Общее
Сегодня проведение аудита СУИБ является необходимым и востребованным мероприятием. Ряд организаций, бизнес которых тесно связан с использованием информационных технологий, например, банки, нефтяные, газовые, энергетические и телекоммуникационные компании, стали активнее практиковать проведение аудита СУИБ.
Аудит СУИБ может быть инициализирован руководством банка (компании), (внутренний аудит СУИБ), контрагентами (например, аудит СУИБ может быть требованиям клиента или пунктом в Договоре), а также третьей стороной – контролирующими органами (НБУ) (аудиты проводимы независимыми компаниями).
Внешний аудит СУИБ позволяет получить понимание того, что в проверяемом банке или компании создана, внедрена, контролируется и функционирует СУИБ, отвечающая требованиям не только стандартам ISO, но и нормативным документам национального банка Украины, других контролирующих органов. Внешний Аудит СУИБ даст возможность оценить качество СУИБ по таким вопросам:
– определён и внедрен комплекс средств управлениями активами СУИБ, правильность оценки рисков,
– осуществляется оценка эффективности, мониторинг и анализ функционирования СУИБ,
– сопровождение и совершенствование.
Кроме того, внешний аудит СУИБ даст заключение на сколько руководство продемонстрировало поддержку процессов и усилий, связанных с планированием. внедрением, эксплуатацией, контролем, сопровождением и модернизацией СУИБ в соответствии с требованиями стандартов и нормативных документов
Нормативные документы и постановления НБУ
Правление Национального банка Украини приняло Постановление № 474 от 28 октября 2010 г. “Про набрання чинності стандартів з управління інформаційною безпекою в банківській системі Україні”
Со дня публикации данного Постановления вступают в силу следующие стандарты НБУ:
Состав Серии ISO
ISO / IEC 27001 до: 2013 Information security management systems. Requirements- Система менеджменту інформаційною безпекою. Вимоги.
ISO / IEC 27000 до: 2016 Information security management systems. Overview and vocabulary – Система менеджменту інформаційної безпеки. Огляд і термінологія.
ISO / IEC 27002 до: 2013 Code of practice for information security management – Практичні правила щодо управління інформаційною безпекою.
ISO / IEC 27003: 2010 Information Security Management Systems Implementation Guidance – Керівництво по впровадженню системи менеджменту інформаційною безпекою.
ISO / IEC 27004: 2009 Information security management. Measurement – Вимірювання ефективності системи менеджменту інформаційною безпекою.
ISO / IEC 27005: 2011 Information security risk management – Управління ризиками інформаційної безпеки.
ISO / IEC 27006 до: 2015 Requirements for bodies providing audit and certification of information security management systems – Вимоги до органів аудиту і сертифікації систем менеджменту інформаційною безпекою.
ISO / IEC 27007: 2011 Guidelines for Information Security Management Systems auditing (FCD) – Керівництво для аудиту СМІБ.
ISO / IEC 27008: 2011 Guidance for auditors on ISMS controls (DRAFT) – Керівництво по аудиту механізмів контролю СМІБ.
ISO / IEC 27011: 2008 Information security management guidelines for telecommunications organizations based of ISO/ IEC 27002 – Керівництво з управління інформаційною безпекою для телекомунікацій на основі ISO /IEC 27002.
ISO / IEC 27799: 2008 Information security management in health using ISO / IEC 27002 – Керівництво з управління інформаційною безпекою для організацій охорони здоров’я на основі ISO / IEC 27002.
[rt_icon icon_name="icon-link-ext"] аудиторські послуги ДДО
[rt_icon icon_name="icon-link-ext"] послуги бугалтерського обліку ДДО
03038, Україна, м. Київ
вул. Миколи Грінченка, 4
+380 44 521-40-07