь-яке відхилення органу сертифікації
від керівництва є винятком. Такі відхилення будуть дозволені тільки з
урахуванням розгляду кожного випадку окремо після того, як орган
сертифікації доведе органу акредитації, що це виключення задовольняє
яким-небудь еквівалентним чином відповідного пункту вимог ІСО / МЕК 17021,
ІСО / МЕК 27001 і справжнього міжнародного стандарту.
76. Стандарти ISO/IEC 27007 в рамках ISO/IEC 7001 в системі
Міжнародний стандарт ISO/IEC 27007:2017 «Інформаційні технології. Методи
забезпечення безпеки. Керівництво з аудиту систем управління інформаційною
безпекою», який вперше був опублікований у 2011 році.
Взагалі існує ціла серія стандартів з управління інформаційною безпекою - ISO/IEC
27000, яка розробляється об`єднаним комітетом ISO/IEC JTC 1 «Інформаційні
технології». Система управління інформаційною безпекою охоплює вимоги щодо
реалізації та вдосконалення систем управління захистом інформації
Найвідоміший стандарт з цієї серії - ISO/IEC 27001 «Система менеджменту
інформаційною безпекою. Вимоги», який містить вимоги систем управління
інформаційною безпекою (ISMS) і на відповідність до вимог якого організація може
бути сертифікована.
А для проведення аудиту компанії слід застосовувати стандарт ISO/IEC 27007, який
забезпечить чітке керівництво для підготовки обох сторін до перевірки
Стандарт надає програму аудиту систем управління інформаційною безпекою
(ISMS), забезпечує внутрішні та зовнішні аудити ISMS згідно з ISO/IEC 27001 та
компетентності й оцінки аудиторів ISMS. Додатково він надає докладні рекомендації
щодо аудиту відповідно до вимог, заявлених у ISO/IEC 27001. Передбачено, що

стандарт використовуватимуть разом з настановами, викладеними в ISO 19011:2011
«Настанови щодо здійснення аудитів систем управління», побудованому за такою
самою схемою, як і цей міжнародний стандарт.
Стандарт ISO/IEC 27007 стане в пригоді для будь-якого бізнесу та користувачів,
зокрема для малих та середніх підприємств.

ISO/IEC 27007 2020 - інформаційна безпека, кібербезпека та забезпечення
секретності - рекомендації для ревізії систем управління інформаційною
безпекою (третій випуск) виданий
Введення
ISO/IEC 27007 дає уявлення для акредитованих органів із сертифікації,
внутрішніх аудиторів, зовнішніх аудиторів / сторонніх аудиторів та інших,
revizuyushchikh ISMSs проти ISO / IEC 27001 (тобто revizuyushchikh систему
управління для відповідності стандарту).
Стандарт стосується певних аспектів ревізії дотримання:
Управління ізмами перевіряє програму (визначення, що ревізувати, коли і як;
призначають відповідні аудитори; управління контрольними ризиками;
підтримання контрольних звітів; поліпшення безперервного процесу);
Виконання аудиту MS ізмів (ревізують процес - планування, поведінку, ключові
контрольні дії включаючи польові дослідження, аналіз, повідомляючи і
продовження);
Керуючи аудиторами ізмів (компетенції, навички, ознаки, оцінка).
Основна частина стандарту головним чином консультує з питань застосування
ISO 19011 до контексту ізмів з деякими не жахливо корисні пояснювальні
тексти. Однак Додаток викладає більш докладно певні аудиторські тести щодо
відповідності організації основної частини ISO / IEC 27001.

