Недействующий

СТО БР ИББС-1.0-2010 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения (утратил силу с 01.06.2014 на основании распоряжения Банка России от 17.05.2014 N Р-399)

8.14. Требования к проведению аудита информационной безопасности

8.14.1. Аудит ИБ организации БС РФ должен проводиться в соответствии с требованиями стандартов Банка России СТО БР ИББС-1.1 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности" и СТО БР ИББС-1.2 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0".

8.14.2. Должна быть документально определена и реализовываться программа аудитов ИБ, содержащая информацию, необходимую для планирования и организации аудитов ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения указанных аудитов ИБ в заданные сроки.

8.14.3. Для каждого проводимого в организации БС РФ аудита ИБ необходимо документально оформить план аудита, определяющий:

- цель аудита ИБ;

- критерии аудита ИБ;

- область аудита ИБ;

- дату и продолжительность проведения аудита ИБ;

- состав аудиторской группы;

- описание деятельности и мероприятий по проведению аудита;

- распределение ресурсов при проведении аудита.

8.14.4. В организации БС РФ должны быть оформлены договоры с аудиторскими организациями, а также документально определены:

- порядок хранения, доступа и использования материалов, получаемых в процессе проведения аудита ИБ;

- порядок взаимодействия с аудиторской организацией в процессе проведения аудита ИБ;

- порядок взаимодействия аудиторской группы и руководства, позволяющий представителям аудиторской группы при необходимости непосредственно обращаться к руководству;

- порядок организации опроса работников;

- порядок организации наблюдения за деятельностью работников организации БС РФ со стороны представителей аудиторской организации.

8.14.5. По результатам проведения аудита должны быть подготовлены отчеты. Результаты аудитов, а также соответствующие отчеты должны быть доведены до руководства.

8.14.6. Должен быть документально определен порядок хранения, доступа и использования материалов, получаемых в процессе проведения аудитов, в частности, отчетов аудитов.

8.14.7. В организации БС РФ должны быть документально определены роли, связанные с организацией выполнения программ аудитов и планов отдельных аудитов, и назначены ответственные за выполнение указанных ролей.