Сегодня проведение аудита СУИБ является необходимым и востребованным мероприятием. Ряд организаций, бизнес которых тесно связан с использованием информационных технологий, например, банки, нефтяные, газовые, энергетические и телекоммуникационные компании, стали активнее практиковать проведение аудита СУИБ.
Аудит СУИБ может быть инициирован руководством банка (компании) – внутренний аудит СУИБ, контрагентами (например, проведение аудита СУИБ может быть требованием клиента или оговорен условиями Договора), а также третьей стороной – контролирующими органами (НБУ) – аудиты, проводимые независимыми компаниями.
Внешний аудит СУИБ позволяет получить понимание того, что в банке или компании создана, внедрена, контролируется и функционирует СУИБ, отвечающая требованиям не только стандартам ISO, но и нормативным документам Национального банка Украины, других контролирующих органов. Внешний аудит СУИБ даст возможность оценить качество СУИБ по таким вопросам:
– насколько определён и внедрен комплекс средств управлениями активами СУИБ, правильность оценки рисков,
– осуществляется ли оценка эффективности, мониторинг и анализ функционирования СУИБ,
– качество сопровождения и совершенствования.
Кроме того, внешний аудит СУИБ даст заключение, насколько руководство продемонстрировало поддержку процессов и усилий, связанных с планированием, внедрением, эксплуатацией, контролем, сопровождением и модернизацией СУИБ в соответствии с требованиями стандартов и нормативных документов.
Нормативные документы и постановления НБУ
Правление Национального банка Украины приняло Постановление №474 от 28 октября 2010г. “О вступлении в силу стандартов по управлению информационной безопасностью в банковской системе Украины”
Со дня публикации данного Постановления вступают в силу следующие стандарты НБУ:
ДСТУ ISO/IEC 27000:2015 “Інформаційні технології. Методи захисту. Система управління інформаційною безпекою.
ДСТУ ISO/IEC 27001:2015 “Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою.
Состав Серии ISO
ISO / IEC 27001 до: 2013 Information security management systems. Requirements – Система менеджмента информационной безопасности. Требования.
ISO / IEC 27000 до: 2016 Information security management systems. Overview and vocabulary – Система менеджмента информационной безопасности. Обзор и терминология.
ISO / IEC 27002 до: 2013 Code of practice for information security management – Практические правила по управлению информационной безопасностью.
ISO / IEC 27003: 2010 Information Security Management Systems Implementation Guidance – Руководство по внедрению системы менеджмента информационной безопасности.
ISO / IEC 27004: 2009 Information security management. Measurement – Измерение эффективности системы менеджмента информационной безопасности.
ISO / IEC 27005: 2011 Information security risk management – Управление рисками информационной безопасности.
ISO / IEC 27006 до: 2015 Requirements for bodies providing audit and certification of information security management systems – Требования к органам аудита и сертификации систем менеджмента информационной безопасности.
ISO / IEC 27007: 2011 Guidelines for Information Security Management Systems auditing (FCD) – Руководство для аудита СМИБ.
ISO / IEC 27008: 2011 Guidance for auditors on ISMS controls (DRAFT) – Руководство по аудиту механизмов контроля СМИБ.
ISO / IEC 27011: 2008 Information security management guidelines for telecommunications organizations based of ISO/ IEC 27002 – Руководство по управлению информационной безопасностью для телекоммуникаций на основе ISO /IEC 27002.
ISO / IEC 27799: 2008 Information security management in health using ISO / IEC 27002 – Руководство по управлению информационной безопасностью для организаций здравоохранения на основе ISO / IEC 27002.
[rt_icon icon_name="icon-link-ext"] аудиторські послуги ДДО
[rt_icon icon_name="icon-link-ext"] послуги бугалтерського обліку ДДО
03038, Україна, м. Київ
вул. Миколи Грінченка, 4
+380 44 521-40-07