Стандарт у доповненні до вказівками, що містяться в ІСО 19011, надає
керівництво з менеджменту програми аудиту системи менеджменту
інформаційної безпеки (smib), з проведення аудитів і щодо визначення
компетентності аудиторів smib. Стандарт застосовний для тих організацій, які
потребують розуміння або проведенні внутрішніх або зовнішніх аудитів smib
або здійсненні менеджменту програми аудиту smib.
79. Стандарти ISO/IEC 27008 в рамках ISO/IEC 27001 в системі

ISO/IEC TR 27008 2011 - інформаційні технології. Методи забезпечення безпеки
- керівництво для аудиторів з мір та засобів забезпечення інформаційної
безпеки.
Даний стандарт, як та ISO 27007 є додатковим стандартом до ISO 19011 2011
спеціально для СУІБ. Він спеціалізований для аудиту засобів управління
інформаційною безпекою в організації
Стандарти, що пропонують кращі практики впровадження, розвитку та
вдосконалення СУІБ:

Стандарт ISO/IEC 27008 надає рекомендації з аналізу застосування та
управління коштами, охоплюючи контроль технічного відповідності.
Документ, в першу чергу, призначений для аудиторів інформаційної
безпеки, які перевіряють технічну відповідність засобів забезпечення
інформаційної безпеки організації вимогам стандарту ISO/IEC 27002 або
будь-яким іншим контрольним стандартам, використовуваним в
організації.
Стандарт ISO/IEC TR 27008 дозволить:
● виявити і оцінити ступінь потенційних проблем і прогалин у засобах
управління інформаційною безпекою;
● виявити і оцінити потенційний вплив на організацію неадекватного
усунення загроз і вразливостей інформаційної безпеки;
● встановити пріоритети заходів щодо усунення ризиків інформаційної
безпеки;
● упевнитися в тому, що вразливості, які були виявлені раніше або
виникли екстрено були адекватно усуненими;
● приймати рішення щодо бюджету та інші управлінські рішення,
спрямовані на покращення управління інформаційною безпекою, в ході
інвестиційного процесу.
Таким чином, Стандарт ISO/IEC 27008 буде корисний організаціям усіх

типів, у тому числі державним і приватним компаніям, державним і
некомерційним організаціям. Документ став восьмим у серії стандартів
ISO/IEC 27000 на системи управління інформаційною безпекою.
81. Складові стандарту Стандарт ITAF. Значення для системи Аудиту і

ITAF – це вичерпна еталонна модель використання кращих практик, яка:
• встановлює стандарти, що описують ролі та обов’язки фахівців з аудиту та

підтвердження довіри до ІС; їх знання та навички; ретельність; вимоги до
проведення аудиту та звітності;
• визначає терміни та поняття, специфічні для сфери підтвердження довіри до
ІС;
• описує принципи, інструменти і методики планування, розробки, проведення
та звітування за результатами завдань з аудиту та підтвердження довіри до ІС.
ITAF застосовується до осіб, які є фахівцями з аудиту та підтвердження довіри

до ІС і залучаються до підтвердження довіри до складових прикладних програм
та інфраструктури ІС. Однак, ці стандарти, настанови, інструментарій і
методики було розроблено таким чином, щоб їх могла з користю застосовувати
також ширша аудиторія, у тому числі користувачі звітів аудиту та
підтвердження довіри до ІС.
Модель ISO/IEC 27008 застосовується для всіх організацій, включаючи
державні та приватні компанії, державні установи та некомерційні організації та
організації будь-якого розміру незалежно від ступеня їхньої залежності від
інформації;
Підтримує планування та проведення аудитів та процес управління
інформаційними ризиками;
Надає вказівки щодо аудиту контролю захисту інформації на основі керівних
принципів контролю в ISO / IEC 27002;
Забезпечує ефективне використання ресурсів аудиту.
ISO/IEC 27008 зосереджується на оглядах контролю інформаційної безпеки,

включаючи перевірку технічної відповідності, щодо стандарту впровадження
інформаційної безпеки, який встановлюється організацією. Він не має наміру
надавати будь-яких конкретних вказівок щодо перевірки відповідності щодо
вимірювання, оцінки ризику чи аудиту СУБД, як визначено відповідно ISO /
IEC 27004, 27005 або 27007.
Ця модель надає вказівки щодо перегляду та оцінки здійснення та управління

інформаційною безпекою, включаючи технічну оцінку контролю інформаційної
системи, відповідно до встановлених вимог організації щодо інформаційної
безпеки, включаючи технічну відповідність критеріям оцінювання на основі
вимог інформаційної безпеки, встановлених організації.
Ця модель пропонує вказівки щодо того, як переглядати та оцінювати

