7.2.1. Работы по проведению аудита ИБ организаций БС РФ должны включать следующие этапы:
- подготовка к проведению аудита ИБ;
- анализ документов;
- проведение аудита ИБ на месте;
- подготовка, утверждение и рассылка отчета по аудиту ИБ;
- завершение аудита ИБ.
7.2.2. Подготовка к проведению аудита ИБ должна начинаться с определения возможности проведения аудита ИБ, а также согласования и заключения договора на проведение аудита ИБ (см. пункт 7.1.2) между организацией БС РФ и аудиторской организацией. Дальнейшая подготовка аудиторской организации к проведению аудита ИБ должна заключаться в формировании аудиторской группы, назначении ее руководителя и установлении руководителем аудиторской группы контакта с проверяемой организацией.
Содержание договора на проведение аудита ИБ может иметь особенности, но, как правило, в нем рекомендуется указывать:
- область аудита ИБ;
- ответственность руководства проверяемой организации за подготовку и предоставление необходимых свидетельств аудита ИБ;
- требования к отчету аудита ИБ;
- порядок взаимодействия представителей проверяющей и проверяемой организаций;
- порядок сбора необходимых свидетельств аудита;
- цену проведения аудита ИБ;
- порядок привлечения к работе по каким-либо вопросам аудита ИБ других проверяющих организаций и(или) технических экспертов;
- необходимые ограничения ответственности проверяющей организации.
7.2.3. Аудиторская организация должна определить возможность проведения аудита ИБ на основании готовности к сотрудничеству со стороны проверяемой организации и наличия времени и соответствующих ресурсов.
Если проведение аудита ИБ признано невозможным, то по результатам консультаций с проверяемой организацией заказчику аудита должен быть предложен альтернативный вариант (перенос сроков проведения аудита, привлечение для проведения аудита ИБ другой аудиторской организации).
7.2.4. В аудиторской организации для проведения аудита ИБ должна быть сформирована аудиторская группа. Руководством аудиторской организации должен быть назначен руководитель аудиторской группы, ответственный за проведение аудита ИБ организации.
При определении размера и состава аудиторской группы прежде всего должна учитываться компетентность аудиторской группы, в основе которой лежит уровень квалификации ее участников.
Если аудиторы в аудиторской группе не обладают необходимыми знаниями и опытом по специальным вопросам, в группу включают технических экспертов. Технические эксперты должны работать под руководством аудиторов.
7.2.5. Руководитель аудиторской группы должен в соответствии с договором на проведение аудита установить контакт с проверяемой организацией прежде всего для установления способов обмена информацией с представителями проверяемой организации с целью подтверждения полномочий на проведение аудита ИБ и запроса доступа к необходимым документам проверяемой организации.
7.2.6. До проведения аудита ИБ на месте аудиторской группой должен быть проведен анализ требуемой документации проверяемой организации для определения соответствия положений, отраженных в документации, критериям аудита ИБ.
Если документация будет признана неадекватной, то руководитель аудиторской группы должен сообщить об этом заказчику аудита ИБ и проверяемой организации. Аудиторской группой должно быть принято решение, может ли аудит ИБ быть продолжен или его необходимо приостановить до момента решения всех вопросов по документации.
7.2.7. Если аудиторской группой принято решение о продолжении аудита ИБ, то руководитель аудиторской группы должен подготовить план аудита ИБ на месте и согласовать его с заказчиком аудита и проверяемой организацией.
План аудита ИБ на месте должен включать:
- цель аудита ИБ;
- критерии аудита ИБ;