Методика проведения аудита в соответствии с ГОСТ 57580.2-2018

Оценка соответствия защиты информационной безопасности процессов неким требованиям – это аудит информационной безопасности (ИБ). Основная задача аудита – объективно оценить текущее состояние информационной безопасности объекта, а также ее адекватность поставленным целям и задачам бизнеса для увеличения эффективности, и рентабельности экономической деятельности.
Программа аудита ИБ включает: планирование, обеспечение ресурсами и разработку процедур для проведения аудитов в объеме программы. В свою очередь планирование программы включает в себя определение цели, объема программы, а также необходимых финансовых, инфраструктурных и кадровых ресурсов для ее реализации. Объем программы аудита определяется характером деятельности проверяемого объекта и его функциональными особенностями.
Общепринят следующий порядок проведения аудита:
Предварительное совещание – очное знакомство ответственных лиц проверяемой организации с группой по аудиту и решение стратегических вопросов по целям и взаимодействию. Определяются области проверки, указываются контактные лица. Утверждаются методы проведения проверки, официальные каналы связи между группой по аудиту и проверяемой организацией. Утверждаются способы и методы обмена информацией.
Анализ документов — анализ документации проверяемой организации с целью определения соответствия документации предприятия критериям аудита и требованиям стандартов. Анализ может осуществляться в сочетании с другими видами деятельности по аудиту и может продолжаться по ходу выполнения мероприятий аудита, если это не сказывается негативным образом на результативности проведения аудита.
Сбор и верификация информации –информация, получаемая в ходе аудита, должна быть проверена на истинность, т.е. верифицирована. Если сведения подтвердить не удалось, они не включаются в отчет.
Формирование выводов аудита – свидетельства аудита сопоставляются и оцениваются относительно критериев аудита. Выводы аудита могут указывать на соответствие или несоответствие критериям аудита. В случае, если это не может быть гарантировано, руководитель группы по аудиту имеет право отказать наблюдателям в участии в некоторых мероприятиях аудита.
Подготовка заключения – заключение аудита содержит информацию о степени соответствия критериям аудита; эффективности внедрения, поддержания и улучшения системы менеджмента ИБ; возможности процесса анализа со стороны руководства для обеспечения постоянной пригодности системы менеджмента ИБ, ее адекватности, эффективности и улучшения; корневые причины выявленных фактов (наблюдений); сопоставление и обобщение аналогичных или схожих по своему характеру фактов, выявленных при проведении аудита в различных областях, для определения тенденций (трендов).
Заключительное совещание – представляются выводы и заключения аудита для признания проверяемой организацией. При необходимости, на заключительном совещании следует довести до сведения проверяемой организации следующее:
Подробно рассмотрим методику проведения аудита информационной безопасности банка в соответствии с ГОСТ 57580.2.