управління безпекою інформації, якими керує система управління
інформаційною безпекою, визначена ISO / IEC 27001.
Ця модель застосовується до всіх типів та розмірів організацій, включаючи

державні та приватні компанії, державні установи та некомерційні організації,
що проводять огляди інформаційної безпеки та перевірки технічної
відповідності
83. Концепція впровадження системи аудиту інформаційної безпеки в

Україні (“Дорожня карта”).
В Концепції визначаються основні засади щодо реалізації та
впровадження системи аудиту інформаційної безпеки в Україні, порядок
проведення сертифікації аудиторів ІБ, їх навчання та оцінювання,
відповідного контролю повноти та достатності надання послуг в цій сфері
через встановлені проміжки часу після надання сертифікату, а також
систематизація та узагальнення результатів аудиту ІБ шляхом
формування та подання звітів до Адміністрації Президента України,
Кабінету Міністрів України та Ради національної безпеки і оборони
України про стан ІБ в державі.
Концепція містить опис функціонування Системи аудиту ІБ та визначає

основні етапи впровадження її в Україні.
84. Визначення, проблематика розв’язання задач впровадження

Концепції.
В умовах глобалізації інформаційного обміну і широкого впровадження
інформаційних технологій в усіх сферах життєдіяльності суспільства
України, є проблема захисту інформації, що обробляться в
інформаційно-телекомунікаційних системах, від викликів і загроз у
кібернетичному просторі.
Відсутність відомостей щодо реального стану ІБ на об'єктах критичної

інфраструктури та в державних установах позбавляє керівництво цих
органів приймати виважені рішення стосовно запобігання
кіберінцидентам, направленим на порушення сталого функціонування
інформаційно-телекомунікаційних систем.
Аналіз основних недоліків систем ІБ, централізоване створення методик

по їх усуненню можливе лише за умови існування багаторівневої системи
контролю, складовою якої є аудит ІБ.
Розробка та впровадження Системи аудиту ІБ дозволить налагодити

моніторинг стану захищеності інформаційних ресурсів на території
держави, що дасть можливість отримати відомості про реальний стан ІБ
як в окремих установах, регіонах так і в державі в цілому в реальному
часі. Це дасть можливість централізованого аналізу та визначення
заходів по усуненню вразливостей в системах ІБ та застосування
гармонізованих із міжнародними та європейськими стандартами вимог
щодо захисту інформації на території України.
Для розв'язання визначених проблем існує декілька шляхів:
1) не впровадження системи аудиту ІБ;

2) впровадження системи аудиту ІБ за рахунок використання послуг, що
можуть надаватися міжнародними аудиторами (компаніями);
3) впровадження системи аудиту ІБ на національному рівні та
використання послуг аудиту ІБ, що можуть надаватися національними
аудиторами (компаніями).
85. Актуальність розробки системи аудиту інформаційної безпеки в
Україні.
Проблеми забезпечення належного рівня безпеки державних
інформаційних ресурсів, що обробляються в інтересах управління державою,
захисту інформації, що передається в інформаційних, телекомунікаційних та
інформаційно-телекомунікаційних системах, системах спеціального зв’язку та
циркулює на об’єктах інформаційної діяльності на території всієї держави, не
можуть бути розв’язані без існування систематизованого підходу до аналізу
стану рівня ІБ, який базувався би на реальних показниках, отриманих підчас
проведення заходів аудиту ІБ.
Аналіз основних недоліків систем ІБ, централізоване створення
методик по їх усуненню можливе лише за умови існування багаторівневої
системи контролю, складовою якої є аудит ІБ.
Розробка та впровадження системи аудиту ІБ дозволить налагодити
моніторинг стану захищеності інформаційних ресурсів на території держави,
що дасть можливість отримати відомості про реальний стан ІБ як в окремих
установах, регіонах так і в державі в цілому в реальному часі. Це дасть
можливість централізованого аналізу та визначення заходів по усуненню
вразливостей в системах ІБ та застосування гармонізованих із міжнародними
та європейськими стандартами вимог щодо захисту інформації на території
України.
86. Шляхи і способи розв’язання проблеми. Стандарти ENISO/IEC 17021

