ГОСТ Р ИСО/МЭК 27003-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

9.2 Внутренний аудит

 

Необходимые мероприятия

Организация проводит внутренние аудиты для предоставления информации о соответствии СМИБ требованиям.

Пояснение

Оценка СМИБ через запланированные интервалы времени посредством проведения внутренних аудитов обеспечивает уверенность в состоянии СМИБ для высшего руководства. Аудит характеризуется рядом принципов: целостность, честное представление результатов, профессионализм сотрудников, конфиденциальность, независимость и подход, основанный на доказательствах (ИСО 19011).

Внутренние аудиты предоставляют информацию, соответствует ли СМИБ "собственным требованиям организации" к ее СМИБ, а также требованиям ИСО/МЭК 27001. Собственные требования организации могут включать:

a) требования, изложенные в политике ИБ и процедурах;

b) требования, предъявляемые структурой для установления целей ИБ, включая результаты процесса обработки рисков;

c) правовые и договорные требования;

d) требования к документированной информации.

Аудитор также оценивает, эффективно ли внедрена и поддерживается СМИБ.

Программа аудита описывает общую структуру для ряда аудитов, запланированных на конкретные сроки и направленных на конкретные цели. Она отличается от плана аудита, который описывает мероприятия и механизмы для конкретного аудита. Критерии аудита - это набор политик, процедур или требований, используемых в качестве эталона, с которым сравниваются аудиторские доказательства, т.е. критерии аудита описывают то, что аудитор ожидает получить.

Внутренний аудит может выявить несоответствия, риски и возможности. Управление несоответствиями производится на основании требований, описанных в 10.1. Управление рисками и возможность их возникновения осуществляется в соответствии с требованиями, описанными в 4.1 и 6.1.

Организация должна хранить документированную информацию о программе(ах) и результатах аудита.

Руководство

Управление программой аудита

Программа аудита определяет структуру и ответственность за планирование, проведение, отчетность и контроль за отдельными мероприятиями по аудиту. Программа аудита, как таковая, должна гарантировать, что проводимые аудиты являются уместными, имеют правильную область проверки, минимально влияют на деятельность организации, и поддерживать необходимое качество аудитов. Программа аудита должна также обеспечивать компетентность групп по аудиту, надлежащее ведение записей аудита, а также мониторинг и анализ процессов, рисков и эффективности аудитов. Кроме того, программа аудита должна гарантировать, что СМИБ (т.е. все соответствующие процессы, функции и меры обеспечения ИБ) проверяются в течение определенного периода времени. Наконец, программа аудита должна включать документированную информацию о типах, продолжительности, местах и графике проведения аудитов.

Степень и частота проведения внутренних аудитов должны быть основаны на размере и характере организации, а также на характере, функциональности, сложности и уровне сформированности СМИБ (риск-ориентированная программа аудита).

Эффективность внедренных мер обеспечения ИБ следует рассматривать в рамках внутренних аудитов. Программа аудита должна быть разработана таким образом, чтобы покрывать все необходимые меры, и должна включать оценку эффективности отдельно выбранных мер с течением времени. Ключевые меры обеспечения ИБ (в соответствии с риск-ориентированной программой аудита на основе оценки рисков) должны быть включены в каждый аудит, в то время как остальные меры, применяемые для управления более низкими рисками, могут проверяться реже.

Программа аудита также должна учитывать, что некоторые процессы и меры обеспечения ИБ должны работать в течение некоторого времени, чтобы можно было оценить соответствующие доказательства.

Внутренние аудиты, касающиеся СМИБ, могут эффективно выполняться в сотрудничестве с другими внутренними аудитами организации. Программа аудита может включать аудиты, связанные с одним или несколькими стандартами систем менеджмента, проводимые отдельно или в комбинации.

Программа аудита должна включать документированную информацию о критериях и методах аудита, выборе групп по аудиту, процессах обеспечения конфиденциальности, ИБ, охране здоровья и других подобных вопросах.

