Разработка плана аудита ИБ для коммерческого банка (СТО БР ИББС 1.0-2014)

Формирование выводов аудита – свидетельства аудита сопоставляются и оцениваются относительно критериев аудита. Выводы аудита могут указывать на соответствие или несоответствие критериям аудита. В случае, если это не может быть гарантировано, руководитель группы по аудиту имеет право отказать наблюдателям в участии в некоторых мероприятиях аудита.
Подготовка заключения – заключение аудита содержит информацию о степени соответствия критериям аудита; эффективности внедрения, поддержания и улучшения системы менеджмента ИБ; возможности процесса анализа со стороны руководства для обеспечения постоянной пригодности системы менеджмента ИБ, ее адекватности, эффективности и улучшения; корневые причины выявленных фактов (наблюдений); сопоставление и обобщение аналогичных или схожих по своему характеру фактов, выявленных при проведении аудита в различных областях, для определения тенденций (трендов).
Заключительное совещание – представляются выводы и заключения аудита для признания проверяемой организацией. При необходимости, на заключительном совещании следует довести до сведения проверяемой организации следующее:
что собранные во время аудита свидетельства основаны на выборке данных и информации, имевшейся на момент проведения аудита;
метод протоколирования и составления отчетов, включая любую классификацию или ранжирование данных;
процесс обработки и трактовки выводов аудита и возможные последствия, связанные с принятием решений по выявленным фактам;
выводы аудита таким способом, чтобы они были понятны и признаны проверяемой организацией;
любые последующие действия по результатам аудита (например, выполнение корректирующих действий, обработку претензий, процесс апелляций).
Любые разногласия по выводам и/или заключениям аудита между группой по аудиту и проверяемой организацией должны быть обсуждены и, по возможности, разрешены. В случае, если разногласия не удается разрешить, то все мнения должны быть зарегистрированы.
Если это предусмотрено целями аудита, могут быть предоставлены рекомендации по улучшению. Необходимо отметить, что рекомендации не носят обязательного характера.
Составим план проведения аудита информационной безопасности коммерческого банка в соответствии с требованиями СТО БР ИББС-1.0-2014.