та ENISO/IEC 17024.
ENISO/IEC 17021-1 містить принципи та вимоги до компетенції, послідовності
та неупередженості органів, що здійснюють аудит та сертифікацію всіх типів
систем управління. Органам із сертифікації, які працюють за ENISO/IEC 17021,
не потрібно пропонувати всі типи сертифікації системи управління.
Сертифікація систем менеджменту - це діяльність стороннього оцінювання
відповідності, тому органи, що здійснюють цю діяльність, є сторонніми
органами з оцінки відповідності.
ENISO/IEC 17024: Оцінка відповідності - Загальні вимоги до органів, що

здійснюють сертифікацію осіб, - це Міжнародний стандарт, який визначає
критерії роботи Органу з сертифікації персоналу (також відомий як орган з
сертифікації осіб). Стандарт включає вимоги щодо розробки та обслуговування
схеми сертифікації осіб, на яких базується сертифікація.
87. Керуючі організаційно-правові заходи для Адміністрації
Держспецзв’язку, Центру з сертифікації аудиторів України
Керуючі організаційно-правові заходи:
І. Загальні питання
IІ. Основні принципи реалізації незалежного аудиту ІБ на об’єктах критичної
інфраструктури
IIІ. Порядок акредитації Центра сертифікації аудиторів ІБ
IV. Сертифікація аудиторів ІБ та вимоги до них
V. Порядок ведення Реєстру аудиторів ІБ
VІ. Права та обов’язки аудиторів ІБ
VIІ. Відповідальність аудиторів ІБ
VIІI. Порядок проведення незалежного аудиту ІБ
88. Типове положення про Службу аудиту (контролю) на підприємстві.
У загальних рисах процес організації служби аудиту складається із таких етапів:
- виявлення та чітке визначення кола питань, для вирішення яких

створюється СА, побудова системи цілей створення СА згідно з політикою
підприємства;
- визначення основних функцій СА, виконання яких необхідне для
досягнення поставлених цілей;
- об'єднання однотипних функцій у групи та формування на їх основі
структурних одиниць СА, які будуть спеціалізуватися на виконанні цих
функцій;
- розробка схем взаємовідносин, визначення обов'язків, прав та
відповідальності для кожної структурної одиниці СА, документальне
закріплення їх у посадових інструкціях та положеннях про бюро (групу, секцію)
СА;
- об'єднання вказаних структурних одиниць у єдине ціле - службу
внутрішнього аудиту, визначення її організаційного статусу, розробка та
документальне закріплення Положення про службу внутрішнього аудиту
відповідно до встановленого набору цілей, завдань та функцій структурних
одиниць;
- інтеграція СА з іншими ланками структури управління підприємством;
- розробка внутрішньофірмових стандартів внутрішнього аудиту.
Для того щоб служба аудиту адекватно функціонувала, у ній, як і в будь-якому

іншому підрозділі, треба розробити відповідну адміністративну політику,
правила і процедури, що включають:
- бюджет і звітність;
- штатний розклад;
- навчання персоналу;
- методику оцінки роботи персоналу, ефективність служби;

Визначення і супровід контролів ІБ

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Визначення і супровід контролів ІБ

Uploaded by

Copyright:

Available Formats

Бондар 1-10

1. Роль та задачі системи Аудиту та контролю якості інформаційної

2. Основні визначення та поняття системи Аудиту та контролю

3. Оцінка якості робіт та послуг у галузі технічного захисту інформації.

4. Світовий досвід контролю СМІБ та Інформаційних технологій

5. Роль та призначення Родини стандартів ISO / IEC 270хх в сфері

6. Серія Стандартів ISO / IEC 15408. Основні поняття, термінологія,

​Позначення й найменування відповідного стандартів серії:

7. Серія Стандартів ISO / IEC 17021 і ISO / IEC 17024. Основні

Ø ​ISO / IEC 17024 ​«Схема сертифікації персоналу. Експерт з оцінки

8. Роль Стандарту СОВІТ 5 в системі Аудиту та контрою в сфері ІБ.

