ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011
Аудитор, проводящий проверку мер и средств контроля и управления информационной безопасно
стью. должен снова проверить модифицированные, улучшенные или добавленные во время этого
процесса меры и средства контроля и управления, прежде чем формировать окончательный отчет.
Передача окончательного отчета руководству означает официальное завершение проверки мор и
средств контроля и управления информационной безопасностью.
Поскольку результаты проверки в конечном счете влияют на содержание мер и средств контро
ля и управления информационной безопасностью, а также на план действий и контрольные точки,
владелец информационных активов рассматривает выводы аудитора, проводящего проверку мер и
средств контроля и управления информационной безопасностью, и при содействии руководства ор
ганизации определяет соответствующие шаги, которые необходимы для устранения слабых мест и
недостатков, идентифицированных во время проверки. Форма отчетности по выводам проверки, в
которой использованы выводы «выполняется» и «не выполняется», делает наглядными для руково
дства организации конкретные слабые места и недостатки обеспечения информационной безопасно
сти и способствует упорядоченному и структурированному подходу к уменьшению рисков в соответ
ствии с процессом менеджмента риска информационной безопасности. Например, владелец инфор
мационных активов после консультации с руководством организации может принять решение о том,
что некоторые выводы проверки, отмеченные как «не выполняется», носят несущественный характер
и не представляют особого риска для организации. Или, наоборот, владелец информационных акти
вов и руководители могут решить, что определенные выводы, отмеченные как «не выполняется», яв
ляются существенными и требуют принятия незамедлительных корректирующих мер. Во всех случа
ях руководство организации проверяет каждый вывод «не выполняется» аудитора, проводящего про
верку мер и средств контроля и управления информационной безопасностью, и составляет собствен
ное мнение относительно серьезности вывода (т. е. потенциального неблагоприятного влияния на
операции и активы организации, кадры, другие организации и т. д.), и является ли вывод достаточно
серьезным, чтобы заслуживать дальнейшего исследования или корректирующих мер. Может потре
боваться привлечение высшего руководства к процессу смягчения последствий, чтобы обеспечить
эффективное распределение ресурсов организации в соответствии с приоритетами организации,
предоставляя в первую очередь ресурсы информационным активам, которые поддерживают наибо
лее критические процессы бизнеса организации, или исправляя недостатки, которые представляют
наибольшую степень риска. В конечном счете выводы проверки и любые последующие действия по
смягчению последствий, инициированные владельцем информационных активов в сотрудничестве с
назначенным должностным лицом организации, приводят в действие модификации процесса ме
неджмента риска информационной безопасности, а также мер и средств контроля и управления ин
формационной безопасностью. Соответственно базовые документы, используемые руководителями
для определения состояния информационной безопасности информационных активов, обновляются,
чтобы отразить результаты проверки.
В заранее определенные контрольные точки или фиксированные периоды времени после про
верки. например, через три месяца после представления окончательного отчета, обычно проводится
проверка контроля исполнения, сосредотачивающаяся на нерешенных или «открытых» проблемах.
Она включает проверку правильности реализованных решений по предыдущим выводам. Организа
ции могут также решить проводить мероприятия по контролю исполнения во время следующей про
верки. особенно для тех вопросов, которые не являются критичными или неотложными.
19