Роли и обязанности аудиторской группы в ходе аудита информационной безопасности

Руководитель аудиторской группы, путем консультаций с аудиторской группой, должен установить ответственность каждого члена группы за проверку конкретных процессов, функций, площадок, областей или действий. Такие назначения должны учитывать необходимость выполнения принципов аудита ИБ и эффективность использования аудитором ресурсов, а также различные роли и обязанности аудиторов и экспертов. В процессе аудита ИБ для достижения его цели в распределение обязанностей могут быть внесены изменения.
Члены аудиторской группы должны проанализировать информацию, относящуюся к распределению обязанностей при проведении аудита ИБ, и подготовить документы, необходимые для регистрации результатов.
Такие документы могут включать:
контрольные листы и планы выборки для аудита ИБ;
формы для регистрации данных, таких как подтверждающие свидетельства, выводы аудита ИБ и протоколы совещаний.
Документы должны быть составлены и систематизированы таким образом, чтобы отвечать обстоятельствам каждой конкретной аудиторской проверки и потребностям аудитора в ходе ее проведения.
Состав, количество и содержание документов, входящих в рабочую документацию аудита ИБ, определяются аудиторской организацией, исходя из [3]:
вида проводимого аудита ИБ (внутреннего или внешнего);
сложности деятельности проверяемой организации;
состояния системы внутреннего контроля и (или) мониторинга ИБ.
Рабочие документы, включая записи по результатам их использования, должны храниться, по крайней мере, до окончания аудита ИБ. Такие документы, содержащие конфиденциальную или запатентованную информацию, должны храниться в течение всего времени членами аудиторской группы с соблюдением соответствующих требований безопасности.
До заключительного совещания аудиторская группа должна собраться, чтобы [4]:
проанализировать выводы аудита и любую другую соответствующую информацию, собранную в процессе аудита ИБ, с точки зрения целей аудита;
согласовать заключения по результатам аудита ИБ, с учетом элемента неопределенности, свойственного процессу аудита ИБ;
подготовить рекомендации для проверяемой организации по результатам проведенного аудита ИБ;
обсудить последующий аудит ИБ, если это было включено в план аудита ИБ.
Заключение аудиторской группы по результатам аудита ИБ должно охватывать следующие вопросы:
степень соответствия проверяемой организации критериям аудита ИБ;
оценка системы внутреннего контроля и (или) мониторинга ИБ проверяемой организации;
способность со стороны руководства обеспечить постоянную пригодность, адекватность, результативность системы внутреннего контроля и (или) мониторинга ИБ и ее совершенствование.
Аудиторской группой может быть подготовлено четыре типа заключений [5]:
безусловно положительное;
условно положительное;
отрицательное;
отказ от выражения заключения.
По окончанию аудита ИБ должно быть проведено заключительное совещание.
При проведении внутреннего аудита ИБ в малой организации, заключительное совещание может состоять только из доведения до сведения выводов аудита и заключения по результатам аудита.
В других случаях, совещание должно быть официальным с ведением протокола и списка присутствующих.
Совещание должно вестись под председательством руководителя аудиторской группы. На нем должны быть представлены выводы аудита ИБ и заключения по результатам аудита таким образом, чтобы они были понятны и признаны проверяемой организацией. Участниками заключительного совещания должны быть представители проверяемой организации, а также могут быть заказчик аудита и другие стороны. В случае возникновения в процессе аудита ситуаций, которые могут отразиться на надежности заключений по результатам аудита, руководитель аудиторской группы должен сообщить об этом проверяемой организации.
Любые разногласия в отношении выводов аудита и/или заключений по результатам аудита ИБ между аудиторской группой и проверяемой организацией должны быть обсуждены и, если возможно, разрешены. В противном случае все мнения должны быть зарегистрированы.
На совещании должны быть представлены рекомендации по улучшению состояния ИБ проверяемой организации.