ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011
и т. д. должны строго контролироваться. Защита распечаток, сделанных или полученных аудиторами,
проводящими проверку мер и средств контроля и управления информационной безопасностью,
должна обеспечиваться путем содержания их «под замком» для предотвращения несанкционирован
ного раскрытия или модификации. В случае особенно чувствительных проверок риски, а, следова
тельно. необходимые меры и средства контроля и управления информационной безопасностью
должны быть идентифицированы и подготовлены на раннем этапе проверки.
Заполнив контрольный перечень для проверки, проведя серию тестов и собрав достаточно сви
детельств проверки, аудиторы, проводящие проверку мер и средств контроля и управления инфор
мационной безопасностью, смогут изучить свидетельства, определить степень обработки рисков ин
формационной безопасности и проверить потенциальное влияние любых остаточных рисков. На этом
этапе обычно составляется проект отчета о результатах проверки в произвольной форме, его качест во
рассматривается в рамках функции проверки и обсуждается с руководством, особенно с руково дством
филиалов организации, отделов, функциональных подразделений или групп, непосредственно
подпадающих под проверку, и. возможно, также других затрагиваемых подразделений организации.
Руководители аудита должны беспристрастно рассматривать свидетельства аудита с целью
проверки что:
существует достаточное количество свидетельств проверки для обеспечения фактической
основы, подтверждающей все выводы проверки:
все выводы и рекомендации являются важными в отношении области проверки, а все не
существенные вопросы исключаются.
Если, исходя из выводов, планируется дальнейшая работа по проверке, это должно быть отме
чено в отчете.
Процесс анализа, как и планирование проверки, по существу, основан на риске, хотя и распола
гает ббльшей информацией благодаря свидетельствам, собранным во время проверочной деятель
ности. В то время как прямые проверки соответствия обычно могут давать ряд относительно простых
результатов «пройдено/не пройдено» с достаточно очевидными рекомендациями, проверки инфор
мационной безопасности часто формируют вопросы, требующие размышлений и обсуждений руково
дства до принятия решения о том. какие действия (если таковые необходимы) будут
соответствую щими. В некоторых случаях руководство может вынести решение о принятии некоторых
рисков, иден тифицированных в результате проверки информационной безопасности, в других - не
принимать ре комендации проверки в точности так, как они изложены - это право руководства, но
оно также несет ответственность за свои решения. В этом отношении аудиторская проверка мер и
средств контроля и управления информационной безопасностью имеет рекомендательное, а не
практическое значение, хотя и обладает существенным влиянием и опирается на надежные
практические приемы проверки и фактические свидетельства.
Аудиторская проверка мер и средств контроля и управления информационной безопасностью
должна предоставить организации, с учетом оценки, обоснованную уверенность в том. что деятель
ность по обеспечению информационной безопасности (не все будут реализовывать систему менедж
мента) достигает установленных целей. В результате проверки должно предоставляться изложение
отличий между реальностью и эталоном. Если эталоном является внутренняя политика, то она долж на
быть очень четкой. Для уверенности в этом во внимание могут приниматься критерии, приведен ные в
приложении В. При аудиторской проверке мер и средств контроля и управления информацион ной
безопасностью должны учитываться внутренние политики и процедуры в рамках области провер ки.
Недостающие важные критерии неформально все же могут быть применены в организации. От сутствие
критериев, идентифицированных как критические, может быть причиной потенциальных не
соответствий.
6.2 Подбор персонала
Проверка мер и средств контроля и управления информационной безопасностью требует от
персонала объективного анализа и профессиональных навыков в сфере отчетности. В случаях, когда
речь идет о проверке технического соответствия, требуется наличие дополнительных специальных
навыков, включая детальные технические знания реализации политик безопасности в программных и
аппаратных средствах, каналах связи и взаимосвязанных технических процессах. Аудиторы, проводящие
проверку мер и средств контроля и управления информационной безопасностью, должны обладать:
способностью различать риски информационных систем и архитектур безопасности, осно
ванной на понимании концептуальных структур, поддерживающих информационные системы;
знанием хороших практических приемов обеспечения информационной безопасности, та
ких как методы и средства контроля и управления информационной безопасностью, представленные
в ИСО/МЭК 27002 и других стандартах по безопасности;
способностью к изучению сложной технической информации для идентификации любых
существенных рисков и возможностей модернизации;
5