11.1. Аудит ИБ организаций БС РФ может быть внутренним или внешним. Порядок и периодичность проведения внутреннего аудита ИБ организации в целом (или ее отдельных структурных подразделений) или АБС определяется руководством организации на основе потребностей в такой деятельности. Внешний аудит ИБ проводится независимыми аудиторами.
11.2. Цель аудита ИБ организации состоит в проверке и оценке ее соответствия требованиям настоящего стандарта и других принятых в организации нормативных актов по ИБ. Аудит ИБ должен проводиться периодически. Внешний аудит ИБ организаций БС РФ должен проводиться не реже одного раза в год.
11.3. При проведении аудита ИБ организации должны использоваться стандартные процедуры документальной проверки, опрос и интервью с руководством и персоналом организации. При необходимости уточнения результатов документальной проверки, опросов и интервью в рамках внутреннего аудита ИБ в качестве дополнительного способа может применяться
"проверка на месте", которая проводится для обеспечения уверенности в том, что конкретные защитные меры реализуются, правильно используются и проверяются с помощью тестирования. Обстоятельства, при которых требуется дополнительный способ в рамках внутреннего аудита ИБ, должны быть определены и согласованы в плане проведения аудита ИБ в организации.
11.4. При проведении внутреннего аудита ИБ могут использоваться журналы регистрации инцидентов ИБ, ведущиеся службами безопасности организации и формируемые на основе данных мониторинга ИБ.
11.5. Мониторинг ИБ должен проводиться персоналом организации, ответственным за ИБ, с целью обнаружения и регистрации отклонений защитных мер от требований ИБ и оценки полноты реализации положений политики ИБ, инструкций и руководств обеспечения ИБ в организации.
Основными целями мониторинга ИБ в организации являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели, определяемые системой управления ИБ в организации. Такими целями анализа могут быть:
- контроль за реализацией положений нормативных актов по обеспечению ИБ в организации;
- выявление нештатных (или злоумышленных) действий в АБС организации;
- выявление потенциальных нарушений ИБ.
Для целей оперативного и постоянного наблюдения объектов мониторинга могут использоваться как специализированные (например, программные) средства, так и штатные (входящие в коммерческие продукты и системы) средства регистрации действий пользователей, процессов и т.п.
11.6. При проведении внешнего аудита ИБ руководство организации должно обеспечить документальное и, если это необходимо, техническое подтверждение того, что:
- политика ИБ отражает требования бизнеса и цели организации;
- организационная структура управления ИБ создана;
- процессы выполнения требований ИБ исполняются и удовлетворяют поставленным целям;
- защитные меры (например, межсетевые экраны, средства управления физическим доступом) настроены и используются правильно;
- остаточные риски оценены и остаются приемлемыми для организации;
- система управления ИБ соответствует определенному уровню зрелости управления ИБ;
- рекомендации предшествующих аудитов ИБ реализованы.
11.7. Аудиторский отчет должен храниться в организации в течение установленного времени. Доступ к аудиторскому отчету должен быть разрешен только руководству организации и руководителям подразделения (лицам), ответственным за ИБ в организации.