Правила проведения внутреннего аудита информационной безопасности информационной системы «Система экстренного вызова при авариях и катастрофах на базе технологий gps/глонасс, umts/gsm»

3. Общие положения

4. 
   Аудит СМИБ ИС ЭВАК осуществляется с целью получения оценки текущего состояния, действий и событий, происходящих в нём, определяющих уровень соответствия техническим регламентам, стандартам в сфере информатизации, НТД и требованиям ИБ.
   
5. 
   Аудит представляет собой независимую экспертизу отдельных областей функционирования ИС ЭВАК. Различают внешний и внутренний аудит.
   
6. 
   Внешний аудит СМИБ – это, как правило, разовое мероприятие, осуществляемое по инициативе руководства и проводится внешней компанией, которая предоставляет консалтинговые услуги в области ИБ. Необходимость и периодичность проведения внешнего аудита ИБ определяется руководством Оператора.
   
7. 
   ВА – один из способов контроля за эффективностью деятельности Оператора по обеспечению ИБ ИС ЭВАК. Внутренний аудит представляет собой деятельность, направленную на тщательную проверку действующей СМИБ:
   

- требованиям самой организации к системной защите информации;

- требованиям СТ РК ИСО/МЭК 27001-2015;

2) в целях обеспечения эффективной реализации СМИБ и ее надлежащего эксплуатационного обслуживания.

Инициация проведения ВА руководством Оператора проводится путем утверждения Плана внутреннего аудита ИБ, разработанного работником ИБ Оператора.

ВА проводится не реже одного раза в год или при появлении существенных изменений в способах реализации мер безопасности. Первый ВА проводится не ранее чем через один год, после внедрения СМИБ.

4. 
   Целями проведения аудита безопасности являются:
   

• 
  выявление сведений необходимых для анализа рисков, связанных с возможностью осуществления угроз безопасности от несанкционированных действий;
  
• 
  оценка текущего уровня защищенности;
  
• 
  разработка требований к построению системы защиты информации;
  
• 
  определение зон ответственности работников подразделений;
  
• 
  локализация узких мест в системе защиты ИС;
  
• 
  оценка соответствия существующим стандартам в области информационной безопасности;
  
• 
  подтверждения того, что СМИБ внедряется или внедрена и поддерживается в рабочем состоянии;
  
• 
  демонстрации того, насколько близко к правилам, установленным в процедурах СМИБ, выполняется работа и есть ли различия между реальной работой и тем, что прописано в документации СМИБ;
  
• 
  выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности.
  

4. 
   Основной задачей аудита является подтверждение конфиденциальности, целостности и доступности информации, обрабатывающейся в ИС ЭВАК. Также к задачам аудита ИБ относятся:
   

• 
  оценка в разборе инцидентов, связанных с нарушением ИБ;
  
• 
  выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС ЭВАК.
  

4. 
   К основным видам работ по аудиту относятся:
   

• 
  проведение анализа экспертным методом;
  
• 
  оценка соответствия рекомендациям стандартов по ИБ;
  
• 
  инструментальное обследование (при необходимости).
  

4. 
   Аудит может быть двух видов:
   

• 
  плановый аудит;
  
• 
  внеплановый аудит.
  

4. 
   Результаты аудита предоставляются руководству для разработки корректирующих и/или предупреждающих действий.