Компетентность и оценка аудиторов

Организация должна:

e) определить требования к компетентности своих аудиторов;

f) выбрать внутренних или внешних аудиторов, обладающих соответствующей компетентностью;

g) иметь процесс мониторинга эффективности аудиторов и групп по аудиту;

h) включить в состав групп по внутреннему аудиту персонал, обладающий соответствующими отраслевыми знаниями и знаниями в области ИБ.

Аудиторы должны выбираться с учетом того, что они должны быть компетентными, независимыми и надлежащим образом подготовленными.

Выбор внутренних аудиторов может быть затруднительным для небольших компаний. Если в организации нет необходимых ресурсов и компетенций, должны быть привлечены внешние аудиторы. Когда организации привлекают внешних аудиторов, то они должны убедиться, что аудиторы имеют или получают достаточно знаний о контексте организации. Эта информация должна быть представлена внутренним персоналом.

Организации должны учитывать, что сотрудники, выступающие в качестве внутренних аудиторов, могут иметь возможность проводить детальные аудиты с учетом контекста организации, но при этом могут не обладать достаточными знаниями о проведении аудитов.

Организации должны учитывать особенности и потенциальные недостатки внутренних и внешних аудиторов и создавать подходящие группы по аудиту с необходимыми знаниями и компетенциями.

Проведение аудита

При проведении аудита руководитель группы по аудиту должен подготовить план аудита с учетом результатов предыдущих аудитов и необходимости отслеживать ранее сообщенные несоответствия и неприемлемые риски. План аудита должен быть сохранен в виде документированной информации и должен включать критерии, область и методы аудита.

Группа по аудиту должна проверить:

- адекватность и эффективность процессов и определенных мер обеспечения ИБ;

- выполнение целей ИБ;

- соответствие требованиям, определенным в ИСО/МЭК 27001, разделы 4 - 10;

- соответствие организации собственным требованиям ИБ;

- соответствие Положения о применимости с результатами процесса обработки рисков ИБ;

- соответствие фактического плана обработки рисков ИБ с идентифицированными, оцененными рисками и критериями принятия рисков;

- актуальность (с учетом размера и сложности организации) результатов анализа со стороны руководства;

- влияние результатов анализа со стороны руководства (включая потребности в улучшении) на организацию.

Степень и надежность имеющегося мониторинга эффективности мер обеспечения ИБ, созданного СМИБ (см. 9.1), могут помочь аудиторам при условии, что они подтвердили эффективность методов измерения.

Если результат аудита включает несоответствия, аудитор должен подготовить план действий для каждого несоответствия, который должен быть согласован с руководителем группы по аудиту. План последующих действий обычно включает в себя:

i) описание обнаруженного несоответствия;

j) описание причин(ы) несоответствия;

k) описание краткосрочных и долгосрочных корректирующих действий для устранения обнаруженного несоответствия в установленный срок;

l) лиц, ответственных за реализацию плана.

Отчеты с результатами аудита должны быть распространены среди высшего руководства.

Результаты предыдущих аудитов должны быть проверены, а программа аудита должна быть выверена с целью лучшего управления областями, которые подвергаются более высоким рискам из-за наличия несоответствия.

Дополнительная информация

Дополнительную информацию можно найти в ИСО 19011, в котором содержится общее руководство по системам управления аудитом, включая принципы проведения аудита, управление программой аудита и проведение аудита системы управления. В нем также содержится руководство по оценке компетентности лиц или групп лиц, участвующих в аудите, в том числе лиц, управляющих программой аудита, аудиторов и групп по аудиту.

Кроме того, в дополнение к руководству, содержащемуся в ИСО 19011, необходимую информацию можно найти в:

a) ИСО/МЭК 27007, в котором содержатся конкретные рекомендации по управлению программой аудита СМИБ, проведению аудитов и компетенции аудиторов СМИБ;

b) ИСО/МЭК 27008, который содержит руководство по оценке средств контроля ИБ.