7.1.1. В процессе общения представители аудиторской организации и представители проверяемой организации на всех этапах проведения аудита ИБ должны демонстрировать честность, открытость, желание обсуждать и по возможности разрешать возникшие разногласия.
Аудиторская организация должна информировать проверяемую организацию обо всех мероприятиях, проводимых в рамках аудиторской проверки.
Проверяемая организация должна обеспечивать предоставление аудиторской организации всей необходимой для проведения аудита ИБ информации.
7.1.2. Аудиторское задание на проведение аудита ИБ должно оформляться договором в соответствии с требованиями законодательства РФ.
Хорошими практиками являются:
- направление официального предложения аудиторской организации со стороны проверяемой организации или заказчика аудита, например, государственного надзорного органа, о заключении договора на проведение аудита ИБ;
- направление аудиторской организацией письма о проведении аудита ИБ руководству проверяемой организации до заключения договора на проведение аудита ИБ с целью согласования условий предстоящего договора.
В договоре на проведение аудита ИБ необходимо зафиксировать критерии аудита ИБ, по которым должно быть выражено мнение аудиторской организации.
7.1.3. При подготовке к проведению аудита ИБ и в процессе его проведения аудиторская группа вправе самостоятельно принимать решение об источниках, методах получения и достоверности свидетельств аудита ИБ (см. пункт 7.2.10), необходимых для составления заключения по результатам аудита ИБ, если иное не оговорено в договоре на проведение аудита ИБ.
7.1.4. В процессе проведения аудита ИБ руководитель аудиторской группы должен периодически доводить до сведения проверяемой организации и заказчика аудита информацию о ходе аудита ИБ и любых возникающих проблемах. Свидетельства, собранные при проведении аудита ИБ, которые выявляют критические для ИБ проверяемой организации уязвимости (по мнению руководителя аудиторской группы), должны быть немедленно доведены до сведения проверяемой организации и, если необходимо, до сведения заказчика аудита ИБ.
Если имеющееся свидетельство аудита ИБ (или его отсутствие) указывает на то, что цель аудита ИБ недостижима, то руководитель аудиторской группы должен сообщить причины заказчику аудита ИБ и проверяемой организации для определения дальнейших действий. Эти действия могут включать либо изменение цели или областей аудита ИБ, либо прекращение аудита ИБ.
7.1.5. Аудиторская организация несет ответственность за:
- достоверность заключения по результатам аудита ИБ;
- соблюдение конфиденциальности сведений и документов, получаемых и составляемых в ходе аудиторской проверки организации (за исключением случаев, прямо предусмотренных действующим законодательством РФ). При необходимости требования по использованию документов проверяемой организации и отчета по аудиту ИБ должны определяться договором на проведение аудита ИБ.
7.1.6. Руководство проверяемой организации несет ответственность за:
- достоверность и полноту предоставляемой аудиторской организации информации;
- любые ограничения возможности осуществления аудиторской организацией своих обязательств.
7.1.7. Факты невыполнения требований, установленных в пункте 7.1.5, сообщаются в органы, контролирующие деятельность аудиторских организаций, и заказчику аудита ИБ.
Факты невыполнения требований, установленных в пункте 7.1.6, указываются в отчете об аудите ИБ и могут служить основанием для прекращения процесса аудита ИБ.