ГОСТ Р ИСО/МЭК 27034-5-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 5. Структуры данных протоколов и мер обеспечения безопасности приложений

6.5 Аудит приложений

6.5.1 Общие положения

Аудит приложений показан на рисунке 14.

 

 

Рисунок 14 - Аудит приложений

 

Уровень аудита приложений состоит из мероприятий, связанных с контролем и верификацией. Эти мероприятия обычно выполняются в рамках процессов, рекомендованных такими стандартами, как ИСО 19011, ИСО/МЭК 15288, ИСО/МЭК 12207, а также документами, содержащими описание промышленных практик, например CobiT. Типичный жизненный цикл аудита состоит из стадий инициирования аудита, подготовки аудита, проведения аудита, создания отчетов по аудиту и завершения аудита, а также последующих мероприятий.

6.5.2 Инициирование аудита

Согласно ИСО 19011, цель процесса инициирования аудита состоит в установлении первоначального контакта с объектом аудита и определении осуществимости аудита.

Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:

a) установление первоначального контакта с объектом аудита;

b) подтверждение полномочий для проведения аудита;

c) предоставление информации о целях, объеме, методах аудита, а также составе аудиторской группы, в том числе технических экспертах;

d) запрос доступа к соответствующим документам и записям;

e) определение применимых юридических и контрактных требований, а также других требований, относящихся к действиям и продуктам объекта аудита;

f) подтверждение соглашения с объектом аудита относительно объемов раскрытия и использования конфиденциальной информации;

g) установление договоренностей о присутствии наблюдателей и необходимости назначения кураторов для аудиторской группы;

h) определение конкретных вопросов, связанных со взаимодействием, в том числе относящихся к площадке взаимодействия или областям интересов и проблем объектов аудита;

i) ограничение количества выполняемых задач исходя из временных и ресурсных ограничений, а также характера сотрудничества объекта аудита;

j) достижение договоренностей по проведению аудита, в том числе относительно графика.

6.5.3 Подготовка аудита

Согласно ИСО 19011, цель процесса подготовки аудита состоит в проверке документации перед аудитом, подготовке плана аудита, распределении работ в аудиторской группе и подготовке рабочей документации.

Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:

a) анализ целей и объемов аудита;

b) анализ и определение рисков, связанных с отраслью деятельности объекта аудита, включая экономические условия, законы и нормативы, а также технологические изменения;

c) анализ и определение риска, связанного со структурой объекта аудита, ключевыми бизнес-процессами, системами и приложениями;

d) просмотр и оценка отчетов по предыдущим случаям аудита, а также результатов работы других экспертов, не входящих в аудиторскую группу;

e) оценка рисков нарушений и противоправных действий во время аудита;

f) оценка риска, который аудит несет организации объекта аудита;

g) оценка потенциальных слабых мест или отсутствия мер контроля, а также их потенциальное влияние на выводы (наблюдения) аудита;

h) определение плана сотрудничества, включая объем аудита, цели, риски, коммуникационный план, сроки, объем затрачиваемых ресурсов и выводы;

i) определение методов сбор и оценки информации о рассматриваемом(ых) процессе(ах);

j) определение методов для валидации мер и средств контроля и управления, а также результатов;

k) определение методов для выявления остаточного риска там, где оценка эффективности управления недопустима.

6.5.4 Проведение аудита

Согласно ИСО 19011, цель проведения аудита заключается в выполнении фактических мероприятий аудита, в том числе проведении открытых собраний, проверке документации во время аудита, общении во время аудита, распределении ролей и обязанностей наблюдателей и кураторов, сборе и верификации информации, получении выводов, подготовке заключений по результатам аудита и проведении финальных встреч.

Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:

a) проведение открытого собрания;

b) распределение ролей и обязанностей между наблюдателями и кураторами;

c) уточнение понимания целей аудита и уточнение его объема;

d) взаимодействие с руководством во время осуществления данного аудита, чтобы содействовать пониманию аудиторской работы, утверждению изменений объемов аудита, достижению согласия с выводами (наблюдениями) аудита, а также осведомленности о нелегальных действиях и правонарушениях;

e) осуществление контроля и действия по утвержденному плану аудита для покрытия выявленных рисков согласно утвержденному графику;

f) получение достаточных и надлежащих доказательств для проведения анализа, который позволит сделать обоснованные выводы об эффективности структуры мер и средств контроля и управления и (или) результатах достижения целей контроля;

g) применение дополнительных процедур тестирования для получения достаточных и надлежащих доказательств в случаях, когда работа внутренних и (или) внешних экспертов не дает достаточных и надлежащих доказательств;

h) рассмотрение совокупного воздействия мелких недостатков в сфере контроля или слабых мест, а также анализ того, превращается ли отсутствие мер контроля в значительный недостаток или уязвимость;

i) подготовка надлежащего заключения по аудиту или выводов, подкрепленных анализом и доказательствами, а также описанием факторов, ограничивающих объем аудита в случаях, когда требуемые доказательства не были получены во время дополнительных процедур тестирования;

j) проведение заключительного собрания.

6.5.5 Отчет

Согласно ИСО 19011, цель представления отчетов заключается в подготовке и распространении отчета об аудите.

Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:

a) представление отчета в соответствии с утвержденными стандартами;

b) распространение отчета об аудите, учитывая ограничения.

Примечание - Стандарты отчетности включают:

- описание предприятия, предполагаемых получателей и любых ограничений на содержание или распространение;

- описание объема, целей взаимодействия, период охвата, а также характер, сроки и масштабы выполненных работ;

- описание результатов, выводов и рекомендаций;

- описание любых квалификационных показателей или ограничений по объему, представленное аудиторами и специалистами по контролю качества в отношении взаимодействия;

- круг ведения;

- подпись, дата, описание порядка распространения согласно уставу аудита или письму-обязательству.

 

6.5.6 Завершение аудита

Согласно ИСО 19011, цель завершения аудита состоит в закрытии процедуры аудита. Аудит объявляется закрытым, когда выполнены все запланированные мероприятия или иная договоренность с объектом аудита (например, в случае непредвиденной ситуации, которая может помешать завершению аудита согласно плану).

Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:

a) документирование и обобщение полученного опыта;

b) архивирование и ликвидация свидетельств согласно контракту и применимым положениям.

6.5.7 Последующие мероприятия

Согласно ИСО 19011, цель проведения последующих мероприятий по итогам аудита заключается в том, чтобы сделать выводы о необходимости изменений или корректирующих, превентивных действий или мероприятий по улучшению.

Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:

a) проведение последующего собрания;

b) анализ плана действий, а также выполненных мероприятий;

c) анализ соответствия плана и выполненных действий выводам (наблюдениям) аудита и рекомендациям.