Организация проведения аудита информационной безопасности. взаимодействие с аудиторской организацией.

Поставщик услуг по аудиту информационной безопасности должен вызывать у клиента, прежде всего, доверие, которое можно заслужить только своим профессионализмом. Иногда такое доверие вызывается известностью имени компании. В этом случае нужно помнить, что, в конечном счете, аудит будет проводить все же не компания, а конкретные специалисты. Поэтому очень важным критерием выбора является квалификация исполнителей, например подтвержденная такими сертификатами, как CISSP, CISA или CEH. Заказчику услуг желательно еще до подписания контракта выяснить, какие именно специалисты будут осуществлять проект, познакомиться с ними, если это возможно, и включить соответствующие требования к участникам в контракт.
Независимый аудит может быть проведен только тем поставщиком услуг, который не был вовлечен во внедрение мер по защите информации в данной компании.
Коммерческому банку «Южный» необходимо провести аудит на соответствие стандарту СТО БР ИББС 1.0-2014. Для этого он подбирает и рассматривает подходящие аудиторские организации, рассылает им коммерческие предложения на проведение аудита.
Для проведения аудита информационной безопасности КБ «Южный» оптимальным вариантом исполнителя является ОАО ЛИНС-М.
Контракт банка с аудитором содержит четкое описание границ проекта (офисы, бизнес-процессы, бизнес-подразделения, информационные системы, IP-адреса сетевых узлов) и перечень проводимых аудиторских проверок.
Требованиями проверки является:
описание выявленных недостатков, рисков информационной безопасности;
рекомендации по их минимизации;
отчет должен содержать перечень проведенных проверок, сопоставленный с обнаруженными недостатками;
при проверке аудита защищенности ИТ-инфраструктуры обязательны отчеты использованных утилит.
В процессе организации аудита информационной безопасности банком создается план проведения мероприятий по аудиту ИБ (рисунок 2.1).