Основные этапы проведения аудита информационной безопасности. Содержание выполняемых работ.

Совещание с высшим руководством – на встрече должны быть обсуждены и утверждены следующие вопросы: административные, включающие обсуждение и утверждение контактного лица от организации для связи с аудитором до, во время и после проверки. Кроме этого должен быть определен комплект документов, который организация должна заранее направить аудиторской группе. аспекты, касающиеся непосредственно аудита. К ним относятся: область аудита; временные рамки аудита; участие сотрудников; план аудита; отчетность; меры, принимаемые по итогам аудита, согласование плана аудита.
Непосредственно перед проведением аудита аудиторская группа должна иметь четко сформулированные задачи аудита и его область, критерии аудита, документы различных уровней (политики, процедуры, инструкции, стандарты организации и др.), перечень процессов и активов компании, подлежащих проверке, согласованную программу аудита от проверяемой организации, подтверждение проведения аудита.
Примерный сценарий аудита:
1. Регламентация требований по ИБ
изучение законодательной базы, подзаконных актов и требований регулятора (ФСТЭК, Роскомнадзор, ФСБ);
анализ ОРД на предмет соответствия требованиям законодательства и регулятора.
анализ перечней информационных систем;
2. Персонал, ответственный за информационную безопасность
оценка персонала, уполномоченного обеспечивать ИБ (назначение, компетенции, должностные инструкции) на соответствие требованиям регулятора и проверяемого объекта;
анализ наличия и состава требований по соблюдению режима ИБ при работе с ИТ-ресурсами в должностных инструкциях сотрудниками технической поддержки;
3. Исполнение требований законодательства по обеспечению ИБ
анализ текущего состояния и результативности защиты ИТ-активов на соответствие дорожной карте (при наличии таковой);
анализ результатов выполнения требований организационно-распорядительных документов по ИБ;
оценка соответствия системы управления ИБ требованиям законодательства;
4. Обеспечение непрерывности функционирования ИТ-инфраструктуры
оценка организационных мер по обеспечению непрерывности;
оценка технических мер по обеспечению непрерывности (наличие договоров на обслуживание, ЗИП, возможность замены элементов старых систем и т.п.);
анализ выполнения мероприятий по рекомендациям ранее проведенных аудитов;
5. Информирование и обучение персонала
анализ организационных мер по информированию и обучению персонала, эксплуатирующего и обслуживающего ИТ-инфраструктуру, по вопросам обеспечения ИБ;
оценка программ и планов проведения инструктажей и обучения, наличие тестирования уровня знаний;
оценка результативности процесса информирования и обучения;
6. Использование технических систем ИБ АСУ ИТ-инфраструктуры
анализ необходимости применения систем антивирусной защиты, защиты периметра, защиты от вторжений для обеспечения безопасности ИТ-инфраструктуры;
оценка текущего состояния, используемых систем защиты;
7. Прочие вопросы информационной безопасности (опционально)
анализ выполнения различных мероприятий.
На основе сценария проверки формируется подробная программа (табл.1.) и отчет с наблюдениями по аудиторским проверкам и их актуальным статусом (табл.2.).