Осознание аудита информационной безопасности. Роль руководства организации и службы информационной безопасност

Потребность в разработке и менеджменте программы аудита ИБ организации формируется исходя из целей измерений ИБ, относящихся к аудиту ИБ. Цели аудита ИБ определяются руководством организации на основе бизнес-целей и результатов деятельности организации, а также на основе информации о внутренней и внешней среде организации, учитывающей оценку рисков ИБ. Такими целями могут быть идентификация уязвимостей системы обеспечения ИБ организации, оценка соответствия ИБ организации установленным критериям ИБ, повышение доверия к организации. При формировании решений о программе аудита ИБ анализируются стоимость программы аудита ИБ и выгоды от ее реализации. Потребность в разработке и менеджменте программы аудита ИБ документируется в виде решения руководства организации и утверждается им.
Требования к программе аудита должны содержать требования к объему программы аудита ИБ, методологии проведения аудита, компетентности аудиторов, осведомленности сотрудников организации о программе аудита ИБ и требования к пересмотру и корректировке программы аудита И Б.
Требования к программе аудита ИБ могут указывать на необходимость периодического проведения самооценок ИБ. Самооценка ИБ является хорошей практикой проверки ИБ и подготовки к аудиту ИБ организации. С помощью самооценки ИБ организация может оценить соответствие ИБ установленным требованиям и самостоятельно провести анализ недостатков системы обеспечения ИБ. Результаты самооценки ИБ могут служить основанием для устранения выявленных недостатков системы обеспечения ИБ до проведения аудита ИБ в организации. Однако результаты самооценки ИБ не могут служить декларацией о соответствии ИБ организации установленным требованиям. Самооценка ИБ проводится сотрудниками организации, принимающими непосредственное участие в деятельности по обеспечению ИБ. Как правило, таковыми являются сотрудники службы ИБ организации.
Результатом определения ролей для разработки и менеджмента программы аудита ИБ должно быть выделение ролей разработчиков и ответственных за программу аудита ИБ с соответствующими обязанностями.
Финансовые, кадровые и инфраструктурные (физические и инструментальные) ресурсы определяются в зависимости от объема программы аудита ИБ. Обязанность руководства состоит в предоставлении этих ресурсов, чтобы обеспечить надлежащую реализацию программы аудита ИБ.
К выходным данным процесса осознания аудита ИБ относятся решения о разработке программы аудита ИБ, требования к программе аудита ИБ, а также роли и ресурсы для программы. Такие результаты процесса осознания аудита ИБ приведут к установке, реализации и поддержке в организации программы аудита ИБ и обеспечат, чтобы запланированные аудиты ИБ и самооценки ИБ проводились в намеченные интервалы времени и позволили:
определять, отвечает или нет система обеспечения ИБ организации установленным требованиям;
проверять результаты предыдущих аудитов и самооценок и меры, предпринятые для исправления несоответствий;
предоставлять информацию о результатах аудитов руководству организации;
подтверждать, что средства обеспечения ИБ и персонал используются надлежащим образом.
Во второй главе рассмотрим, какие мероприятия включает в себя аудит.