СОВІТ складається з високого рівня цілей контролю, що охоплюють всі

9. Основні положення професійної практики аудиту та підтвердження

Основні напрямки аудиту інформаційної безпеки деталізуються за

На ​етапі ініціювання процедури аудиту повинні бути вирішені наступні

Етап збору інформації аудиту є найбільш складним і тривалим.Компетентні

Методи аналізу даних, що використовуються аудиторами, визначаються

Рекомендації, що видаються аудитором за результатами аналізу стану ІС,​

Аудиторський звіт є основним результатом проведення процесів контролю та

12. Основні функції та базові етапи впровадження Аудиту

13. Серія Стандартів ISO / IEC 15408. Основні складові стандарту,

Стандарт ISO/IEC 15408 «Загальні критерії оцінки безпеки інформаційних

У “Загальних критеріях ” (ЗК) проведена класифікація широкого набору

Стандарт дозволяє оцінити повноту системи інформаційної безпеки з технічної

14. Характеристики сучасного ІТ- аудиту, завдання ІТ- аудитора.

Кваліфікований ІТ- аудитор повинен надавати об'єктивну оцінку та поради

15. Актуальність сучасного ІТ- аудиту, завдання ІТ- аудитора.

Кваліфікований ІТ- аудитор повинен надавати об'єктивну оцінку та поради

16. Спеціальна термінологія в сфері ІТ- аудиту. Визначення галузі

Межі ІТ- аудиту означають:

18. Аспекти якості контролю.

➢ Безпека (інформації) означає захист інформації та інформаційних систем від

➢ Результативність – це здатність досягнути бажаного результату.

➢ Ефективність означає виконання або здатність виконати завдання у

19. Бібліотека кращих світових практик з інформаційних технологій

ITIL (Information Technology Infrastructure Library) ​- пропонує побудову

20. Основні положення аудиту та підтвердження довіри до ІС. Загальні

ОТВЕТ ДЛЯ СТАНДАРТА ITAF смотри в вопросе 21

Зараз бібліотека ITIL складається з восьми томів:

21. Основні положення аудиту та підтвердження довіри до ІС. Стандарти

22. Основні положення аудиту та підтвердження довіри до ІС. Стандарти

24. Настанови з виконання. Стандарти ITAF.

25. Настанови щодо звітування. Стандарти ITAF.

26. Настанови з виконання . Стандарти ITAF.

28. Оцінювання ризиків у плануванні. Стандарти ITAF.

30. Суттєвість та Докази. Стандарти ITAF.

31. Невідповідності та незаконні дії. Стандарти ITAF.

Назва Короткий опис

Аналіз Цей інструмент можна використовувати

Тестер Цей інструмент допомагає оцінити

NMAP Nmap (Мережевий сканер) – це сканер

OWASP Zed проксі Attack (ZAP) – це легкий у

Splunk Splunk збирає, індексує і заносить (у

IDEA IDEA® - це інструмент аналізу даних,

Qlikview QlikView – це Платформа

BWISE Це рішення для програмного

39. Набір інструментів ІТ- аудиту для конкретних завдань.

● 1. Попереднє дослідження об'єкта аудиту та планування внутрішнього аудиту;

Процес ІТ- аудиту в зазначених аспектах не відрізняється від будь-яких інших

42. Підготовка програми аудиту ІТ технологій. Попередній контроль та

Відповідно до Національних стандартів внутрішнього аудиту, програма

● Ø напрям внутрішнього аудиту;

Аудиторська група повинна визначати цілі аудиту шляхом відповіді на

Збір аудиторських доказів є необхідним елементом аудиторського

Позначення й найменування відповідного стандартів серії:

Ø ISO / IEC 17024 «Схема сертифікації персоналу. Експерт з оцінки

На етапі ініціювання процедури аудиту повинні бути вирішені наступні

Рекомендації, що видаються аудитором за результатами аналізу стану ІС,

ITIL (Information Technology Infrastructure Library) - пропонує побудову

жерела отримання інформації:

Наступним кроком є документування робочих матеріалів, тобто

Ці документи накопичуються та зберігаються в аудиторському файлі

тандарт може бути впроваджений у будь-якому секторі, що стикається з

Сильними сторонами цієї методології є гнучкість, посилений контроль над